Zeroday Cloud ハッキング・コンテストが 12月にロンドンで開催:報奨金の総額は $4.5M

Zeroday Cloud hacking contest offers $4.5 million in bounties

2025/10/06 BleepingComputer — Zeroday Cloud が発表したのは、オープンソースのクラウドおよび AI ツールに焦点を当てた新たなハッキングコンテストであり、さまざまな標的に対してエクスプロイトを提出した研究者に対して、総額で $4.5 million のバグ報奨金を提供するというものだ。このコンテストは、クラウド・セキュリティ企業 Wiz の研究部門が、Google Cloud/AWS/Microsoft と提携して開始し、2025年12月10日〜11日にロンドンで開催される、Black Hat Europe カンファレンスで実施される予定である。

Zeroday Cloud には6つのカテゴリが設けられており、それぞれに参加する研究者に対して、$10,000〜$300,000 の報奨金が設定されている。

  • AI:Ollama ($25k), Vllm ($25k), Nvidia Container Toolkit ($40k)
  • Kubernetes and Cloud-Native:Kubernetes API Server ($80k), Kubelet Server ($40k), Grafana ($10k auth RCE, $40k pre-auth RCE), Prometheus ($40k), Fluent Bit ($10k)
  • Containers and Virtualization:Docker ($40 user-provided image, $60k arbitrary image), Containerd ($40 user-provided image, $60k arbitrary image), Linux Kernel ($30k container escape on Ubuntu)
  • Web Servers:nginx ($300k), Apache Tomcat ($100k), Envoy ($50k), Caddy ($50k)
  • Databases:Redis ($25k auth RCE, $100k pre-auth RCE), PostgreSQL ($20k auth RCE, $100k pre-auth RCE), MariaDB ($20k auth RCE, $100k pre-auth RCE)
  • DevOps & Automation:Apache Airflow ($40k), Jenkins ($40k), GitLab CE ($40k)

このコンテストでルールは、提出されるエクスプロイトにより、ターゲットを完全に侵害することが必須とされる。Wiz は、「仮想化カテゴリを例にすると、コンテナ/VM の完全なエスケープが対象となり、その他のカテゴリではゼロクリックのリモート・コード実行 (RCE) が対象になる」と述べている。

主催者が提供するものには、条件と手順が設定されたデフォルト・コンフィグの Docker コンテナがあり、それらをターゲットにして、セキュリティ研究者たちはエクスプロイトをテストする。

参加する研究者にとって必要なことは、HackerOne プラットフォームを通じて登録し、11月20日までに ID 確認および納税申告書を提出することである。登録を完了した研究者は、任意の数のターゲットに対してエクスプロイトを提出できるが、1つのターゲット対して1件のエントリーのみが認められる。

エクスプロイトを提出して承認された参加者は、イベント期間中に単独または最大5名のチームとして、ライブ・デモンストレーションを行うよう招待される。

なお、ロシア/中国/イラン/北朝鮮/キューバ/スーダン/シリア/リビア/レバノンに加えて、クリミア半島およびドネツク地域などの禁輸または制裁対象国に居住する者は、Zeroday Cloud コンテストには参加できない。

Zeroday Cloud ハッキング・コンテストの完全なルールは、公式サイトで閲覧可能である。

しかし、このイベントの発表は、長年にわたり成功を収めてきた Pwn2Own ハッキング・コンテストの主催者たちからは歓迎されていない。

Trend Micro は公開投稿の中で、Wiz が Pwn2Own Ireland のルールをコピーしたと非難している。Trend Micro の Director of Cybersecurity Strategy & Technology である Juan Pablo Castro は、2つのイベントのルールを比較したところ、Gemini による分析結果が瓜二つだった」と述べている。

それに対して Wiz は、Pwn2Own のルールブックは “信頼できる成熟したフレームワーク” であり、そこからインスピレーションを得たと反論している。

Zeroday Cloud の大規模賞金は注目ですが、それを避難する Trend Micro の気持ちもわかります。クラウド/AI ツールは、多層の依存関係とデフォルト・コンフィグを抱え、信頼境界が曖昧になりやすく、認証や権限の設計の不備が、連鎖的に深刻化することが目立ちます。これが契機となり、セキュアなクラウドと AI につながればと思います。よろしければ、カテゴリ BugBounty をご参照ください。