アイルランドのコークで開催されたPwn2Own Ireland 2025において、セキュリティ研究者たちが合計1,024,750ドルの賞金を獲得しました。彼らは、プリンター、ネットワークストレージシステム、メッセージングアプリ、スマートホームデバイス、監視機器、ホームネットワーク機器、そしてフラッグシップスマートフォン(Apple iPhone 16、Samsung Galaxy S25、Google Pixel 9)、ウェアラブルデバイス(MetaのRay-Ban Smart Glasses、Quest 3/3Sヘッドセットを含む)といった8つのカテゴリーの製品を標的とし、73件ものゼロデイ脆弱性を発見しました。
このコンテストでは、モバイルハンドセットのUSBポートを悪用する試みも含まれており、研究者たちは物理的な接続を通じてロックされたデバイスをハッキングする必要がありました。ただし、Bluetooth、Wi-Fi、NFC(近距離無線通信)などの従来のワイヤレスプロトコルも、依然として有効な攻撃ベクトルとして認められました。Meta、QNAP、Synologyが共同でスポンサーを務めたこのハッキングコンテストは、2025年10月21日から23日まで開催されました。
Summoning TeamがMaster of Pwnを獲得、Samsung Galaxy S25の攻略がハイライト
今年のPwn2Own Irelandでは、Summoning Teamが22ポイントのMaster of Pwnを獲得し、187,500ドルの賞金を手にしました。彼らは、Samsung Galaxy S25、Synology DiskStation DS925+ NAS、Home Assistant Green、Synology ActiveProtect Appliance DP320 NASドライブ、Synology CC400Wカメラ、そしてQNAP TS-453E NASデバイスをハッキングしました。特に、Samsung Galaxy S25の攻略は大きな注目を集めました。
一方、Team ANHTUDは76,750ドルと11.5ポイントで2位、Team Synactivは90,000ドルの賞金と11ポイントで3位となりました。これらのチームも、複数のデバイスやシステムに対する脆弱性を発見し、その技術力を示しました。Pwn2Own Irelandは、単に賞金を競う場ではなく、セキュリティ業界全体の底上げに貢献する重要なイベントとなっています。
3日間で73件のゼロデイ脆弱性が明らかに
Pwn2Own Irelandの初日には、ハッカーたちは34件のユニークなゼロデイ脆弱性を悪用し、522,500ドルの賞金を獲得しました。2日目には、さらに22件のユニークなゼロデイ脆弱性がデモされ、267,500ドルが授与されました。最終日には、Interrupt LabsのチームがSamsung Galaxy S25に対する不適切な入力検証の脆弱性を悪用し、位置情報追跡とカメラの有効化に成功し、50,000ドルと5ポイントを獲得しました。この脆弱性は、デバイスのセキュリティを根本から揺るがす可能性を示唆しました。
当初、Team Z3はWhatsAppのゼロクリックリモートコード実行のゼロデイ脆弱性を実証する予定でしたが、100万ドルの報酬対象となるこの脆弱性のデモを中止しました。彼らは、Metaのエンジニアリングチームと研究を共有する前に、ZDIアナリストに調査結果を非公開で開示することを選択しました。この決定は、脆弱性の公開よりも、ベンダーとの協力による迅速な修正を優先する姿勢を示しています。
Canon imageCLASS MF654CdwプリンターやPhillips Hue Bridgeも標的に
PHP Hooligansは、OOB Writeのバグを利用してCanon imageCLASS MF654Cdwプリンターを攻略し、10,000ドルと2 Master of Pwnポイントを獲得しました。また、TwinkleStar03(DEVCORE Intern Program)は、スタックベースのバッファオーバーフローを利用してCanon imageCLASS MF654Cdwに対する6回目の勝利を収め、10,000ドルと2 Master of Pwnポイントを獲得しました。これらの成果は、プリンターが依然として攻撃対象として魅力的であることを示しています。
さらに、Mehdi & Matthieu(Synacktiv)は、バッファオーバーフローを利用してPhillips Hue Bridgeを攻略し、20,000ドルと4 Master of Pwnポイントを獲得しました。Team Neodymeは、Amazon Smart plugを3つのバグを利用して攻略し、20,000ドルと2 Master of Pwnポイントを獲得しました。これらのスマートホームデバイスに対する攻撃成功は、IoTデバイスのセキュリティ対策の重要性を改めて浮き彫りにしました。
Viettel Cyber SecurityとQrious Secureも成果を上げる
Dinh Ho Anh KhoaとPhan Vinh Khang(Viettel Cyber Security)は、独自のコマンドインジェクションと、以前のバグと衝突した2つのバグを利用してHome Automation Greenを攻略し、12,500ドルと2.75 Master of Pwnポイントを獲得しました。Ho Xuan Ninh(@Xuanninh1412)とHoang Hai Long(@seadragnol)(Qrious Secure)は、5つのバグを利用してPhillips Hue Bridgeを攻略しましたが、ユニークなものは3つのみでした。それでも、彼らは16,000ドルと3.75 Master of Pwnポイントを獲得しました。これらのチームの活躍は、ベトナムのセキュリティ研究者のレベルの高さを証明しています。
Le Trong Phuc(chanze@VRC)とCao Ngoc Quy(Chino Kafuu)(Verichains Cyber Force)は、認証バイパスを含む2つのユニークなバグを連鎖させ、Synology DS925+を攻略し、rootとしてコードを実行しました。彼らの功績は、20,000ドルと4 Master of Pwnポイントに値します。これらの成果は、NASデバイスのセキュリティにおける脆弱性が依然として存在することを示唆しています。
Pwn2Own Irelandがもたらすセキュリティへの貢献
Zero Day Initiative(ZDI)は、脅威アクターが攻撃で悪用する前にセキュリティ脆弱性を特定し、影響を受けるベンダーとの責任ある開示を調整するために、このハッキングコンテストを主催しています。Pwn2Ownでゼロデイが悪用された後、ベンダーはTrend MicroのZero Day Initiativeが公開する前に、90日以内にパッチをリリースする必要があります。このプロセスは、脆弱性の悪用を防ぎ、ユーザーを保護するために不可欠です。
2026年1月には、ZDIは東京で開催されるAutomotive World technology showで、3回目のPwn2Own Automotiveコンテストを再び開催する予定です。このコンテストは、Teslaがスポンサーを務めます。Pwn2Ownは、自動車業界におけるサイバーセキュリティの重要性を高め、新たな脆弱性の発見と対策を促進する上で重要な役割を果たしています。
Pwn2Own Ireland 2025は、セキュリティ研究者たちの卓越した技術力と、ベンダーとの協力による脆弱性対策の重要性を改めて認識させるイベントとなりました。今後も、このようなイベントを通じて、より安全なデジタル環境が実現されることが期待されます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Zero Day Initiative — Pwn2Own Ireland 2025 - Day Two Results - https://www.zerodayinitiative.com/blog/2025/10/22/pwn2own-ireland-2025-day-two-results
- -Hackers earn $1,024,750 for 73 zero-days at Pwn2Own Ireland - https://www.bleepingcomputer.com/news/security/hackers-earn-1-024-750-for-73-zero-days-at-pwn2own-ireland/