3日間にわたって開催された「Pwn2Own Automotive 2026」では、過去最多となる76件のゼロデイ脆弱性が発見され、ソフトウェア・ディファインド・ビークル(SDV)や車載インフォテインメント(IVI)システム、EV充電インフラに至るまで、攻撃対象領域が拡大している現状を改めて示す結果となりました。
今年は、コンテストを通して28ポイントを獲得したFuzzware.ioが「Master of Pwn 2026」に輝き、SDVやEVインフラの未来を守るために世界トップレベルのリサーチャーが実機を用いて検証を行う場として、多くの成果が得られました。
DAY3 注目のアテンプト
最終日、最初の成功を収めたのはチーム「Petoworks」で、単一のバッファオーバーフローの脆弱性を利用し、EV充電器Grizzl-E Smart 40Aの突破に成功しました。
IVIカテゴリーでは、「Team DDOS」チームがスタックベースのバッファオーバーフローを用いてAlpine iLX‑F511を攻略しました。また、「Viettel Cyber Security」チームは、Sony XAV‑9500ESをターゲットに、ヒープベースのバッファオーバーフローを利用してコード実行権限を獲得しました。
また、Aapo Oksman氏、Elias Ikkelä‑Koski氏、Mikael Kantola氏で構成されるチーム「Juurin Oy」が再びPwn2Ownのステージに戻ってきました。Kenwood DNR1007XRをリンク追跡の脆弱性を利用して攻略し、レベル3充電器(Alpitronic HYC50)に対してはTOCTOU(Time‑of‑Check to Time‑of‑Use)のバグを悪用してエクスプロイトを成功させました。またデモでは、同デバイス上に名作ゲーム『Doom』をインストールしてプレイ可能な状態にするという見事なパフォーマンスを披露しました 。
写真1. Juurin OyがAlpitronic HYC50でTOCTOUのバグを悪用し、「Doom」を実行
| アテンプト | カテゴリー | 結果 |
|---|---|---|
| Team MST (対象:Kenwood DNR1007XR) | 車載インフォテインメント(IVI)システム | 成功/コリジョン |
| Viettel Cyber Security (対象:Sony XAV-9500ES) | 車載インフォテインメント(IVI)システム | 成功 |
| Fuzzware.io (対象:Alpine iLX-F511) | 車載インフォテインメント(IVI)システム | 成功/コリジョン |
| Qrious Secure (対象:Grizzl-E Smart 40A) | レベル2 EV充電器 | 成功/コリジョン |
| Qrious Secure (対象:Kenwood DNR1007XR) | 車載インフォテインメント(IVI)システム | 成功 |
| Team DDOS (対象:Alpine iLX-F511) | 車載インフォテインメント(IVI)システム | 成功 |
| Petoworks (対象:Grizzl-E Smart 40A) | レベル2 EV充電器 | 成功 |
| Juurin (対象:Alpitronic HYC50) | レベル3 EV充電器 | 成功 |
| Viettel Cyber Security (対象:Kenwood DNR1007XR) | 車載インフォテインメント(IVI)システム | 成功/コリジョン |
| Autocrypt (対象:Alpine iLX-F511) | 車載インフォテインメント(IVI)システム | 成功 |
| Juurin (対象:Kenwood DNR1007XR) | 車載インフォテインメント(IVI)システム | 成功 |
| Pwn4S0n1c (対象:Autel MaxiCharger AC Elite Home 40A) | レベル2 EV充電器 | 成功/コリジョン |
| FPT NightWolf (対象:Alpine iLX-F511) | 車載インフォテインメント(IVI)システム | 成功 |
表1.「Pwn2Own Automotive 2026」第3日目の全結果
注:他のリサーチャーが発見済み、または既知の脆弱性が含まれるアテンプトは「コリジョン(衝突)」に分類されます。「成功/コリジョン」とマークされたアテンプトは、新規の脆弱性と既知の脆弱性の組み合わせを伴うものです。
Pwn2Own Automotive 2026「Master of Pwn」
「オートモーティブ ワールド 2026」内で3日間にわたり熱戦が繰り広げられた結果、ドイツのリサーチチーム「Fuzzware.io」が「Master of Pwn 2026」の称号を手にしました。
「Fuzzware.io」は、EV充電インフラを中心に複数ターゲットで成果を残しました。主なアテンプト内容は以下の通りです。
- Alpitronic HYC50(フィールドモード):境界外書き込み(Out‑of‑Bounds Write)のエクスプロイトにより、Alpitronic社のEV急速充電器のフルコントロールを奪取しました
- Autel MaxiCharger:コード実行と信号操作技術を組み合わせ、複雑な2つのバグによる攻撃チェーンを成功させました
- Phoenix Contact CHARX:3つの異なるバグと2つのアドオンを組み合わせた「ハットトリック」とも呼べるエクスプロイトを成功させ、複数の脆弱性を連鎖させて最大の影響を与える脅威を披露しました
- Emporia/ChargePoint:家庭用充電器に対しても信号操作を用いて攻略し、商用ステーションだけでなく家庭用ユニットも同様に脆弱であることを証明しました
写真2. 「Master of Pwn 2026」に輝いた「Fuzzware.io」とTrend AI ZDIのDustin Childs、VicOne CEOのMax Cheng、Trend AI ZDIのBrian Gorenc
「Pwn2Own Automotive 2026」のチャンピオンとなったScharnowski氏、Buchmann氏、Covic氏の3名は、「Master of Pwn」のトロフィーだけでなく、自動車セキュリティ研究の新たな基準を打ち立てたという名誉とともに帰路につきました。
写真3. 「Pwn2Own Automotive 2026」の上位5チーム。他の「Pwn2Own」シリーズと同様、検証された各エクスプロイトに対して「Master of Pwn」ポイントが付与されます
「Pwn2Own Automotive 2026」の最終日となる第3日目のハイライトは、動画でもご覧いただけます。
おわりに
「Pwn2Own Automotive 2026」は過去最高となる合計76件のゼロデイ脆弱性の発見という成果とともに幕を閉じました。
VicOneは、TrendAI Zero Day Initiative(ZDI)とともに「Pwn2Own Automotive」を共催することにより、世界トップレベルのセキュリティリサーチャーたちが技術を披露する場を提供するだけでなく、SDV時代に向けて進むエコシステムの中でサイバーセキュリティの基盤を強化し、業界との連携を深める役割も果たしています。
「Pwn2Own Automotive」の最新情報は、VicOneのLinkedIn、X、ブログで随時発信しています。ぜひフォローをお願いします。
また、コネクテッドカーの脆弱性に関する研究や、セキュリティのベストプラクティスについては、リソースページをご覧ください。
記事寄稿:ZDI、Dustin Childs(ダスティン・チャイルズ)
