Pwn2Own Automotiveの2日目は、アクセルを全開にして、初日よりも7つ多い23のユニークなゼロデイ脆弱性を発見しました。2日目に発見された脆弱性は、様々な車載インフォテインメント(IVI)システムや電気自動車(EV)充電器(Tesla Wall Connectorを含む)に関するものでした。VicOneがトレンドマイクロのZDI(Zero Day Initiative)と共同で開催する世界最大のゼロデイ脆弱性発見コンテストであるこのイベントは、その勢いが衰える気配を見せません。
TeslaのWall Connector EV充電器へのアテンプト
PHP Hooligansチームは、Tesla Wall Connectorを攻略する、この日最初のアテンプト(試行)を仕掛けました。彼らは、最小値のチェックなしに数値の範囲比較を使用するというコーディングの欠陥(CWE-839)を突いて、検証が不適切な値がセキュリティ対策をすり抜けてしまうことを実証しました。この攻略により、最終的にはデバイスの制御が可能となりました。
写真1. PHP Hooligansチームは、最小値チェックなしの数値範囲比較(CWE-839)脆弱性を利用して、Tesla Wall Connectorのチャレンジを成功させた。
PCAutomotiveチームもその後すぐに追随しTesla EV充電器へのアテンプトに成功しましたが、そこで利用した脆弱性はすでに開示されているものでした。
| アテンプト(試行) | カテゴリー | 結果 |
|---|---|---|
| チーム:Sina Kheirkhah ターゲット:WOLFBOX Level 2 EV Charger | EV充電器 | 成功 |
| チーム:PHP Hooligans ターゲット:Tesla Wall Connector | EV充電器 | 成功 |
| チーム:Viettel Cyber Security ターゲット:ChargePoint Home Flex | EV充電器 | 成功/コリジョン |
| チーム:The ZIEN, Inc. ターゲット:Kenwood DMX958XR | 車載インフォテインメント | コリジョン |
| チーム:ANHTUD ターゲット:Alpine iLX-507 | 車載インフォテインメント | 成功 |
| チーム:HT3 Labs ターゲット:Phoenix Contact CHARX SEC-3150 | EV充電器 | 成功 |
| チーム:PCAutomotive ターゲット:Tesla Wall Connector (追加チャレンジ:Charging Connector Protocol/Signal Manipulation) | EV充電器 | コリジョン |
| チーム:Sina Kheirkhah ターゲット:Autel MaxiCharger AC Wallbox Commercial | EV充電器 | 成功/コリジョン |
| チーム:Pony 74 ターゲット:Kenwood DMX958XR | 車載インフォテインメント | コリジョン |
| チーム:GMO Cybersecurity by Ierae, Inc. ターゲット:Alpine iLX-507 | 車載インフォテインメント | 成功 |
| チーム:Rafal Goryl of PixiePoint Security ターゲット:WOLFBOX Level 2 EV Charger | EV充電器 | 成功/コリジョン |
| チーム:PCAutomotive ターゲット:Sony XAV-AX8500 | 車載インフォテインメント | 成功 |
| チーム:fuzzware.io ターゲット:ChargePoint Home Flex | EV充電器 | 失敗 |
| チーム:Sina Kheirkhah ターゲット:Kenwood DMX958XR | 車載インフォテインメント | 成功 |
| チーム:Synacktiv ターゲット:Tesla Wall Connector in the Electric Vehicle (追加チャレンジ:Charging Connector Attack) | EV充電器 | 成功 |
| チーム:CIS Team ターゲット:Alpine iLX-507 | 車載インフォテインメント | コリジョン |
| チーム:PHP Hooligans ターゲット:WOLFBOX Level 2 EV Charger | EV充電器 | 失敗 |
| チーム:Viettel Cyber Security ターゲット:Sony XAV-AX8500 | 車載インフォテインメント | コリジョン |
| チーム:fuzzware.io ターゲット:EMPORIA EV Charger Level 2 | EV充電器 | 失敗 |
| チーム:Juurin Oy, Elias Ikkelä-Koski, and Aapo Oksman ターゲット:Kenwood DMX958XR | 車載インフォテインメント | 成功 |
| チーム:Sina Kheirkhah ターゲット:Tesla Wall Connector | EV充電器 | コリジョン |
| チーム:Compass Security ターゲット:Alpine iLX-507 | 車載インフォテインメント | 失敗 |
表1. Pwn2Own Automotive 2025 2日目のコンテスト結果の全結果
注:他のリサーチャーによって発見済、または既知の脆弱性を用いた攻撃は「コリジョン(重複)」と分類されます。「成功/コリジョン」と判定されたチャレンジは、新たに発見されたゼロデイ脆弱性と既知の脆弱性の組み合わせによるものです。
Synacktivチームのリサーチャーは、昨日 ChargePoint Home Flex (Model CPH50)で成功したパターンと似た方法で、Tesla EV充電器をターゲットとして、ロジックバグを利用した追加チャレンジを実行しました。この注目すべき追加機能チャレンジでは、充電コネクタから直接侵入を開始しました。これは、おそらくこれまで公に実演されたことのない離れ業です。
写真2. Synacktivチームのリサーチャーは、Tesla Wall Connectorをターゲットとしたアテンプトで直接充電コネクタに侵入する素晴らしいテクニックを実演した。
Summoning Team社のSina Kheirkhah氏は、Tesla Wall Connectorをターゲットとした2つのバグ連鎖を利用した攻略でこの日を締めくくりましたが、両方の脆弱性はすでに当該ベンダーにて既知のものでした。
車載インフォテインメント(IVI)システムへのアテンプト
この日行われた22のアテンプトのうち半分以上のターゲットがEV充電器でしたが、IVIシステムに対しても注目すべき攻略が仕掛けられました。
PCAutomotiveチームは、ヒープオバーフロー、認証のバイパス、不適切なアイソレーション、という3つのバグを組み合わせて、ゼロクリックでソニーのXAV-AX8500の攻略を成功させました。この攻撃はユーザーの操作を必要とせずに成功するものです。
韓国から参加した5チームのうちのひとつPony 74のリサーチャーが、この日、Pwn2Own Automotiveのステージに初登場しました。彼らはケンウッドのDMX958XRに対するセキュリティチャレンジに成功しましたが、使用した脆弱性は他チームに先を越され既知となったものでした。
写真3. Pony 7チームはケンウッドDMX958XRに果敢にチャレンジしたものの、コリジョン(重複)と判断された。
彼らは、13カ国から集まった自動車サイバーセキュリティのエリートリサーチャーの一員として、グローバルな舞台で画期的な発見を披露し、その功績が認められるだけでなく、現実世界にも影響を与えています。彼らの貢献により、コネクテッドカーやSDV(ソフトウェア デファインド ビークル)のより安全な未来への道が開かれるのです。
コネクテッドカーやSDV(ソフトウェア デファインド ビークル)のより安全な未来への道が開かれるのです。
Pwn2Own Automotive 2025の3日目の最新情報は、VicOne(LinkedIn、X、ブログ)とZDI(LinkedIn、X、ブログ)をフォローしてご覧ください。
