Pwn2Own Automotiveの2日目は、一気にギアを上げました。37件のユニークなゼロデイ脆弱性が発見されたアクション満載の初日に続き、2日目はさらに29件が追加され、これまでに発見されたユニークなゼロデイ脆弱性は合計66件となりました。これは、過去の大会における3日間通算の記録である49件を上回り、本コンテストの新たなベンチマークを打ち立てました。
Alpitronic製レベル3充電器とIVIシステムへのアテンプト
2日目の早い段階で、InnoEdgeとXilokarの両チームが、Labモードで動作するAlpitronic HYC50充電器へのアテンプト(試行)を成功させました。両チームともPwn2Ownイベントへの参加経験はありますが、自動車サイバーセキュリティのターゲットに取り組むのは今回が初めてでした。InnoEdge LabsのHank Chen氏は、充電器のLabモードインターフェース内にある露出した危険なメソッドを利用してエクスプロイト(攻略)を成功させ、Xilokarは単一の脆弱性を突くことでアテンプトを成功させました。
写真1:LabモードのAlpitronic HYC50のエクスプロイトに成功したInnoEdge
写真2:LabモードのAlpitronic HYC50のエクスプロイトに成功したXilokar
勢いはFuzzware.ioへと続きました。彼らはPhoenix Contact CHARX SEC-3150へのアテンプトに成功し、2つの追加手法(アドオン)を用いて3つの脆弱性を攻略し、7ポイントを獲得しました。また、同チームは「Charging Connector Protocol / Signal Manipulation」アドオンを使用し、コマンドインジェクションの脆弱性を突いてChargePoint Home Flex(CPH50-K)へのエクスプロイトを成功させました。
写真3:Phoenix製充電器を攻略し、7 Master of Pwnポイントを獲得したFuzzware.io
Synacktivは、NFCカードをかざすことで、「Charging Connector Protocol / Signal Manipulation」アドオンを用いたAutel MaxiCharger AC Elite Home 40Aへのエクスプロイトを成功させ、驚きをもたらしました。
2025年の「Master of Pwn」であり、Summoning TeamのメンバーでもあるSina Kheirkhah氏が、ラウンド6でPwn2Ownのステージに戻り、力強いパフォーマンスを見せました。Kheirkhah氏は、コマンドインジェクションの脆弱性を突いてKenwood DNR1007XRへのアテンプトを成功させました。また、ChargePoint Home Flex(CPH50-K)に対しても、「Charging Connector Protocol / Signal Manipulation」アドオンを用いて2つの脆弱性を攻略し完全勝利(Full Win)を収めたほか、2つのユニークな脆弱性を利用してAlpine iLX-F511のルートアクセスを取得することにも成功しました。
| アテンプト(試行) | カテゴリー | 結果 |
|---|---|---|
| Team DDOS targeting Kenwood DNR1007XR | 車載インフォテインメント(IVI) | 成功 |
| Team MAMMOTH targeting Alpine iLX-F511 | 車載インフォテインメント(IVI) | 成功 |
| FuzzingLabs targeting Phoenix Contact CHARX SEC-3150 | EV充電器 | 成功 |
| InnoEdge Labs targeting Alpitronic HYC50 | EV充電器 | 成功 |
| Autocrypt targeting Grizzl-E Smart 40A with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 失敗 |
| Neodyme targeting Sony XAV-9500ES | 車載インフォテインメント(IVI) | 成功 |
| Summoning Team targeting Kenwood DNR1007XR | 車載インフォテインメント(IVI) | 成功 |
| Viettel Cyber Security targeting Alpine iLX-F511 | 車載インフォテインメント(IVI) | 成功/コリジョン |
| BoredPentester targeting Grizzl-E Smart 40A with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 成功/コリジョン |
| Fuzzware.io targeting Phoenix Contact CHARX SEC-3150 with add-on | EV充電器 | 成功 |
| Xilokar targeting Alpitronic HYC50 | EV充電器 | 成功 |
| PHP Hooligans / Midnight Blue targeting Autel MaxiCharger AC Elite Home 40A with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 成功/コリジョン |
| 78ResearchLab targeting Kenwood DNR1007XR | 車載インフォテインメント(IVI) | 成功/コリジョン |
| GMO Cybersecurity by Ierae, Inc. targeting Alpine iLX-F511 | 車載インフォテインメント(IVI) | 成功/コリジョン |
| BoB::Takedown targeting Grizzl-E Smart 40A | EV充電器 | 成功/コリジョン |
| Autocrypt targeting Autel MaxiCharger AC Elite Home 40A with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 失敗 |
| Technical Debt Collectors targeting Automotive Grade Linux | オペレーティングシステム | 成功 |
