はじめに

高度解析部 高度解析課 の清水です。
去る10月21日から24日の4日間、アイルランドにて開催された「Pwn2Own Ireland 2025」に参加してきましたので、その様子を報告します。

本イベントにおいて私が報告した脆弱性は現時点において未修正であるため、本記事では現地の雰囲気をお届けするにとどめます。脆弱性の詳細についての公開は、対象製品のファームウェアでバグの修正が確認でき次第となりますので、楽しみにお待ちください。

Pwn2Own とは

Pwn2Own は、Trend Micro が運営するコミュニティである Zero Day Initiative (ZDI) が主催する脆弱性報奨イベントです。この催し物はデバイスやソフトウェアの未知の脆弱性を発見・報告し、製品のセキュリティ改善をベンダーに促すことを目的としています。

対象となる製品は予め公開されており、参加者は事前に脆弱性を探して作成した攻撃コード（以下、Exploit）を持ち寄ります。定められた制限時間の中で攻撃を試行し、成功させることができたら報奨金を得ることができます。
今回の大会では、攻撃の実証には多くのターゲットにおいてリモートコード実行（RCE; Remote Code Execution）が求められました。製品が持つネットワークインターフェースなどを経由して侵入し、シェルへのアクセスやディスプレイへ画像を表示したり、スピーカーから音声を流したりすることで攻撃の成功を示す必要があります。

現地の様子

今回のイベントは、アイルランドのコークという街で開催されました。コークはアイルランドの南部に位置しており、ダブリンに次ぐ第二の都市だそうです。コーク市内中心部から程近いコーク空港には、羽田空港からロンドンを経由し18時間超の旅路です。

会場

昨年の Pwn2Own Ireland 2024 に引き続き、会場は今回もトレンドマイクロのコークオフィスで開催されました。Median House と呼ばれています。

前日の籤引きにより私は初日の第2ラウンドと決まったため、少しだけ早めに会場入りして様子を眺めていました。

ハロウィンが近かったこともあり、内装はそれを意識した飾りつけがされていました。オフィスの一室ですのでそこまで広い部屋ではありませんが、飲み物や軽食の提供もあり、和気藹々とした雰囲気で皆思い思いに過ごしていました。
同じ対象の機器を攻略する韓国や台湾のチームや、それとは反対にベンダーからいらっしゃっていた方々ともお話しすることができました。

攻撃の試行は4つほどのブースに分かれて並行して行われていました。各ブースには卓上に対象機器が設置されており、そこに参加者が座って実演を行います。

攻撃の試行

初日の第2ラウンドですので、私の出番はあっという間にやってきました。実演自体は11時半からなのですが、その前に準備時間として30分が設けられていました。先ずはその時間を利用して対象機器との接続を確立し、攻撃の準備を整えます。

会場のネットワーク環境についての確認を怠っており、「DHCPがあるだろう、LANに繋げるだけで通信できるだろう」 と勝手に思い込んでいました。しかしながら、実際には対象機器が一つ置かれているだけであり、少しばかりあたふたしてしまいました。
プリンタを直に操作して手動で固定IPを設定することの可否を主催者に訊いたところ、それは全く問題ないと返事をいただきました。機器とコンピュータを直接繋いで設定をし、接続に関しては事なきを得ました。

過去に届いていたメールを見返したら、以下のような文言がありました。思い込みはダメですね。

Please don’t bring assumptions to Pwn2Own. Even if the details are minor, don’t hesitate to reach out with any questions about configuration and scoping.  
（訳：Pwn2Ownに憶測を持ち込まないでください。些細なことでも、設定やスコープに関するご質問があれば、遠慮なくお問い合わせください。）

また、必要な提出物についても見落としがあったことが判明しました。ルールを読むと、攻撃が成功した暁には「完全に機能するexploitコード、報告書、その他関連物（pcapなど）」を直ちにスポンサーに提出することが求められていました。このうち、exploitと報告書は事前に作成していたのですが、関連物として pcap ファイルの用意が必須であるという認識がありませんでした。
主催者が私に確認をしてくださったことでこのことに気が付き、実演の後で改めてpcapをキャプチャする時間を取ることとなりました。

デモンストレーション

攻撃を行うに際してはいくつかのルールが定められています。まず、各々に与えられた時間は30分間です。この中で参加者は最大3回まで試行することができます。各試行は10分以内に終わらせなければなりません。
また、デモの実行は単一のスクリプトで完結するように組んでおく必要があります。つまり、参加者が攻撃の開始時にできることはエンターキーを1回叩くことのみです。攻撃が完了する前に対象機器自体やコンピュータを操作すると、その回の試行は棄権したと見做されてしまいます。

