大会概要と最終成績
セキュリティ研究者の腕を競う国際的なハッキングコンテスト「Pwn2Own Berlin 2026」が5月14〜16日の3日間にわたって開催された。世界中のセキュリティ研究者・チームが参加し、47件のユニークなゼロデイ脆弱性を悪用して総額1,298,250ドル(昨年比約20%増)の賞金を獲得した。
最終的なMaster of Pwn(総合優勝)には台湾のセキュリティ企業DEVCOREが輝いた。DEVCOREは50.5ポイントと505,000ドルを獲得し、2位のSTARLabs SG(25ポイント、242,500ドル)、3位のOut Of Bounds(12.75ポイント、95,750ドル)を大きく引き離した。初日から主導権を握ったDEVCOREは最終日も安定した成果を維持し、圧倒的な強さを見せた。
注目の攻撃成果
今大会で最高額の賞金を獲得した攻撃のひとつは、Orange TsaiことCheng-Da Tsai(DEVCORE所属)によるMicrosoft Exchangeへの攻撃だ。3つのバグを連鎖させることでSYSTEM権限でのリモートコード実行(RCE)を達成し、200,000ドルを獲得した。複数のバグを組み合わせる「バグチェーン」戦術は今大会全体を通じて多くのチームが採用した手法でもある。
同じく200,000ドルを獲得したのはSTARLabs SGのNguyen Hoang Thachで、VMware ESXiに対してメモリ破壊脆弱性を利用したクロステナントのコード実行を成功させた。DEVCOREのsplitlineはMicrosoft SharePointに対して2つのバグを連鎖させ100,000ドルと10ポイントを獲得。そのほか、Windows 11やRed Hat Enterprise Linuxも複数チームから攻撃を受けた。
今大会で特筆すべき点として、AIコーディングエージェントへの攻撃が挙げられる。OpenAI Codexは3つの独立したチームによって異なる手法で攻略され、Anthropic Claude Codeも攻撃対象となった。LLMカテゴリーが正式な競技対象に加わったことで、AIシステムのセキュリティリスクが広く実証された形となった。
攻撃手法と今後の対応
3日間で確認された主な攻撃手法には、整数オーバーフローを利用した権限昇格、Use-After-Free(解放後使用)メモリ脆弱性、未初期化メモリの悪用、外部からの制御フロー操作などが含まれる。複数の脆弱性を組み合わせるバグチェーン戦術は高難度ターゲットの攻略において特に有効であることが改めて示された。
日程別の賞金額は初日が523,000ドル(24件)、2日目が385,750ドル(15件)、3日目が389,500ドル(8件)で、初日に最も多くのゼロデイが集中した。今大会で発見・実証されたすべての脆弱性は、Zero Day Initiativeの慣例に従い各ベンダーへ通知済みで、90日間の開示猶予期間内にパッチの提供が求められる。エンタープライズ製品からAIシステムまで広範なターゲットでゼロデイが次々と発見された今大会の結果は、業界全体のセキュリティ強化に向けた重要な知見となる。