ベトナム代表が世界最大のサイバーセキュリティ大会で2年連続優勝

2007年から毎年開催されているPwn2Ownは、世界最大規模かつ最も権威のあるサイバーセキュリティコンテストの一つです。世界中から集まったホワイトハットハッカーとセキュリティ研究者のチームが、スマートフォン、防犯カメラ、オフィス機器、多くの企業が利用するソフトウェアなど、広く普及しているデバイスにおけるゼロデイ脆弱性（これまで知られていなかったセキュリティ上の脆弱性）の発見と悪用を競い合います。

Pwn2Own 2024において、Viettelのサイバーセキュリティチームは、HP、キヤノン、Synology、QNAP Systemsなどの製品に存在する9件のゼロデイ脆弱性を発見・悪用し、合計33ポイントを獲得しました。これは、2位の米国Team Cluck（17.25ポイント）のほぼ2倍に相当します。ランキングでは、ヨーロッパのMidnight Blue、ドイツのNeodyme、台湾（中国）のDEVCOREが続いており、いずれもPwn2Ownをはじめとするセキュリティコンテストに参加し、高い成績を収めています。

発見された脆弱性ごとに2万～5万米ドルの報奨金が支払われ、Pwn2Ownでの賞金総額は約100万米ドルです。そのうち、Viettelのサイバーセキュリティチームは20万米ドル以上を獲得しました。VCSによって発見された脆弱性は、メーカーがデバイスのセキュリティを向上させ、それらを使用する個人や企業の画像やデータの漏洩を防ぐことにも役立ちます。

Pwn2Own 2024には8つのカテゴリーがあり、人工知能（AI）を搭載したデバイスに重点が置かれています。セキュリティ専門家は、ソースコードを理解するだけでなく、AIシステムがデバイス内でデータをどのように保存、処理、そして動作させるかについての知識も求められます。Viettelのサイバーセキュリティチームは、監視カメラ、スマートスピーカー、プリンター、ネットワーク接続ストレージ（NAS）、オフィスルーター（SOHO）のカテゴリーを攻略することに成功しました。

今年の課題は、ほとんどのAIデバイスが機械学習ベースのユーザー検出・認証機能を備えていることです。これらの機能は、異常な行動を検知するために自動的に更新・調整されます（いわゆる動的保護）。これにより、脆弱性を発見してデバイスを乗っ取ることが困難になります。

これらは大手テクノロジー企業によって開発されたデバイスであり、厳格なテストと継続的なセキュリティアップデートを受けています。そのため、Pwn2Ownはセキュリティ研究グループ間の競争であるだけでなく、大手テクノロジー企業との「競争」でもあります。

VCSは各デバイスのソースコードを解析し、想定される攻撃シナリオをテストします。チームは、他のチームが再現する可能性が低い、難易度の高い脆弱性を特定し、実環境で実証することで、デバイスへのアクセスや制御権を獲得します。（重複した脆弱性は有効とはみなされません）。

知的財産とイノベーションによると