Bleeping Computerは1月21日(現地時間)、「Tesla hacked, 37 zero-days demoed at Pwn2Own Automotive 2026」において、東京で開催中の自動車分野のハッキングコンテスト「Pwn2Own Automotive 2026」で、初日の時点で計37件の未知の脆弱性が実証され、賞金総額が50万ドルを超えたと報じた。

同コンテストの対象は完全に更新済みの車載機器や充電設備であり、電動化とソフトウェア化が進む車両環境に潜む技術的課題が浮かび上がった。

  • Tesla hacked、37 zero-days demoed at Pwn2Own Automotive 2026

    Tesla hacked, 37 zero-days demoed at Pwn2Own Automotive 2026

テスラ環境で示された技術的課題、実証件数が物語る攻撃の成熟

研究チームSynacktivは、テスラのインフォテインメント環境で情報漏えいと境界外書き込みを連結し、管理権限の取得に成功した。USBを起点とする経路が成立した点が注目され、別枠ではソニー製メディア受信機でも複数の欠陥を組み合わせた侵入が成立した。これらの成果により同チームは複数の賞金を獲得した。

Fuzzware.ioは急速充電設備や車載ナビ機器を含む複数製品で侵入を成立させ、高額な報奨を受領した。PetoWorksも充電制御装置で管理権限を奪取する連結攻撃を成立させ、充電インフラ分野の脆弱な実装が研究対象として成熟段階に入ったことを示した。

家庭向け充電器を標的とした挑戦も相次ぎ、Team DDOSは3種類の製品で侵入を成立させた。競技は初日終了時点でも攻撃予定が残されており、同一機器に複数回の挑戦が予定される構図から、設計の共通点が研究者にとって魅力的な題材となっている様子がうかがえる。

継続開催が示す重要性

主催側のルールに基づき、影響を受けるベンダーには修正の猶予期間が与えられる。Trend MicroのZero Day Initiativeが調整役となり、報告された欠陥は一定期間の後に公開される仕組みで運営される。この枠組みは実証と防御の循環を支える要素として定着している。

同大会はAutomotive World併催イベントとして実施され、車載OS、車内情報機器、EV充電設備が広く検証対象となった。前年および初開催時の結果と比べても、報奨額と実証件数は高水準にあり、自動車産業全体がサイバー耐性の強化を迫られる状況が続くことを示している。