エクスプロイト&脆弱性
Pwn2Own Berlin 2026:ZDI史上最大のAI対決を現地から徹底レポート
Pwn2Own Berlin 2026では47件のゼロデイ脆弱性が暴かれ、賞金総額は1,298,250米ドルに達しました。TrendAI™は3日間にわたり現地で取材を行いました。本記事ではその様子をお伝えします。
- Pwn2Own Berlinでは、研究者らが10のターゲットカテゴリにわたって47件のユニークなゼロデイ脆弱性を発見し、賞金総額は1,298,250米ドルとイベント史上の新記録を樹立しました。
- 初日はAI関連のサブカテゴリ(コーディングエージェント、ローカル推論、AIデータベース、NVIDIA)が主役となりました。OpenAI Codex、LiteLLM、LM Studio、NVIDIA Megatron Bridgeといった製品が軒並み攻略され、いずれもAI製品が外部のツールやプロトコルを無条件に信頼してしまう境界(「信頼境界」の問題)で悪用されました。
- 従来型のエンタープライズ向けの脆弱性も依然として健在でした。Microsoft Exchange(SYSTEM権限でのRCE)、SharePoint(認証前のRCE)、Edge(4つの脆弱性を連鎖させたサンドボックスエスケープ)はいずれも、よく知られた脆弱性クラスによって攻略されました。VMware ESXiでは、マルチテナント環境のインフラに影響を及ぼしかねない、テナントをまたぐゲストからホストへのエスケープが成功しました。
- TrendAI™は5月19日までに(ベンダーによるパッチ提供に先立ち)9件のTrendAI™ TippingPoint™フィルタを提供し、LiteLLM、Edge、Exchange、SharePointの脆弱性に対応しました。通信レベルでの検査が現実的でないAIカテゴリの脆弱性については、TrendAI Vision One™によるエンドポイント層での検出が推奨される対策です。
コンテストの概要とBerlinでの出来事
Pwn2Ownとは
Pwn2Ownは、ベンダーに依存しない世界最大のバグバウンティプログラムであるTrendAI™ Zero Day Initiative™(ZDI)が主催する、世界で最も権威あるハッキングコンテストです。19回目を迎える本コンテストでは、参加登録したセキュリティ研究者が、最新のパッチが適用された、広く普及しているソフトウェアの製品版に対して動作するエクスプロイトを開発し、3日間のイベント期間中にステージ上で実際に実演します。ベンダーにはターゲットとなるカテゴリが事前に通知されますが、具体的な脆弱性は知らされません。これは、脆弱性がステージ上で実演される時点で、それが真に世界の誰にも知られていない状態であることを意図したものです。
ルールは、新規性と複雑さの両方を評価するように設計されています。実演に成功するたびに、参加者は賞金と「Master of Pwn」ポイントを獲得します。コンテストの最後には、最も多くのポイントを獲得したチームまたは個人がMaster of Pwnの称号を授与され、賞金とともに、そのイベント限定のMaster of Pwnジャケットを受け取ります。
Pwn2Ownで実演されたすべての脆弱性は、その後、影響を受けるベンダーに開示されます。ベンダーには90日間の猶予が与えられ、その期間が過ぎるとTrendAI™ ZDIが完全な技術的詳細を公開します。その間、TrendAI™のセキュリティチームは、実演された脆弱性に対する脅威検出と緩和策のカバレッジ開発に取り組み、開示からベンダーによるパッチ提供までの期間、TrendAI™のお客様に保護のレイヤーを提供します。
この協調的なモデルは、TrendAI™ ZDIの使命の中核を成すものです。本コンテストは、体系的な仕組みを通じて重大な脆弱性を発見・修正し、攻撃者がこれらの欠陥を悪用する前にお客様を保護します。
Pwn2Own Berlin 2026
2026年のコンテストはBerlinで開催されたOffensiveConと併催され、TrendAI™ ZDIがPwn2Ownをドイツで開催するのは2年連続となりました。今年のイベントはAmazon Web Services(AWS)が共同スポンサーを務め、この提携により、TrendAI™ ZDIはFirecrackerの脆弱性に対する賞金を増額することができました。
本コンテストは史上初めて参加枠が満員となり、スケジュール上の制約から、TrendAI™ ZDIは予定していた締め切りを前倒しして応募を締め切らざるを得ませんでした。パート2で詳しく述べるように、これはAIエージェントが業界にもたらしている変化を示すものであり、その結果、アタックサーフェスの拡大と、攻撃者や研究者が脆弱性を発見・悪用するために利用できるツールの拡充の両方が生じています。
リーダーボード
DEVCORE Research Teamは、50.5ポイント、賞金505,000米ドルでMaster of Pwnの称号を圧倒的な成績で獲得しました。同チームのOrange Tsai氏は、今大会で最も技術的に野心的なエクスプロイトチェーンのいくつかを実演しました。一方、STARLabs SGは25ポイント、242,500米ドルで2位、Out of Boundsは12.75ポイント、95,750米ドルで3位となりました。
ターゲット、攻撃手法、そしてAIセキュリティの転換点
脇役から主役へと躍り出たAI
TrendAI™ ZDIが2025年に初めてAIをPwn2Ownのカテゴリとして導入したとき、それは将来を見据えた賭けでした。2026年には、AIはコンテストの中心となりました。2026年では、単一の「AI」カテゴリが4つのサブカテゴリに分割されました。AIデータベース、コーディングエージェント、ローカル推論、NVIDIAの4つです。
AIがコンテストに与えた影響は、ターゲットリストにとどまりませんでした。3日間にわたって各チームと話す中で、明確なパターンが見えてきました。参加者の大半が、攻撃を開発する際にAIエージェントを実際のツールとして積極的に活用していたのです。アタックサーフェスの評価、脆弱性の発見、エクスプロイトの開発のいずれにおいても、AIの支援は例外ではなく標準となっており、AIをまったく使わずに作業を進めたチームはごくわずかでした。これは2年前からの変化であり、新たな脆弱性が発見されるペースに現実的な影響を及ぼします。エンタープライズのアタックサーフェスを拡大させているのと同じツールが、攻撃者がそのアタックサーフェスにおける弱点を発見・悪用する能力をも加速させているのです。
ここから得られる教訓は2つあります。第一に、AIツール群は深刻なエンタープライズのアタックサーフェスとなっており、そこに存在する脆弱性は例外的なケースではなく、アーキテクチャに根差したものだということです。第二に、AIは今やオフェンシブな研究者のツールキットの標準的な一部となり、新製品のリリースから動作するエクスプロイトの完成までの時間を短縮しているということです。
AIツールにおける信頼境界の問題
今大会で攻略されたすべてのAI製品に共通して見られた最も一貫した発見は、TrendAI™が「信頼境界の問題」と呼ぶものでした。最新のAIコーディングエージェント、推論プロキシ、ローカルLLMプラットフォームは、単独で動作するわけではありません。これらは外部のツール、プロトコル、SDK、サービスと連携し、接触するあらゆるものの信頼の前提を引き継ぐ傾向があります。その際、それら信頼されたインターフェースに到達する入力が安全かどうかを独自に検証することはありません。
このパターンは、4つのAIカテゴリにわたって繰り返し現れました。TrendAI™が確認した開示の中では、OpenAI CodexとLiteLLMはいずれも、外部のツールやサービスとのやり取りにおける信頼境界を悪用する方法を見つけた3つの異なるチームによって攻略され、いずれもroot権限でのコード実行に至りました。同様に、あるチームがLM StudioとNVIDIA Megatron Bridgeを悪用し、攻撃者が制御するコードを実行する様子も確認されました。いずれのケースでも、AI製品が単独で破られたのではなく、信頼するツールやプロトコルと接するインターフェースで破られたのです。
これらのツールを導入する組織は、ネットワークからアクセス可能なあらゆるサービスと同等の厳しさをもって扱うべきです。具体的には、ネットワークのセグメンテーション、エンドポイントの挙動監視、プロセス系統のアラート(特にAIエージェントのプロセスから予期せず生成されるシェルに対するもの)、そしてエージェントが書き込み権限を持つディレクトリにおけるファイルシステムの完全性監視です。これらのアプリケーションでは、多層防御が引き続き重要となります。これらの製品ではネットワーク検査が可能な範囲が限られており、広範な保護を実現するには、エンドポイントおよびランタイムの挙動検出への追加投資が必要です。
TrendAI Vision One™プラットフォームは、こうしたニーズに対応します。具体的には、AIエージェントのランタイムから生成される異常なシェルの検出に適したプロセス系統の可視化を含む、XDR主導のエンドポイントおよびプロセスのテレメトリと、ファイルシステムの完全性監視およびランタイムの挙動制御を担うTrendAI Vision One™ Server and Workload Security(SWP)を組み合わせています。
従来型の脆弱性に依然として陥るエンタープライズの主力製品
AIのターゲットが今大会の性格の多くを決定づけた一方で、従来型のエンタープライズインフラも数多く名を連ね、いくつかの高額ターゲットがよく知られた脆弱性クラスによって攻略されました。
Microsoft Exchange:DEVCORE Research TeamのOrange Tsai氏が、SYSTEM権限でのリモートコード実行チェーンを成立させ、最高額となる200,000米ドルの賞金を獲得しました。3つの脆弱性を連鎖させたこの攻撃により、低権限のドメインマシンからサーバの完全な侵害が実現しました。これは、攻撃者が環境内の初期の足がかりを利用して高レベルの権限を取得する容易な手段を提供するものです。
Microsoft SharePoint:DEVCORE Research Teamのsplitline氏が攻略し、100,000米ドルを獲得しました。この参加者は、認証されていないHTTPリクエストを利用して、デフォルト設定のSharePointインストール環境でリモートコード実行を達成しました。
Microsoft Edge:精力的に活動するOrange Tsai氏が、コンテスト初日にこの製品を標的としました。同氏は、単独では致命的とは言えない4つのロジックの脆弱性を連鎖させて完全なサンドボックスエスケープを達成し、175,000米ドルを獲得しました。この攻撃の結果、ページを読み込む以外にユーザの操作を一切必要とせず、一度アクセスするだけで侵害が成立します。
VMware ESXi:STARLabs SGのNguyen Hoang Thach氏が、ゲストからホストへの完全なエスケープを、テナントをまたぐコード実行という追加ボーナス付きで成功させ、200,000米ドルを獲得しました。これは今大会で最も重大な瞬間だったと言えるでしょう。この攻撃チェーンは、ゲスト仮想マシンの内部を起点として、ベアメタルのハイパーバイザーへと脱出し、さらに同一ホスト上の別のゲストにまで到達してこれを改変しました。これはマルチテナント型のホスティング環境に直接的な影響を及ぼすシナリオです。
このほかにも、Claude、Cursor、NVIDIA Container Toolkit、Oracle AI Database、Windows 11、Red Hat Enterprise Linuxなど、さまざまな製品に対する攻撃の試みが成功しました。本記事執筆時点では、TrendAI™ ZDIおよびTrendAI™ Labs Threat Responseが、検出ガイダンスを提供するためにこれらのケースを引き続き評価しており、適切な形で追加情報を開示していく予定です。
本コンテストは、3日間にわたって複数の部屋で同時並行的に多数の試みが行われるため、TrendAI™はすべての開示を直接見届けることはできませんでした。上記の解説は、TrendAI™のチームが立ち会った試みを対象としています。並行して行われたセッションでは、ほかにも注目すべき結果が数多く生まれており、今後数週間かけて引き続き精査していく予定です。
脆弱性のパターン
今年のイベントで取り上げられたターゲット全体を通じて、いくつかの脆弱性パターンが繰り返し現れました。AIカテゴリでは、信頼境界の不備とアーキテクチャ設計の誤りが大半を占めました。攻略されたすべてのAI製品は、外部のツールやプロトコルを通じて到達する入力を無条件に信頼していたために攻略されたのです。Microsoftサーバのカテゴリでは、認証と認証情報の取り扱いに関する弱点が大半を占めました。ESXiの結果を決定づけたのはメモリ安全性の不備でした。ブラウザのセキュリティの不備は、Chromiumエンジンのベースラインに対するベンダー独自の拡張機能に蓄積した小さなミスから生じたものです。おそらく最も驚くべきことに、Microsoft Edgeへの攻撃で使われた4つの脆弱性はすべてロジックの脆弱性であり、メモリ破壊は一切見られませんでした。
TrendAI™のソリューション
TrendAI™ ZDIおよび製品セキュリティチームは、Pwn2Own Berlin 2026で実演された脆弱性を、TrendAI™に開示された瞬間から追跡してきました。TrendAI™ TippingPoint™のネットワークセキュリティフィルタが対応するターゲットについては、各チームがコンテストから数日以内、かつベンダーによるパッチ提供にも十分先立って保護を開発・提供しました。
以下のフィルタは2026年5月19日時点ですでに提供されており、ベンダーによる修正に先立ってお客様にネットワークレベルでのカバレッジを提供しています。本記事執筆時点では、追加のカバレッジも開発中です。
LiteLLMが4つのフィルタエントリを占めているのは、コンテスト期間中に3つの独立したチームがそれぞれ異なる悪用経路を実演したためです。カバレッジは、4つの脆弱性を連鎖させたMicrosoft Edgeのサンドボックスエスケープチェーン、ExchangeのSYSTEM権限でのRCE、認証前のSharePoint RCEにも及びます。最新のフィルタパッケージを適用してTippingPointを運用しているお客様は、ベンダーによるパッチを待つ間、これらの脆弱性からネットワークレベルで保護されます。
Pwn2Own 2026で実演されたすべての脆弱性は、コンテストの一環としてベンダーに開示されました。ベンダーには現在、コンテストで使われたすべての脆弱性に対するパッチを作成・公開するための90日間の猶予が与えられています。その間、TrendAI™はこれらの脆弱性に対する前述の検出をすでに公開しており、今後も評価を続け、利用可能になり次第さらなるガイダンスを公開していきます。
加速する競争
Pwn2Own Berlin 2026は、今後1年間のエンタープライズセキュリティの優先課題を形作るパターンを明らかにしました。最大の教訓はスピードです。AIを活用した研究、拡大するアタックサーフェス、そして過去最多の参加者が、製品のリリースから動作するエクスプロイトの完成までの時間を短縮し、防御側が対応に使える時間を縮めています。
今大会でAIツールにおいて明らかになった信頼境界の問題は、一時的な成長の痛みにとどまるものではありません。エージェントのエコシステムが拡大し、AI製品がより多くの外部のツール、プロトコル、サービスと統合されるにつれて、アタックサーフェスもそれとともに拡大していきます。新たに統合される箇所はすべて、引き継がれた信頼の前提が悪用されかねない潜在的な継ぎ目となります。AIエージェントを導入する組織は、このアタックサーフェスが導入規模の拡大とともに広がっていくことを想定し、それに応じてセキュリティアーキテクチャを計画すべきです。
テナントをまたぐコード実行を伴うVMware ESXiのゲストからホストへのエスケープは、クラウド環境におけるハイパーバイザーのセキュリティについて鋭い警鐘を鳴らしました。仮想化は、マルチテナント型インフラにとって依然として基盤となる分離レイヤーです。このレイヤーが破られると、その影響範囲は単一のお客様にとどまらず、影響を受けたホスト上のすべてのテナントにまで及びます。共有の仮想化インフラを運用するクラウドプロバイダーや企業は、この結果を、ハイパーバイザーの堅牢化、セグメンテーション、そしてホストレベルでの挙動監視への投資を改めて行うべき兆候として受け止めるべきです。
本イベントから得られたもう1つの重要なデータポイントは、参加枠の制約により応募の締め切りを前倒しせざるを得なかったことです。世界のオフェンシブな研究コミュニティは、Pwn2Ownの19年の歴史の中で、かつてないほど大規模で、優れたツールを備え、活発になっています。AIを活用した脆弱性の発見は、製品のリリースから動作するエクスプロイトの完成までの時間を短縮しています。研究の量が増えていることは、協調的な開示に参加する研究者によるものであれ、そうではない敵対者によるものであれ、脆弱性がこれまでになく速いペースで発見されていることを意味します。
これを受けて、TrendAI™は3つの領域を優先的に取り組んでいます。第一に、TrendAI Vision One™ Endpoint Securityを通じて、エンドポイントレベルでのAIエージェントの挙動異常に対する検出カバレッジを拡大することです。これは、今年のコンテストを特徴づけたコーディングエージェントの攻撃パターンに直接関連する、プロセス系統のテレメトリと挙動アラートを提供します。第二に、TrendAI Vision One™ XDR for NetworksおよびTrendAI Vision One™ Cloud IPSを通じて、AIとツール間のプロトコル通信に対するネットワーク検査能力を強化することです。第三に、Pwn2Ownでの開示から保護の提供までの所要時間を短縮することです。初期の保護はコンテストから数日以内に公開されましたが、TrendAI™のより大きな目標は、脆弱性がインシデントに発展する前に、TrendAI™のお客様が多層防御を備えている状態を確実にすることです。
Pwn2Ownは、敵対者よりも先に重大な脆弱性を発見し、ベンダーと防御側に先手を取らせるために存在します。Pwn2Own Berlin 2026は、開示から悪用までの間隔が縮まりつつあることを明確に示しました。すべてのセキュリティチームにとっての問いは、自らの検出・対応能力がそのペースに追いついているかどうかです。
参考記事
Pwn2Own Berlin 2026: On the Ground With TrendAI™ ZDI's Biggest AI Showdown Yet
By: Scott Graham
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)