トレンドマイクロとその子会社VicOneが共催する「Pwn2Own Automotive 2026」が2026年1月21日から23日まで東京で開催され、3日間で76件のゼロデイ脆弱性が発見された。世界16カ国・地域から38チームが参加し、賞金総額は1,047,000米ドル(約1億5700万円、1ドル150円換算)に達した。
コンテストは前年の4カテゴリーから6カテゴリーに拡張され、Tesla車両、Alpitronic製レベル3 EV充電器、車載インフォテインメント(IVI)システム、レベル2 EV充電器、Open Charge Alliance、車載オペレーティングシステムが対象となった。TeslaとAlpitronicがタイトルスポンサーとして参画した。
ドイツから参加した「Fuzzware.io」が28ポイントを獲得し、三代目「Master of Pwn」の称号を獲得した。同チームはEV充電器を対象とした複数の攻撃に成功したことが優勝の決め手となった。日本からは「GMO Cybersecurity by Ierae, Inc.」と「Pwn4S0n1c」(パナソニックホールディングス)の2チームが参加した。
発見された76件の脆弱性は前年より27件多く、過去最多を記録した。これはソフトウェアデファインドビークル(SDV)やEV充電インフラなど、自動車を取り巻くエコシステム全体でセキュリティの重要性が高まっていることを示している。
閉会式では経済産業省 自動車課 モビリティDX室の箕輪玲南氏が登壇し、自動車業界におけるサイバーセキュリティの重要性について語った。発見された脆弱性は各ベンダーに報告され、修正対応が行われる。脆弱性の詳細は大会終了から120日以降に、修正状況を鑑みて随時発表される予定だ。
From: 
賞金総額は1,047,000米ドルに達し、76件のゼロデイ脆弱性を確認 | トレンドマイクロ (JP)
アイキャッチはトレンドマイクロ株式会社 公式プレスリリースより引用
【編集部解説】
なぜ今、自動車セキュリティが重要なのか
今回のPwn2Own Automotive 2026で76件ものゼロデイ脆弱性が発見されました。一見多く感じるかもしれませんが、これらが製品として市場に出る前に発見できたことに、このコンテストの大きな意義があります。悪意ある攻撃者に発見される前に、業界全体で対策できる仕組みが機能しているのです。
自動車産業は今、「ソフトウェアデファインドビークル(SDV)」への移行という歴史的な転換点を迎えています。従来の自動車は機械工学の結晶でしたが、現代の自動車はソフトウェアによって動く「走るコンピューター」へと進化しています。この進化は便利さをもたらす一方で、新たな脆弱性の入口を生み出しています。今回のコンテストで明らかになったのは、攻撃面が車両本体だけでなく、充電インフラや通信プロトコルにまで広がっているという現実です。
76件という数字が示す意味
前年より27件多い76件という脆弱性発見数は、自動車システムの複雑化に伴い攻撃面が指数関数的に拡大していることを意味しています。特筆すべきは、EV充電器への攻撃が目立ったことです。優勝したFuzzware.ioチームもEV充電器を対象とした複数の攻撃成功が勝因となりました。充電インフラは車両とネットワークをつなぐ「ゲートウェイ」として機能するため、ここが侵害されれば車両本体や電力網全体にまで影響が及ぶ可能性があります。
日本の自動車産業が直面する課題
経済産業省の箕輪玲南氏が閉会式で語ったように、日本政府はモビリティDX戦略においてサイバーセキュリティを重要分野の一つとして位置付けています。日本から参加した2チーム(GMOサイバーセキュリティ byイエラエ、パナソニックホールディングス)の存在は心強いですが、世界16カ国から38チームが集まる中で、日本のプレゼンスはまだ限定的と言わざるを得ません。自動車製造において世界をリードしてきた日本が、サイバーセキュリティ分野でも同様のリーダーシップを発揮できるかが問われています。
「セキュアバイデザイン」の実践へ
VicOneのCEO、マックス・チェン氏が強調したように、重要なのは脆弱性の「数」だけではありません。Pwn2Ownのような取り組みを通じて、まだ世に知られていない課題を業界全体で共有し、製品が市場に投入される前に対策へつなげることに大きな意義があります。今回発見された脆弱性は、大会終了から120日以降に詳細が公開されます。それまでの間に各ベンダーは修正対応を完了させる必要があります。この「責任ある開示」のプロセスこそが、Pwn2Ownが単なるハッキングコンテストではなく、業界全体のセキュリティ向上に寄与する仕組みとなっている理由です。今回の76件の脆弱性発見は、終わりではなく始まりです。より安全なモビリティ社会の実現に向けた、次なるステップへの出発点なのです。
【用語解説】
Pwn2Own Automotive(パウンツーオウン オートモーティブ)
