Pwn2Own:リサーチャーたちが76件のゼロデイ脆弱性で100万ドルを獲得
TrendAI Zero Day Initiative(ZDI)が、コネクテッドカー、EV充電器、自動車システム全体にわたって、どのように重大な脆弱性を特定したのかをご紹介します。
コネクテッドカー、EV充電器、自動車システムにおける重大な脆弱性の発見
世界中でコネクテッドカーが急速に普及する中で、車両におけるデータセキュリティは、これまで以上に重要な課題となっています。ガソリン車であれ電気自動車であれ、新しい車両は膨大な量のデータを送受信しており、そのこと自体が、メーカーにとっても利用者にとっても、データプライバシーや安全性に関する懸念を高めています。
TrendAI Zero Day Initiative™(ZDI)は、スレットリサーチの最前線に立ち続けており、コネクテッドビークルも例外ではありません。先週、TrendAI ZDIは東京でPwn2Own Automotiveを開催し、世界中からセキュリティ研究者を招いて、責任ある形でエクスプロイトやゼロデイ脆弱性を実証・開示してもらいました。このイベントは、世界でもっとも権威あるハッキングコンテストのひとつとして知られており、参加者は、EV充電器、車載インフォテインメントシステム、自動車向けオペレーティングシステムなど、さまざまなコネクテッド車両デバイスを標的にしました。
このイベントでは合計76件の脆弱性が開示され、参加者には総額1,047,000ドルの賞金が授与されました。Fuzzware.ioのチームは、その成果により215,000ドルを獲得し、「Master of Pwn」の称号に輝きました。
このイベントは、VicOneが TrendAI ZDIとともに共催し、Tesla がスポンサーを務め、さらにAlpitronicおよびOpen Charge Allianceがパートナーとして支援しました。
イベントのその他のハイライトとして、次のような成果もありました。
- Synacktiv(@synacktiv)は、情報漏洩とアウトオブバウンズ書き込みを連鎖させることで、USBベースのアタックカテゴリにおいてTeslaのインフォテインメントシステムを悪用することに成功しました。
- Synacktivチームはまた、NFCを用いて Autel MaxiCharger AC Elite Home 40A を標的とするという、Pwn2Own 史上初の手法を実現しました。これは、Charging Connector Protocol/Signal Manipulation のアドオンを組み合わせた攻撃でした。
- Fuzzware.io(@ScepticCtf、@diff_fusion、@SeTcbPrivilege)は、2つの脆弱性を連鎖させることで、Autel MaxiCharger AC Elite Home 40A EV充電器上でのコード実行を達成し、さらに ChargePoint シグナルの操作にも成功しました。
TrendAIは、Pwn2Own を通じて開示された情報を活用し、サイバーセキュリティ業界の他社に比べて平均で71日早く、ゼロデイ攻撃から顧客を保護しています。
「プロアクティブセキュリティは、どのセキュリティプロバイダーよりも迅速に、お客様と世界をサイバー脅威から守るという私たちの使命の中核にあります。TrendAI ZDI は、私たちの比類なきスレットインテリジェンスを支える重要な存在です。コネクテッドアセットは、急速にデジタル世界の不可欠な一部となりつつあります。Pwn2Own においてセキュリティの専門家たちを結集し、スレットリサーチを前に進めていけることを誇りに思います。」
TrendAI 最高プラットフォーム責任者(CPO) 兼 最高事業責任者(CBO) レイチェル・ジン(Rachel Jin)
参考記事:
Pwn2Own: Researchers Earn $1 Million for 76 Zero-Days
By: Trend Micro Research
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)