大会賞金総額約2億円、新たに発見された未知の脆弱性49個、優勝はフランスのSynacktiv、「マスター・オブ・ポウン」に
トレンドマイクロ株式会社(東京都新宿区、代表取締役社長 (CEO) エバ・チェン)の子会社で、自動車向けサイバーセキュリティ分野のリーディングカンパニーであるVicOne(ビックワン、東京都新宿区、最高経営責任者(CEO) マックス・チェン)は、2024年1月24日から26日の3日間、「第16回 オートモーティブ ワールド -クルマの先端技術展-」内にて、コネクテッドカーに特化した史上初のハッキング・コンテスト「Pwn2Own Automotive 2024(ポウントゥオウン オートモーティブ ニーマルニーヨン)」を、トレンドマイクロ傘下の脆弱性発見団体のZero Day Initiative(ゼロデイイニシアティブ) と共催しました。
「Pwn2Own Automotive 2024」は主に、コネクテッドカーと周辺装置のセキュリティ脆弱性を悪用される前に発見し修正すること、ホワイトハッカーコミュニティと自動車関連ベンダーをつなげること、そして自動車産業の主要国である日本から自動車のセキュリティ課題解決に貢献することを目的としています。
本大会は、自動車に特化したホワイトハッカーの衆知を集めるコンテストとしては史上初でありながら、2007年から続く「Pwn2Own」全体の中でも過去最大級の規模となりました。具体的には、日本を含む9カ国から17のホワイトハッカー・チームが参加し、「テスラ」、「車載インフォテインメント(IVI)」、「EV充電装置」、「オペレーティングシステム」の4つのカテゴリーに対して合計45以上のハッキングの試みを行い、132万3,750米ドル(約1億9,570万円)相当の賞金と賞品をめぐって腕を競い合いました。
参加者が勝ち進むためには、各自が新たに発見した脆弱性を活用して対象となるシステムやデバイスに対し攻撃を仕掛け、任意の命令を実行できるようにすることが重要となります。
また本大会ではテスラがタイトルスポンサーを務め、本大会にモデル3とモデルSの2台が提供されたほか、電気自動車の充電ソリューションを提供するリーディングカンパニーであるChargePointもハードウェアの供給を行いました。
「Pwn2Own Automotive 2024」の主な結果
「Pwn2Own Automotive 2024」の主な結果は以下の通りでした。
優勝し、「Pwn2Own Automotive」の初代「マスター・オブ・ポウン」の称号に輝いたのはフランスのSynacktivで、大会を通じて賞金45万ドルの賞金を手にしました。
- 3日間を通して、合計49個の未知のセキュリティ脆弱性(ゼロデイ脆弱性)が参加者らによって発見されました。
- 米国、日本をはじめ、英国、ハンガリー、オランダ、フランス、ドイツ、ベトナムから、合計17の個人ハッカーやハッキングチームが参加しました。日本からはKatsuhiko Sato氏が個人で出場し、全体で9位となって、41,250ドルの賞金を獲得しました。
本大会を通じて発見されたゼロデイ脆弱性は各ベンダーに報告され、今後修正に向けて対応が進められます。脆弱性の詳細な内容は、その状況を踏まえて大会終了後から90日後以降に発表予定です。
本大会の詳細な結果は、以下の公式ブログ(英語)をご参照ください。
「Pwn2Own Automotive 2024」の意義
VicOneは、自動車業界において拡大する攻撃領域や増加するサイバーセキュリティリスクに積極的に対処することで、業界をリードしています。今回、ベンダーに依存しない世界最大のバグ・バウンティ(報奨金)・プログラムを運営するZDIと共に、タイトルスポンサーを務めるテスラなどの協力を得て本大会を開催したことには主に以下のような意義があります。
- 自動車および周辺装置のセキュリティ脆弱性の早期発見
ネガティブな印象を持たれがちなハッキングによる脆弱性の発見ですが、早期に発見し、ベンダーへ共有して対策を図ることが、第一に安全面で、またコスト面でも重要です。
- ホワイトハッカーに対しインセンティブを与え、自動車分野の脅威研究を加速させる
セキュリティ領域の専門家であるホワイトハッカーたちの、ゼロデイ脆弱性の発見と報告に対して充分な金銭的報酬と名誉を得られる機会を用意することで、高度な技術者たちが倫理的にその技能を活用することを促進し、さらに将来的にもより優秀な技術者たちがプログラムに参画するためのインセンティブとなります。これにより、結果的に自動車領域の脅威研究は加速し、モビリティの安全性が高まることに繋がります。
- ホワイトハッカーコミュニティと自動車関連ベンダーをつなげる
