期待を上回り続けたPwn2Own

2025年1月に開催された「Pwn2Own Automotive 2025」は、自動車向け脆弱性では初の2024年1月開催「Pwn2Own Automotive」の第2回目でした。世界中から自動車分野のリサーチャーが集まり、史上最大規模のステージで競い合いました。予想以上の参加があり、3日間で49件のゼロデイ脆弱性が発見され、総額1,323,750ドルの賞金が授与されました。その後「Pwn2Own」イベントは、バンクーバーに舞台を移し、Manfred Paul氏が Chrome、Edge、Firefox、Safari をすべて攻略して「Master of Pwn」の称号を獲得しました。この大会では29件のゼロデイに対し1,132,500ドルが授与され、さらにPwn2Own史上初となる「Dockerエスケープ」も記録されました。最後はアイルランドのコークで開催され、リモート参加は廃止され、すべての参加者が現地に集まる形式となりました。4日間にわたり70件を超えるゼロデイが発見され、1,066,625ドルが授与されました。つまり、2024年の Pwn2Own では合計148件のゼロデイに対し、総額3,500,000ドル以上の賞金が支払われたことになります。

図1. Pwn2Ownアイルランドで Samsung Galaxy S24 を攻略するKen Gannon氏

数字で振り返る

2024年、ZDI は1,741件のアドバイザリを公開しました。これは前年の過去最高記録である1,913件からわずかに減少しています（この点については後ほど触れます）。記録更新の年ではありませんでしたが、この数字には十分満足しています。毎年新記録を打ち立てる必要はなく、それを続けることは現実的ではありません。世界中の優れたリサーチャーと協力している一方で、ZDIのリサーチャーも大きな成果を挙げました。公開されたアドバイザリのうち40%以上がZDI のリサーチャーによる報告でした。以下の図は、アドバイザリ件数の年ごとの推移を示しています。

脆弱性の協調的な公開は引き続きZDIプログラムの重要な取り組みであり、成果も上がっています。2020年にはゼロデイ公開の割合が最も高くなりましたが、その後2年間は減少しました。2023年には再び増加しましたが、2024年はやや減少し、10.2%から9.7%へと小幅な低下にとどまりました。

ベンダー別のアドバイザリ件数は以下のとおりです。トップがAutoDeskという結果は意外に思えるかもしれませんが、この1年を通じて製品改善に向けた協力を重ねてきました。非常に良いパートナーシップを築くことができています。第2位のDelta Electronicsの件数は、ICS/SCADA セキュリティの現状を示すものとも言えるでしょう。エンタープライズ分野に比べると、まだ十分な水準には達していないと考えています。また、今年はAppleに関する脆弱性報告がAdobeを上回った初めての年となりましたが、この傾向が2025年以降も続くかどうかは疑わしいところです。Adobeに関して言えば、PDF のパース処理はAcrobatやReaderに限らず依然として大きな課題となっています。Foxit、Kofax/Tungsten Automation、PDF-XChange などでも多くのファイル解析の脆弱性がZDIによって報告されました。

影響の大きな脆弱性の発見には常に力を入れており、2023年との比較でも興味深い結果が出ています。2024年は公開した件数そのものは減少しましたが、「緊急（Critical）」および「高（High）」に分類される深刻度の脆弱性については、2023年より多く公開しました。数より質を重視した成果と言えます。

過去の年との比較は次のとおりです。

購入している脆弱性の種類については、2024年に公開されたアドバイザリにおける上位10件の CWE（Common Weakness Enumerations）は以下のとおりです。

スタックオーバーフローや SQL インジェクションといった「単純」な脆弱性が依然として多くを占めていますが、2025年以降はこの状況が変わるかもしれません。

今後の展望

2025年1月に開催された「Pwn2Own Automotive 2025」を始め、2025年もさまざまなPwn2Own コンテストが実施されています。現地に来られない場合でも、イベントの様子は配信や動画で、ほぼあらゆる種類のソーシャルメディアを通じて公開されます。ウェブサイトやブログと合わせて、動画コンテンツの拡充も進めていく予定で、毎月のパッチチューズデーでは動画（英語）を継続していきます。

これまで同様、顧客が直面するリスクに合わせて取り組みをさらに強化し、発見した脆弱性が顧客や幅広いエコシステムに最大限の効果をもたらすよう努めていきます。2025年も影響力のある調査、魅力的なコンテスト、そして役立つ情報が数多く提供される1年になります。このZDIブログ（英語）をチェックし、YouTube チャンネルを購読し、最新のエクスプロイト手法やセキュリティパッチに関する情報を得るために X、Mastodon、LinkedIn、Bluesky をフォローしてください。

参考記事：

Looking Back at the Trend ZDI Activities from 2024
By: Dustin Childs, Zero Day Initiative

翻訳：与那城務（Platform Marketing, Trend Micro™ Research）

タグ

脆弱性発見コミュニティZero Day Initiative（ZDI）の2024年ハイライト

目次

期待を上回り続けたPwn2Own

数字で振り返る

今後の展望

参考記事：

執筆者

Trend Vision One™ - Proactive Security Starts Here.

リソース

サポート

会社概要

東京本社

Trend Vision One™ - Proactive Security Starts Here.

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa