Pwn2Ownは単なるコンテストに留まらず、技術革新を実証する場であり、さらにはセキュリティにおける高いリスクを改めて認識できる重要な機会でもあります。このイベントでは、広く使われているデバイスやソフトウェアの脆弱性が公開されるため、前回のイベント開催からサイバーセキュリティがどれほど進化したかを測る重要なチェックポイントとしての役割も果たしています。
2007年にカナダ・バンクーバーで開催されたCanSecWestセキュリティカンファレンスをきっかけに誕生して以来、Pwn2Ownは著しい成長を遂げ、現在では毎年3回のイベントが開催されるまでになりました。
Pwn2Ownは、賞金1万ドルの小規模なコンテストから始まりましたが、1大会で100万ドル以上の賞金を授与する世界有数のハッキングコンテストへと成長しました。大会ルールは進化を重ね、時代とともに変化する脅威への対応を反映しています。現在では、ブラウザやオペレーティングシステム、サーバに加え、2019年以降は自動車も対象に含まれるようになりました。この目覚ましい実績により、トレンドマイクロのZero Day Initiative™ (ZDI)は世界中の名だたる研究者と連携できるようになりました。
Pwn2Ownの脆弱性公開プロセスは、ベンダと研究者が直接協力し、リアルタイムで脆弱性について議論するための最良の場のひとつです。このプロセスの知名度の高さにより、世界中の名だたる研究者と連携することができるようになりました。
2025年秋
現在、大規模な企画に向けて準備が進行中です。詳細は近日公開予定です。最新情報をぜひご確認ください。
2025年5月
今年5月、Pwn2Ownはドイツ・ベルリンで開催されます。今年も、世界トップレベルのセキュリティ研究者たちが挑む新たな課題が待ち受けています。今年のコンテストでは新たにAIカテゴリを導入し、プロンプトインジェクションにとどまらず、AIフレームワーク上での直接的なプログラムコードの作成・実行も競技対象となっています。Teslaのカテゴリも復活し、最新の車両システムである2024年モデル3と2025年モデルYなどを攻略対象にする研究者もいます。賞金総額は100万ドル以上に達し、ウェブブラウザ、クラウドセキュリティ、エンタープライズアプリケーションなど幅広いカテゴリを網羅するなど、コンテストはセキュリティの進化に合わせてさらに発展を続けています。
2025年1月
自動車のサイバーセキュリティに焦点を当てた大規模なイベントPwn2Own Automotive 2025が開催されました。このイベントには最高峰の人材が集結し、業界のリーダーにそのスキルを証明するとともに、誰もが車両を安全に利用するための技術革新を推進しています。このイベントは、車両プラットフォームに革新的に貢献するとともに、賞金やトロフィー、グローバルでの認知を高める機会を提供しました。今回はこれまでに公開されたことがないEV充電器に関する研究を含む、49件のゼロデイ脆弱性に関する独自研究に対して総額88万6,250ドルを授与しました。Sina Kheirkhah氏は、総額22万2,250ドルを獲得し、Master of Pwnの称号が授与されました。
2025年1月22日から24日まで東京で開催されたこのイベントでは、世界トップクラスの研究者たちが集結し、最新の自動車部品を徹底的に検証しました。主な協力企業として、技術革新のリーダーであるVicOneとTeslaが参加しました。
アイルランドのコークにあるトレンドマイクロのオフィスで開催された2024年のPwn2Ownでは、Metaがスポンサーを務めるWhatsAppカテゴリが新たに加わり、最大獲得可能額30万ドルという賞金が用意されました。さらに、AI搭載デバイスが初めて取り上げられ、AI機能を備えたスマートフォン、NASシステム、カメラが対象となりました。4日間にわたり、70件以上のゼロデイ脆弱性研究に対して総額100万ドル以上の賞金が授与され、Viettel Cyber SecurityがMaster of Pwnの称号を獲得しました。
Pwn2Ownは、カナダ・バンクーバーのCanSecWestカンファレンスで再び開催され、エンタープライズサーバやアプリケーションにおける最新のエクスプロイトに焦点を当てて紹介しました。29件の新たなゼロデイ脆弱性に対し、総額113万2,500ドルが授与されました。Master of Pwnの称号はManfred Paul氏に贈られました。同氏はコンテスト中にChrome、Edge、Safari、Firefoxの4つのブラウザすべてを攻略し、総額20万2,500ドルと25ポイントを獲得しました。このイベントではDockerが新たなカテゴリとして登場し、STAR Labs SGのチームは2つの脆弱性を活用してコンテナエスケープを成功させました。Valentina Palmiotti氏は、Improper Update of Reference Count (参照カウントの不適切な更新)のバグを利用して、Windows 11の特権昇格を成功させました。ここでの貢献は、その後2024年のPwnie AwardsにてBest Privilege Escalationを受賞しました。その他の注目点としては、Oracle VirtualBoxのエクスプロイトや、主要なOSにおける特権昇格などがありました。
初のPwn2Own Automotiveは、東京で開催されたAutomotive Worldカンファレンスからライブ配信されました。反響は期待を大きく上回り、全カテゴリで45件超の応募がありました。イベント全体で総額132万3,750ドルを授与し、49件の新たなゼロデイ脆弱性を特定しました。
Pwn2Ownのコンシューマー版がトレンドマイクロのトロントオフィスにて再び開催され、モバイルフォン、監視システム、小規模オフィス設定などがテーマ取り上げられました。ベンダによる開催直前のセキュリティ強化や、研究者による高影響エクスプロイトの実演などが行われるなどし、このイベントは大きな注目を集めました。SynacktivチームはWyzeカメラに対するゼロクリック攻撃を実演しましたが、Xiaomi 13 Proへの攻撃が成功したことを受け、Xiaomi社はグローバルネットワークの一部機能を停止する措置を講じました。イベント全体で、58件の新たなゼロデイ脆弱性発見に対して総額103万8,500ドルが授与されました。Team Viettelはそのうち18万ドルと30ポイントを獲得し、Master of Pwnに輝きました。
カナダのCanSecWest内で開催されたPwn2Ownでは、27件のゼロデイ脆弱性が公開され、総額103万5,000ドルとTesla Model 3が授与されました。Teslaに関する脆弱性では、ゲートウェイや複数のサブシステムが標的とされ、ルートアクセスの侵害に成功しました。また、SharePointやM2チップ搭載のmacOSも侵害され、広範なWindowsの脆弱性が明らかになりました。Synacktivチームは、53万ドルと53ポイントに加えてTesla Model 3を獲得し、Master of Pwnの称号を手にしました。
ICS/SCADAコンテストは、フロリダ州マイアミビーチで開催されたS4カンファレンスにおいて復活し、16件のエントリーから、10製品で27件のゼロデイ脆弱性を公開しました。ClarotyチームがChatGPTを活用してSofting Secure Integration Serverを対象とした6つのエクスプロイトチェーンを構築するなど、初めてAIが活躍したコンテストとなりました。授与された賞金総額15万3,500ドルのうち9万8,500ドルおよびMaster of Pwnの称号がClaroty社のTeam 82に贈られました。
トレンドマイクロのトロントオフィスで開催された初のPwn2Own Torontoは、36チームからの66件のエントリーが寄せられ、13製品が対象となる過去最大規模のイベントとなりました。イベント全体で、63件のゼロデイ脆弱性の発見に対して総額98万9,750ドルの賞金が授与されました。今回のイベントの見所としては、SOHO Smashupカテゴリー、Samsung Galaxy S22に対するエクスプロイト、そしてLexmarkプリンターをジュークボックスに変える攻撃などがありました。DEVCOREチームが14万2,500ドルを獲得し、Master of Pwnの称号を授与されました。
カナダ・バンクーバーで開催されたPwn2Ownの15周年記念イベントでは、25件のゼロデイ脆弱性に対して総額115万5,000ドルが授与されました。初日は、Microsoft Teamsへのエクスプロイトを含む80万ドルの記録的賞金が設定されました。2日目のトピックとしてTesla Infotainmentシステムのハッキング、3日目のトピックとしてWindows 11の特権昇格が取り上げられました。STAR Labsチームは27万ドルと27ポイントを獲得し、Master of Pwnが授与されました。
第2回Pwn2Own Miami, Floridaは、2022年4月19日から21日にかけて、フロリダ州マイアミビーチのサウスビーチにあるThe Fillmoreで開催されました。この3日間のコンテストでは、26件のゼロデイ脆弱性に対して総額40万ドルの賞金が授与されました。中でも、Computest Sector 7の Daan Keuper氏とThijs Alkemade氏のチームは、9万ドルを獲得し、Master of Pwnの称号を授与されました。両氏は、OPC Foundation OPC UA .NET Standardにおける信頼済みアプリケーションチェックを回避する攻撃を披露し、今回のコンテストで最も注目を集めました。
渡航制限が続く中、コンシューマー版Pwn2Ownは、テキサス州オースティンにある Zero Day Initiative (ZDI)の本部で開催されました。このイベントは、研究関係者から大きな注目を集め、22以上のチームから13製品を対象とした58件のエントリーがあり、Pwn2Own史上最大規模で開催されました。最終的に、総額108万1,250ドルの賞金が61件のゼロデイ脆弱性に対して授与され、Pwn2Own史上2番目に大きな賞品総額となりました。特に注目を浴びたのは、HPのプリンターをジュークボックスに変身させ、内蔵スピーカーからAC/DCの『サンダーストラック』を流すというエクスプロイトでした。
2021年4月6日から8日にかけて、Pwn2Ownコンテストがテキサス州オースティンおよびオンラインで開催されました。この年はMicrosoft TeamsとZoom Messengerを対象としたエンタープライズコミュニケーションのカテゴリが新設されました。コンテスト初日は、Apple Safari、Microsoft Exchange、Microsoft Teams、Windows 10、Ubuntuに対する攻撃が成功しました。2日目は、Zoom Messengerがゼロクリックエクスプロイトにより侵害され、さらにParallels Desktop、Google Chrome、Microsoft Edgeに対する攻撃も成功しました。このコンテストでは、23件の新たなゼロデイ脆弱性に対して総額120万ドル以上が授与されました。Master of Pwnの称号は、Team DEVCORE、OV、およびDaan Keuper氏とThijs Alkemade氏の3者に共同授与されました。
COVID-19によるロックダウンが続く中、PacSecカンファレンスは昨年に続きオンライン開催となりました。イベントはTwitchおよびYouTubeでライブ配信され、発表の合間にはインタビューや過去映像が流されていました。また、今回のコンテストではSANサーバが対象に加わりました。賞金額については、23件の新たなバグに対して総額13万6,500ドルが授与される結果となりました。Pedro Ribeiro氏とRadek Domanski氏は、2件のSANエクスプロイトに成功し、Master of Pwnの称号を授与されました。
COVID-19の影響により、本イベントはオンライン形式で開催され、参加する研究者たちは事前に対象の脆弱性を攻撃する方法を提出する形式が採用されました。Zero Day Initiative (ZDI)の研究者たちは、自宅でエクスプロイトを実行し、その様子を画面録画するとともに、他の参加者とのZoomコールの両方を録画する形でコンテストに参加しました。2日間でAdobe Reader、Apple Safari、macOS、Microsoft Windows、Oracle VirtualBoxで13の新たなバグが認められ、6つの成功例に対して27万ドルに授与されました。この大会では、Zero Day Initiative (ZDI)の研究者であるLucas Leong氏が未修正のOracle VirtualBoxバグを発表し、大きな注目を集めました。また、Amat Cama氏とRichard Zhu氏は9万ドルを獲得し、Master of Pwnの称号が授与されました。
S4カンファレンスで初開催されたPwn2Own Miamiは、産業用制御システム (ICS)に焦点を当てた画期的なイベントとなりました。研究者たちは、Control Servers、OPC Unified Architecture (OPC UA) Servers、DNP3 Gateways、Human Machine Interfaces (HMI)、Engineering Workstation Software (EWS)など、複数のカテゴリを対象に研究を行いました。8つの出場グループが、全カテゴリで少なくとも1つの侵害対象の攻略に成功しました。このイベントでは、20件以上のゼロデイ脆弱性が発見され、総額28万ドルを超える現金と賞品が授与されました。Steven Seeley氏とChris Anastasio氏がそのうちの8万ドルを獲得し、Master of Pwnの称号が授与されました。
この年は、Facebookが本コンテストに参加し、Oculus Quest VRシステムが競技ラインナップに加わりました。さらに、スマートスピーカー、テレビ、ワイヤレスルータなど幅広いIoTデバイスも対象となり、コンテストが拡大しました。2日間のコンテストの結果としては、各種製品から18件のバグが認められ、総額31万5,000ドル以上の賞金が授与されました。また、FluoroacetateチームのRichard Zhu氏とAmat Cama氏が19万5,000ドルと18.5ポイントを獲得し、3年連続でMaster of Pwnの称号を授与されました。
Tesla社とのパートナーシップにより、本コンテストではModel 3が起用され、脆弱性研究の対象として6つの重点分野が選定されました。この追加された新しいカテゴリは、Webブラウザ、仮想化ソフトウェア、エンタープライズアプリケーション、Windows RDPなどの従来のカテゴリに組み込まれました。3日間にわたって開催されたこのイベントでは、Zero Day Initiative (ZDI)は19件の新たな脆弱性に対して総額54万5,000ドルを授与しました。そのうち、Amat Cama氏とRichard Zhu氏は37万5,000ドルとModel 3を獲得し、Master of Pwnの称号が授与されました。
IoTデバイスが競技カテゴリとしてコンテストに追加され、Mobile Pwn2OwnをPwn2Own Tokyoに改称しました。スマートスピーカー、ウェブカメラ、スマートウォッチは対象に含まれていましたが、これらのデバイスへの侵害は発表されませんでした。このコンテストでは総額32万5,000ドルが授与され、18件のゼロデイバグの報告が認められました。また、Amat Cama氏とRichard Zhu氏が45ポイントと21万5,000ドルを獲得し、Master of Pwnの称号が授与されました。
Zero Day Initiative (ZDI)がMicrosoft社と提携し、VMware社をスポンサーに迎えて開催されたこの大会では、仮想化、ウェブブラウザ、エンタープライズアプリケーション、サーバ、そして特別カテゴリであるWindows Insider Preview Challengeの5つのカテゴリが対象に選ばれました。今回、企業スポンサーによるチーム参加が減少したのは、中国チームの参加が認められなくなったことが一因と考えられます。このコンテストでは、10数件のゼロデイ脆弱性に対し総額26万7,000ドルが授与され、Richard Zhe氏 (ハンドルネーム:fluorescence)がMaster of Pwnを獲得しました。
Zero Day Initiative (ZDI)史上最大規模のモバイルコンテストとなった今回のイベントでは、全体で32件の新たな脆弱性が認められ、出場者には総額51万5,000ドルの賞金が授与されました。Tencent Keen Security Labは、44ポイントを獲得し、Master of Pwnの称号が授与されました。また、今回のコンテストでは、挑戦途中で棄権するとMaster of Pwnのスコアが減点される新ルールが導入されました。
今年はコンテスト開催10周年を記念し、これまでで最も活気に満ちたイベントとなりました。Zero Day Initiative (ZDI)は、確認できた51件のゼロデイ脆弱性に対し、総額83万3,000ドルを授与しました。多数のエントリーがあったため、2日目は2つのトラックに分けて進行されました。また、今回のコンテストでは、VMwareにおいてゲストからホストへのOS特権昇格が2件成功する事例が報告されました。360 Securityのチームが合計63ポイントを獲得し、Master of Pwnの称号を授与されました。さらに今年は、出場チームがコンテスト前に脆弱性を提出することになっていたため、競合チームが脆弱性を攻略しようとする戦略的な動きが見られました。
この年は開催地が東京に戻り、iPhone 6s、Google Nexus 6p、Galaxy S7が競技の対象に選ばれました。すべての製品においてエクスプロイトが成功し、このコンテストでは総額37万5,000ドルが授与されました。Tencent Keen Security Labチームは、合計21万ドルの賞金と45ポイントを獲得し、Master of Pwnの称号を授与されました。
今回のコンテストでは、Pwn2Ownの総合優勝者に贈られるMaster of Pwnという新たな称号が設けられました。コンテストの順番はランダムな抽選で決定されるため、運が悪い順番を引いた参加者は優れた研究を発表しても、次のラウンドで賞金が減額される可能性がありました。ただし、成功したエントリーに対して付与されるポイントは減額されない仕組みでした。そのため、抽選で不利な順番を引いてしまった場合でも、最も多くのポイントを積み上げることが可能でした。Tencent Security Team Sniperのチームが38ポイントを獲得し、初のMaster of Pwnの称号を授与されました。コンテスト全体では、21件の脆弱性に対して総額46万ドルが授与されました。
運営は、提出物の処理をWassanaar Arrangement (ワッセナー協定)に沿って最適化する方法を検討する期間として、1年間の休止期間を設けました。
2014年に設定された「ユニコーン」賞の基準が、すべてのWindowsターゲットに適用される新しい標準となり、2015年のコンテストでは、難易度が飛躍的に向上しました。エクスプロイトが成功と判断されるには、MicrosoftのEnhanced Mitigation Experience Toolkit (EMET)をすべてのWindowsターゲットで回避すること、SYSTEMレベルのコード実行を実現すること (成功には2万5,000ドルのボーナス付与)、Enhanced Protected Mode (EPM)が有効化された64ビットブラウザを標的とすることが求められました。
これまでで最大規模となるモバイルイベントが開催され、7チームが7台の携帯電話のエクスプロイトに挑戦し、7チームすべてが成功しました。
今回のPwn2Ownでは、2日間にわたって総額85万ドルという記録的な額の賞金が8名の参加者に授与され、史上初の100万ドルに迫るコンテストとなりました。(うち38万5,000ドル分の賞金は未請求)また、チャリティを目的にGoogleとZero Day Initiative (ZDI)に実施されたPwn4Funコンテストでは、8万2,500ドルが集まりましたが、トップ研究者への挑戦を趣旨として設けられた15万ドルのExploit Unicornグランプリは、受賞者が現れない結果となりました。
今回のコンテストは初めてアジアで開催され、Bluetooth、WiFi、USBを活用した攻撃が新しく対象に加わりました。賞金は5万ドルから10万ドルの範囲で設定され、総額30万ドルが用意されました。また、日本と中国からの参加者が初めてアメリカの参加者と共に競技に参加し、総額11万7,500ドルの賞金を獲得しました。
Webブラウザの脆弱性に加えて、プラグインの脆弱性も対象に含められ、範囲が拡大しました。賞金総額は56万ドルとなり、個々の賞金額は2万ドルから10万ドルの範囲に設定されました。コンテスト参加者は総額32万ドルの賞金を獲得しました。
コンテストが初めてヨーロッパで開催され、モバイルデバイスに特化した新しいルールが導入されました。賞金は3万ドルから最大10万ドル (セルラー基地帯攻撃の場合)が設定されました。2つの研究者グループが成功し、合計6万ドルの賞金を獲得しました。
このコンテストでは、最新バージョンのIE、Firefox、Safari、およびChromeを標的としたエクスプロイトに対してポイント制を導入したCTF (Capture The Flag)形式が採用されました。優勝者には6万ドル、2位には3万ドル、3位には1万5,000ドルの賞金が授与されました。
Google社が、Chromeカテゴリ限定の共同スポンサーとして参加し、賞金総額は12万5,000ドルとなりました。Chrome以外のカテゴリではそれぞれ1万5,000ドルの賞金が提供されました。参加者は全体で6万ドルを獲得しましたが、Chromeのエクスプロイトの挑戦者はいませんでした。
コンテスト参加者は合計で4万5,000ドルを獲得し、Webを攻撃対象とした参加者に1万ドル、モバイルを攻撃対象とした参加者に1万5,000ドルがそれぞれ授与されました。
Pwn2Ownコンテストの研究分野が拡大され、対象となるOSやブラウザがが増えました。このコンテストはZero Day Initiative (ZDI)によって運営され、脆弱性の実証に成功した場合、1件ごとに5,000ドルから2万ドルの賞金が授与されることが合意されました。2008年の大会参加者は1万5,000ドルを獲得し、2009年の大会参加者は2万ドルを獲得しました。
CanSecWestの創設者であるDragos Ruiu氏が発案し、初開催を迎えたこのコンテストでは、Apple社のMac OS Xのオペレーティングシステムにおける脆弱性が明らかになりました。当時、OS Xは競合他社よりもはるかに安全であるという一般的な認識がありましたが、その認識に反して脆弱性が存在することが示されたのです。当初、賞品として提示されていたのはノートパソコンのみでしたが、カンファレンスの初日に、Zero Day Initiative (ZDI)が参加と、コンテストで実証された脆弱性研究を一律1万USドルで買い取る提案を受けました。