日本の自動車産業は、現在も世界のトップクラスの出荷量を誇り、輸出もさかんです。この日本において、コネクテッドカーの脆弱性について、啓発にとどまらず実際の業界をあげての動きを加速させるため、「オートモーティブワールド」の中で本大会を開催しました。これにより、自動車関連のベンダーたちと、世界中から集まったトップレベルのセキュリティ研究者のグローバルなコミュニティを繋げ、両業界の結びつきを強めました。
その一環として会期中には、会場からの海外にある自動車の遠隔コントロールをはじめとしたサイバー攻撃とその影響を実演するデモンストレーションや、ゲストパネリストを交えた日本のサイバーセキュリティの未来予測パネルディスカッションも実施しました。
VicOne CEO:マックス・チェン コメント
「自動車業界を取り巻く日進月歩の革新により、自動車は単なる伝統的な交通手段であるだけにとどまらず、まったく新しいモビリティ、また新たな生活スペースとなっていきます。インターネットへの接続などにより私たちの生活とモビリティがいっそう密に結びつく時代において、サイバーセキュリティは人々の経済的・身体的安全を守るために最重要であり、だからこそ悪意を持った攻撃者に先んじてシステム上のセキュリティ脆弱性を発見し、対策を講じることが不可欠なのです。
『Pwn2Own Automotive 2024』は、VicOneが長年培ってきたセキュリティの専門的知見を、日本から自動車業界へ浸透させていくための取り組みの一つです。またVicOneは、この大会を一度きりの機会に留めず継続的に開催することで、自動車分野のゼロデイ脆弱性発見ならびに脅威インテリジェンスの発展に貢献したいと考えています。また来年もぜひ東京で『Pwn2Own Automotive 2025』を開催し、皆さんと再開できることを願っています。」
トレンドマイクロ バイスプレジデント:ブライアン・ゴレンク コメント
「『Pwn2Own』は2007年から続く、世界で最も困難な攻撃対象領域に対して侵入できる技術力をもったトップレベルの技術者たちに、脆弱性の発見に対して報奨金を与える世界最大規模のハッキングコンテストです。これまでの大会における対象領域は多岐にわたりますが、今回は初めて自動車に特化した『Pwn2Own Automotive』として開催されました。本大会を通じて、新たに未知の脆弱性が49個も発見されたこと、そして自動車業界のベンダーと世界トップレベルのセキュリティ研究者のコミュニティが一同に会し、自動車のサイバーセキュリティにかかる最新の有用な知見を共有する場を持てたことは、世界の自動車業界が進化する脅威に備えるために極めて重要な意義を持つと考えています。」
第1回Pwn2Own Automotive 2024イベントの全スケジュール(英語)は以下からご覧いただけます。
https://www.zerodayinitiative.com/blog/2024/1/23/pwn2own-automotive-2024-the-full-schedule
また、自動車向けサイバーセキュリティの最新情報やそのほかのバグバウンティ・プログラムについては、VicOne(LinkedIn、X、ブログ)とZDI(LinkedIn、X、ブログ)のソーシャルメディアアカウント、ならびに公式ブログ記事をご参照ください。
VicOneについて
VicOneは、未来の自動車を守るというビジョンを持ち、自動車産業向けに幅広いサイバーセキュリティソフトウェアやサービスを提供しています。自動車メーカーの厳しい要求に応えるために開発されたVicOneの各ソリューションは、現代の車両が必要とする高度なセキュリティニーズにマッチし、セキュリティを確保、スケーリングするように設計されています。VicOneは、トレンドマイクロの子会社であり、トレンドマイクロが30年以上にわたって培ってきたサイバーセキュリティ技術をベースにしています。
これにより、類まれな自動車の保護と深いセキュリティへの洞察を提供し、お客様が安全でスマートな車両を開発できるよう支援しています。
【日本法人名】VicOne株式会社(英語名:VicOne Corporation)
【グローバル代表】CEO マックス・チェン
【日本法人役員】会長 マヘンドラ ネギ、 マックス チェン等
【設立日(台湾)】2022年6月
【設立日(日本)】2023年6月(登記月)
【従業員数(グローバル)】約100名
【本社所在地】日本、東京都新宿区新宿4-1-6 JR新宿ミライナタワー
【事業内容】自動車向けサイバーセキュリティソリューション
【U R L】https://vicone.com/jp
メディアコンタクト
Myla Pilao
myla_pilao@vicone.com