トレンドマイクロとその子会社VicOneが共催する「Pwn2Own Automotive 2026」が2026年1月21日から23日まで東京で開催され、3日間で76件のゼロデイ脆弱性が発見された。世界16カ国・地域から38チームが参加し、賞金総額は1,047,000米ドル(約1億5700万円、1ドル150円換算)に達した。
コンテストは前年の4カテゴリーから6カテゴリーに拡張され、Tesla車両、Alpitronic製レベル3 EV充電器、車載インフォテインメント(IVI)システム、レベル2 EV充電器、Open Charge Alliance、車載オペレーティングシステムが対象となった。TeslaとAlpitronicがタイトルスポンサーとして参画した。
ドイツから参加した「Fuzzware.io」が28ポイントを獲得し、三代目「Master of Pwn」の称号を獲得した。同チームはEV充電器を対象とした複数の攻撃に成功したことが優勝の決め手となった。日本からは「GMO Cybersecurity by Ierae, Inc.」と「Pwn4S0n1c」(パナソニックホールディングス)の2チームが参加した。
発見された76件の脆弱性は前年より27件多く、過去最多を記録した。これはソフトウェアデファインドビークル(SDV)やEV充電インフラなど、自動車を取り巻くエコシステム全体でセキュリティの重要性が高まっていることを示している。
閉会式では経済産業省 自動車課 モビリティDX室の箕輪玲南氏が登壇し、自動車業界におけるサイバーセキュリティの重要性について語った。発見された脆弱性は各ベンダーに報告され、修正対応が行われる。脆弱性の詳細は大会終了から120日以降に、修正状況を鑑みて随時発表される予定だ。
From: 
賞金総額は1,047,000米ドルに達し、76件のゼロデイ脆弱性を確認 | トレンドマイクロ (JP)
【編集部解説】
今回のPwn2Own Automotive 2026で76件ものゼロデイ脆弱性が発見されたという事実は、現代の自動車が直面するセキュリティ課題の深刻さを浮き彫りにしています。これは単なる技術的な問題ではなく、私たちの日常生活に直結する安全の問題です。
自動車産業は今、「ソフトウェアデファインドビークル(SDV)」への移行という歴史的な転換点を迎えています。従来の自動車は機械工学の結晶でしたが、現代の自動車はソフトウェアによって動く「走るコンピューター」へと進化しています。この進化は便利さをもたらす一方で、新たな脆弱性の入口を生み出しています。今回のコンテストで明らかになったのは、攻撃面が車両本体だけでなく、充電インフラなどに広がっているという現実です。
前年より27件多い76件という脆弱性発見数は、自動車システムの複雑化に伴い攻撃面が拡大していることを意味しています。特に注目されたのは、EV充電器を対象とした攻撃実証が複数行われた点です。優勝したFuzzware.ioチームもEV充電器を対象とした複数の攻撃成功が勝因となりました。EV充電器は車両とネットワークをつなぐ重要な接点であり、今回の結果はそのセキュリティ確保の重要性を改めて示しています。
経済産業省の箕輪玲南氏が閉会式で語ったように、日本政府はモビリティDX戦略においてサイバーセキュリティを重要分野の一つとして位置付けています。日本から参加した2チーム(GMOサイバーセキュリティ byイエラエ、パナソニックホールディングス)の存在は心強いですが、世界16カ国から38チームが集まる中で、日本のプレゼンスはまだ限定的と言わざるを得ません。自動車製造において世界をリードしてきた日本が、サイバーセキュリティ分野でも同様のリーダーシップを発揮できるかが問われています。
VicOneのCEO、マックス・チェン氏が強調したように、重要なのは脆弱性の「数」だけではありません。Pwn2Ownのような取り組みを通じて、まだ世に知られていない課題を業界全体で共有し、製品が市場に投入される前に対策へつなげることに大きな意義があります。
今回発見された脆弱性は、大会終了から120日以降に詳細が公開されます。それまでの間に各ベンダーは修正対応を完了させる必要があります。この「責任ある開示」のプロセスこそが、Pwn2Ownが単なるハッキングコンテストではなく、業界全体のセキュリティ向上に寄与する仕組みとなっている理由です。今回の76件の脆弱性発見は、終わりではなく始まりです。より安全なモビリティ社会の実現に向けた、次なるステップへの出発点なのです。
【用語解説】