私の用意した Exploit は総当たりのような確率的に成功するものではなく、実行すれば十中八九もとい十中十で成功するものでした。したがって成功の可否についてはそこまで心配はしていませんでした。手元で確認していた環境と唯一と異なる点としては言語設定くらいのものですが、工場出荷時の初期化をかけたうえでの攻撃成功も確認していましたので、凪の心で臨みました。
とは言ったものの、いざ本番になると皆にカメラを向けられていたので多少緊張はしましたね。

3、2、1 の掛け声と共にエンターキーを叩き、Exploitが実行されているPCの画面を数秒の間眺めます。攻撃が成功するとプリンタの画面にはイエラエのロゴとnyncatの動画が流れ、皆に拍手で成功を祝っていただきました。

pcap 取得の際に改めて実行し、その様子を撮影した動画です。PCの画面にはボカシを入れています。

情報開示

実演が成功すると、ZDIとベンダーの方たちへの情報開示が待っています。記念撮影など（インタビューも打診されましたが、聞くに堪えない英語しか話せないためお断りした）を終えた後、会場とは少し離れた場所に用意された開示部屋に通されます。

報奨金の決定方法として、Pwn2Ownでは少しばかり奇妙な体系を採っています。まず私が挑戦した機器については、攻撃が成功すると最大で2万USDの授与が行われます。しかしながら、この最大金額が貰えるのは本大会中に当該機器に対して一番初めに攻撃を成功させたチームのみになります。順番の決定はただの籤引きにも拘らず、です。
私は第2ラウンドでの挑戦でしたが、既に第1ラウンドで同一機器に対しての実演を成功させていたチームがいたので、この時点で私が頂ける報奨金は最大で半額の1万USDとなっていました。
また、ZDIにとって既知の脆弱性が利用されていた場合は、報奨金は更にその半額となります。この既知というのは、以前のラウンドでの試行で利用されたものも含みます。したがって、仮に第1ラウンドで成功させたチームと利用した脆弱性が被ってしまった場合は、報奨金は5千USDにまで下がってしまう惧れがあったわけです。

開示部屋には先ずはZDIの方だけがいました。用意した報告書を渡して利用した脆弱性の概要をざっと話します。暫くの後、告げられた一言は 「おめでとう。君の使ったバグはユニークだ」 でした。ユニークというのは固有、一意、つまりは未知のものであったということです。かくして無事に報告が認定され、報奨金1万USDをいただけることとなりました。

未知のバグであったことから、改めてプリンターのベンダーを情報開示部屋に招いてバグの情報を共有します。
某日本企業のインド人社員の方々とアイルランドで英語で話すという奇妙な状況に内心面白がりながら、同じ内容を共有しました。社員の方々はリバースエンジニアリングやExploitの開発に関してはやや疎いようで、使ったツール（IDA Pro）やその方法などについても訊かれました。が、あまり英語が上手く話せずまともに応答できなかったので、非常に申し訳ない気持ちになっていました。

ZDIの方の助けもあり情報開示をなんとかを終え、渡愛した目的の9割9分はここで果たしました。

昼食

昼食にはトレンドマイクロの社食が提供されていました。

メニューは様々あり、日替わりの定食のようなものかサンドウィッチが選べるようでした。初日は適当なサンドウィッチを選びましたが、フィッシュ&チップスがあったので翌日はそれを選びました。フィッシュ&チップスといえばイギリスの郷土料理なのですが、アイルランドでも割とメジャーな食べ物になっているそうです。おいしかったです。

アフターパーティー

全日程を終えた後、参加者はCork City Gaol（元コーク市刑務所、現博物館）で開催されたパーティーに招待されました。そこではお酒や食事が提供され、参加者同士で情報交換などが行われていました。また、本大会中に最も多くのポイント（機器を攻略すると付与される）を獲得したチームに対する Master of Pwn の称号の授与も行われていました。

おわりに

入社してから2か月半という短い準備期間でしたが、方々に助けられながらなんとか Pwn2Own への参加に漕ぎつけることができました。
これまで出たいと憧れ続けていたイベントの一つでしたが、実際に現地へ赴いて参加をしたことで、これからも腕を磨いて定期的に出場し続けられるようになりたいと決意を新たにする契機となりました。また、このようなイベントへの参加を通じて、世の中の製品における安全性の向上にも貢献していければと考えています。

さて、余談にはなりますが、旅券の残存期間は皆さん本当に気を付けましょう。
自分の旅券は有効期間自体は26年の4月頭まで残っていたのですが、アイルランドへの入国に際してはアイルランドを出国する予定日の時点において6ヶ月以上の残存期間が残っている必要があります。これがですね、半月分ほど足りなかったんですよね。10年旅券だったので気を抜いていました。
残存期間の不足が判明してからはてんてこまいでした。急いで証明写真を撮り、オンラインで申請を出し、署名不備で差し戻され、etc… 実際に交付されるまではやきもきしっぱなしでした。こうはならないように、海外渡航の予定がある（かもしれない）場合には事前に渡航先の査証などの入国要件をちゃんと確認しておきましょう。