| Fuzzware.io targeting ChargePoint Home Flex (Model CPH50-K) with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 成功 |
| BoredPentester targeting Kenwood DNR1007XR | 車載インフォテインメント(IVI) | 成功 |
| Qrious Secure targeting Alpine iLX-F511 | 車載インフォテインメント(IVI) | 成功/コリジョン |
| Synacktiv targeting Autel MaxiCharger AC Elite Home 40A with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 成功 |
| Team DDOS targeting Phoenix Contact CHARX SEC-3150 with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 成功/コリジョン |
| Petoworks targeting Alpine iLX-F511 | 車載インフォテインメント(IVI) | 失敗 |
| Summoning Team targeting ChargePoint Home Flex (Model CPH50-K) with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 成功 |
| Fuzzware.io targeting Grizzl-E Smart 40A with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 成功/コリジョン |
| Petoworks targeting Kenwood DNR1007XR | 車載インフォテインメント(IVI) | 成功/コリジョン |
| BoB::Takedown targeting Phoenix Contact CHARX SEC-3150 | EV充電器 | 成功/コリジョン |
| Summoning Team targeting Alpine iLX-F511 | 車載インフォテインメント(IVI) | 成功 |
| ZIEN targeting ChargePoint Home Flex (Model CPH50-K) | EV充電器 | 成功/コリジョン |
| Evan Grant targeting Grizzl-E Smart 40A with Charging Connector Protocol / Signal Manipulation add-on | EV充電器 | 成功/コリジョン |
表1. Pwn2Own Automotive 2026 2日目のコンテスト結果の全結果
注:他のリサーチャーによって発見済、または既知の脆弱性を用いた攻撃は「コリジョン(重複)」と分類されます。「成功/コリジョン」と判定されたチャレンジは、新たに発見されたゼロデイ脆弱性と既知の脆弱性の組み合わせによるものです。
2日目が示すもの:可能性から再現性へ
Pwn2Own Automotive 2026の2日目は、自動車およびEV充電器の脆弱性がもはや孤立した事例や理論上の話ではないことを裏付けました。成功したエクスプロイトは、チームやターゲットをまたいで再現可能であり、希少で複雑なゼロデイ脆弱性よりも、露出したインターフェース、デバッグモード、コマンドインジェクションといった一般的な弱点に依存していました。この変化は、単純な欠陥がいかに迅速に、自動車エコシステム全体で大規模に悪用され得るかを浮き彫りにしています。
自動車サイバーセキュリティのデモ
Pwn2Own Automotive 2026では、VicOneの主任セキュリティリサーチャーであるJay Turla(ジェイ・ターラ)氏が主導し、TrendAIのサイバースレットリサーチ担当シニアマネージャーである清水 努氏が進行を務めるバーチャルデモが行われ、車両システム、IoTゲートウェイ、EV充電インフラにまたがる脆弱性が紹介されました。これらのデモは、プロトコル、ファームウェア、インターフェースの弱点が、いかにして現実世界の運用リスクに直結するかを実証しました。
写真4:Trend Microのサイバースレットリサーチ担当シニアマネージャーである清水 努氏が、Pwn2Ownブースでデモを進行
最初のデモ「IVIシステムに対するBluetoothファジング」では、車載インフォテインメント・プラットフォームにおけるBluetooth Low Energy(BLE)およびClassic Bluetoothの実装に対し、構造化されたファジング手法を適用しました。リサーチャーは昇格された特権を必要とせずに、ライブロック、一時的なDoS(サービス拒否)状態、接続の不安定化を引き起こしました。これにより、安全性に直結しない低レベルのプロトコルの欠陥であっても、システムの安定性やユーザーエクスペリエンスを損なう可能性があり、標準的な検証では見落とされがちであることが明らかになりました。
2つ目のデモ「CVE-2025-48466 Modbusパケットインジェクション」では、Advantech WISE 4060LAN IoTゲートウェイの脆弱性を利用して、攻撃者がModbusコマンドをリプレイまたは注入し、ドアやリフトなどの接続デバイスを操作できる可能性が示されました。このシナリオは、運用技術(OT)におけるプロトコルレベルの弱点が、インターフェースが露出しファームウェアが適切に保守されていない場合、混乱や潜在的な安全上のリスクにつながることを強調しました。
これらのデモは、Pwn2Own Automotive 2026の2日目で明らかになった、単純な攻撃経路と一般的な弱点に関する知見を補強するものです。
Pwn2Own Automotive 2026 2日目のハイライト概要については、以下のビデオをご覧ください。
Pwn2Own Automotive 2026の2日目の最新情報は、VicOne(LinkedIn、X、ブログ)とZDI(LinkedIn、X、ブログ)をフォローしてご覧ください。
記事寄稿:ZDI、Dustin Childs(ダスティン・チャイルズ)