トレンドマイクロとVicOneが共催する、コネクテッドカーに特化した世界最大級のゼロデイ脆弱性発見コンテスト。セキュリティリサーチャーが実際の車両システムやEV充電器などを対象に脆弱性の発見と実証に挑み、成功すれば賞金が授与される。2024年に第1回が開催され、2026年で3回目となる。
SDV(ソフトウェアデファインドビークル)
Software-Defined Vehicleの略。ソフトウェアによって機能や性能が定義される次世代の自動車。ハードウェアは共通化し、ソフトウェアのアップデートで新機能の追加や性能向上が可能となる。
Master of Pwn(マスターオブパウン)
Pwn2Ownコンテストにおいて、最も多くのポイントを獲得した参加者(チーム)に与えられる称号。複数の脆弱性を発見し、高度な技術力を示した証となる。
Automotive Grade Linux(オートモーティブグレードリナックス)
車載システム向けに最適化されたLinuxベースのオープンソースオペレーティングシステム。車両のインフォテインメントシステムなどに採用されている。
【参考リンク】
VicOne公式サイト(外部)
トレンドマイクロの子会社で、自動車向けサイバーセキュリティソリューションを提供する企業。
Zero Day Initiative(ZDI)公式サイト(外部)
トレンドマイクロが運営する世界最大規模のベンダー非依存型バグバウンティプログラム。
Pwn2Own Automotive 2026特設ページ(外部)
コンテストの詳細情報、ルール、対象カテゴリーなどが掲載されているVicOneの特設ページ。
トレンドマイクロ株式会社(外部)
サイバーセキュリティ分野における世界的リーディング企業。30年以上の実績を持つ。
Tesla公式サイト(外部)
電気自動車メーカーとして知られる米国企業。Pwn2Own Automotive 2026のタイトルスポンサー。
Alpitronic公式サイト(外部)
ヨーロッパを代表するEV急速充電器メーカー。Pwn2Own Automotive 2026のタイトルスポンサー。
【参考記事】
Hackers get $1,047,000 for 76 zero-days at Pwn2Own Automotive 2026(外部)
76件のゼロデイ脆弱性が発見され、総額104万7000ドルの賞金が授与された全体結果を報じる記事。
Zero Day Initiative — Pwn2Own Automotive 2026 – Day One Results(外部)
ZDI公式ブログによる初日の詳細レポート。37件のゼロデイ脆弱性が発見されたことを報告。
Pwn2Own Automotive 2026: Uncovering 37 Unique Zero-Days – VicOne(外部)
VicOneによる初日の分析記事。過去2年との比較データを提示し、攻撃手法の進化を解説。
Tesla, Sony, and Alpine systems compromised on day one of Pwn2Own Automotive 2026 – Help Net Security(外部)
初日に侵害されたシステムの詳細を報じる記事。バッファオーバーフローなどの攻撃手法を解説。
Automotive systems get pwned at Pwn2Own Automotive 2026 – The Register(外部)
コンテスト全体を総括する記事。73件のエントリーが行われたことなどを報告している。
Shifting Gears: VicOne 2025 Automotive Cybersecurity Report(外部)
VicOneが発行した2025年の自動車サイバーセキュリティレポート。業界の課題を分析。
【編集部後記】
この記事を執筆しながら、私たちが日常的に乗る自動車が、いつの間にか「走るコンピューター」へと進化していたことを改めて実感しました。76件という数字だけを見ると不安を感じるかもしれませんが、取材を進める中で、世界中のセキュリティ研究者たちが「より安全なクルマ」を実現するために知恵を絞っている姿に、深い敬意を抱きました。
特に印象的だったのは、Pwn2Ownが単なる「ハッキング大会」ではなく、発見された脆弱性を責任を持って開示し、業界全体で共有する仕組みとして機能している点です。攻撃者に先回りして弱点を見つけ、修正する。この地道なプロセスの積み重ねが、私たちの安全を支えているのだと気づかされました。
自動車のセキュリティは、もはや自動車メーカーだけの課題ではありません。充電インフラ、通信技術、ソフトウェア開発者、そしてセキュリティ研究者。さまざまな分野の専門家が協力し合うことで、初めて実現できる安全があります。私たちの未来の移動手段がより安全になるために、今日も世界のどこかで誰かが努力を続けています。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