Pwn2Own Automotive(パウンツーオウン オートモーティブ)
トレンドマイクロとVicOneが共催する、コネクテッドカーに特化した世界最大級のゼロデイ脆弱性発見コンテスト。セキュリティリサーチャーが実際の車両システムやEV充電器などを対象に脆弱性の発見と実証に挑み、成功すれば賞金が授与される。2024年に第1回が開催され、2026年で3回目となる。
SDV(ソフトウェアデファインドビークル)
Software-Defined Vehicleの略。ソフトウェアによって機能や性能が定義される次世代の自動車。ハードウェアは共通化し、ソフトウェアのアップデートで新機能の追加や性能向上が可能となる。
Master of Pwn(マスターオブパウン)
Pwn2Ownコンテストにおいて、最も多くのポイントを獲得した参加者(チーム)に与えられる称号。複数の脆弱性を発見し、高度な技術力を示した証となる。
Automotive Grade Linux(オートモーティブグレードリナックス)
車載システム向けに最適化されたLinuxベースのオープンソースオペレーティングシステム。車両のインフォテインメントシステムなどに採用されている。
【参考リンク】
VicOne公式サイト(外部)
トレンドマイクロの子会社で、自動車向けサイバーセキュリティソリューションを提供する企業。
Zero Day Initiative(ZDI)公式サイト(外部)
トレンドマイクロが運営する世界最大規模のベンダー非依存型バグバウンティプログラム。
Pwn2Own Automotive 2026特設ページ(外部)
コンテストの詳細情報、ルール、対象カテゴリーなどが掲載されているVicOneの特設ページ。
トレンドマイクロ株式会社(外部)
サイバーセキュリティ分野における世界的リーディング企業。30年以上の実績を持つ。
Tesla公式サイト(外部)
電気自動車メーカーとして知られる米国企業。Pwn2Own Automotive 2026のタイトルスポンサー。
Alpitronic公式サイト(外部)
ヨーロッパを代表するEV急速充電器メーカー。Pwn2Own Automotive 2026のタイトルスポンサー。
【参考記事】
Hackers get $1,047,000 for 76 zero-days at Pwn2Own Automotive 2026(外部)
76件のゼロデイ脆弱性が発見され、総額104万7000ドルの賞金が授与された全体結果を報じる記事。
Zero Day Initiative — Pwn2Own Automotive 2026 – Day One Results(外部)
ZDI公式ブログによる初日の詳細レポート。37件のゼロデイ脆弱性が発見されたことを報告。
Pwn2Own Automotive 2026: Uncovering 37 Unique Zero-Days – VicOne(外部)
VicOneによる初日の分析記事。過去2年との比較データを提示し、攻撃手法の進化を解説。
Tesla, Sony, and Alpine systems compromised on day one of Pwn2Own Automotive 2026 – Help Net Security(外部)
初日に侵害されたシステムの詳細を報じる記事。バッファオーバーフローなどの攻撃手法を解説。
Automotive systems get pwned at Pwn2Own Automotive 2026 – The Register(外部)
コンテスト全体を総括する記事。73件のエントリーが行われたことなどを報告している。
Shifting Gears: VicOne 2025 Automotive Cybersecurity Report(外部)
VicOneが発行した2025年の自動車サイバーセキュリティレポート。業界の課題を分析。
【編集部後記】
私たちが日常的に使う自動車が、今や「走るコンピューター」となりつつあります。便利さと引き換えに、サイバー攻撃の標的となるリスクも増しているのです。今回のコンテストで76件もの脆弱性が発見されたという事実は、決して他人事ではありません。あなたが次に購入する車、あるいは今乗っている車も、どこかに未発見の脆弱性を抱えているかもしれません。
自動車メーカーはこうした脅威にどう向き合うべきなのか。そして私たち利用者は、何を基準に「安全な車」を選べばよいのでしょうか。未来のモビリティ社会について、一緒に考えてみませんか。
