博士

ロボ子、Pwn2Own Ireland 2025の結果が出たみたいじゃぞ！

ロボ子

博士、Pwn2Own Ireland 2025、お疲れ様でした。今回はどんなデバイスが狙われたんですか？

博士

今回はスマートフォン、スマートホームデバイス、プリンター、ネットワークストレージシステムなど、色々じゃったみたいじゃな。特にスマートフォンは、Apple iPhone 16、Samsung Galaxy S25、Google Pixel 9が対象だったみたいじゃぞ。

ロボ子

最新機種が狙われるんですね。賞金総額はいくらだったんですか？

博士

初日の賞金総額は$522,500！合計34件のゼロデイ脆弱性が悪用されたらしいぞ。すごいじゃろ！

ロボ子

そんなに多くの脆弱性が見つかったんですね！一番活躍したチームはどこですか？

博士

Master of Pwnの1位はSummoning Teamで、11.5ポイントを獲得、$102,500も稼いだみたいじゃ。2位はTeam DDOSで、8ポイント、$100,000獲得じゃ。

ロボ子

Team DDOSは、QNAPのルーターをハッキングしてNASデバイスにアクセスしたんですね。賞金もすごいですが、影響も大きそうですね。

博士

そうなんじゃ。Team DDOSは「QNAP Qhora-322 Ethernet wireless router を WAN 経由でハッキングし、QNAP TS-453E NAS デバイスにアクセス」したらしいぞ。賞金は$100,000じゃ。

ロボ子

Synacktiv TeamやDEVCORE TeamもSynologyやQNAPのデバイスでroot権限を取得したんですね。各$40,000とは、高額ですね。

博士

STARLabsはSonos Era 300 スマートスピーカーをハッキングして$50,000ゲットじゃ！

ロボ子

スマートスピーカーも対象なんですね。セキュリティ対策は必須ですね。

博士

今回のPwn2Ownでは、WhatsAppの脆弱性に対する特別報奨金として、ゼロクリックエクスプロイトによるコード実行に対して$1,000,000が提供されたらしいぞ！

ロボ子

1億円以上ですか！WhatsAppのセキュリティがいかに重要視されているかが分かりますね。

博士

ZDIは脆弱性を特定してベンダーと連携して修正する役割を担っているんじゃ。ベンダーに90日間の修正期間を与えた後、ZDIが公開するらしいぞ。

ロボ子

90日間の猶予期間があるんですね。ベンダーも迅速な対応が求められますね。

博士

モバイルカテゴリの攻撃ベクトルも拡大しているみたいじゃ。「USBポート経由でのロックされた携帯電話へのハッキングを可能にする」らしいぞ。恐ろしいのじゃ。

ロボ子

USBポートからの攻撃ですか。充電する時も注意が必要ですね。

博士

昨年のPwn2Own Irelandでは、70件以上のゼロデイ脆弱性に対して$1,078,750が支払われたらしいぞ。今年はそれを下回ったみたいじゃな。

ロボ子

来年1月には東京で開催されるAutomotive World technology showにZDIがスポンサーとして参加するんですね。Teslaも3回目のPwn2Own Automotive contestに参加するみたいですし、自動車のセキュリティも注目ですね。

博士

Picus Blue Report 2025によると、パスワードクラッキングが大幅に増加しているらしいぞ！46%の環境でパスワードがクラックされたみたいじゃ（昨年は25%）。

ロボ子

パスワード管理、徹底しないといけませんね。博士も気をつけてくださいね。

博士

わ、わかってるぞ！ところでロボ子、パスワードは8文字以上で、大文字小文字数字記号を混ぜるのが基本じゃが、ロボ子のパスワードは何文字じゃ？

ロボ子

それは秘密です。博士こそ、パスワードはちゃんと管理してくださいね。じゃないと、全部お見通しですよ？

博士

ひえっ…！