Pwn2Own Berlin 2026 Hits Capacity as Rejected Hackers Release 0-Days
2026/05/12 hackread — 世界で最も有名なハッキングコンテストが、想定外の危機に直面している。19 年の歴史の中で初めて、Pwn2Own Berlin 2026 が定員に達し、参加枠が不足する事態となった。Trend Micro の Zero Day Initiative (ZDI) が運営するイベントが、物理的に検証可能なエントリー数の上限に達した。参考までに、Pwn2Own とは、セキュリティ専門家がゼロデイ脆弱性を発見するライブ競技である。
Pwn2Own Berlin の現状
この 3 日間のコンテストは、2026年5月14日の OffensiveCon で開催される予定である。しかし、その舞台裏では、5月7日には ZDI スタッフが、登録受付を終了せざるを得ない状況となった。
その理由は、固定的なスケジュールで進められるコンテストにおいて、すべてのエクスプロイト・チェーンをライブで検証する必要があるためである。このプロセスでは、研究内容の検証/専用ハードウェアの構築/ステージ上での攻撃実行の監視を、ZDI チームが行う。
その結果、処理できる悪用試行の回数に、物理的な制限が適用される。研究者 Ryotkak は、3 週間前に登録を試みたが、満員であると通知された。
このボトルネックの背景にあるのは、ハッカーが脆弱性を発見する速度が運営側の処理能力を上回っているという現実である。この加速の要因の一つが、AI カテゴリの導入である。今年は、Claude Code/GitHub Copilot/Cursor/Ollama/LM Studio などが標的となっている。
Palisade Research のレポートによると、AI によるエクスプロイト・チェーン構築が加速し、これまでのコンテストにおける処理能力を超えるレベルに到達している。
研究者による公開の加速
参加できなかった研究者の一部は、発見した脆弱性を無償で公開し始めている。この動きはリベンジ・ディスクロージャー (報復の暴露) と呼ばれている。
NVIDIA/Docker/Linux KVM/PyTorch 向けの 86 件の脆弱性を保有していた xchglabs は、100 万ドル規模の賞金競争に参加できないため、個々のベンダーに報告するのと並行して、オンラインでの公開を進めている。
同様に、研究者 ggwhyp も、Mozilla Firefox (Windows) を操作して、任意コード実行(RCE)のデモンストレーションとして電卓 (calc.exe) を起動させる手法を公開した。さらに FuzzingLabs も、Oracle Autonomous AI Database への侵入手法を保有していたが、これもコンテスト外で公開予定である。
このような状況は、Berlin に参加できたハッカーにとって不利に働く。なぜなら、除外された研究者が先に脆弱性を報告すれば、Mozilla や Anthropic などの企業がサイレントパッチを適用する可能性があるためである。
コンテストが開始する前に修正されると、その研究は衝突 (collision) または N-Day となり、新規性を失う。その結果、ステージに立てた参加者の成果が無価値になる可能性があり、報酬も得られない状況が発生し得る。
さらに深刻なのは、これまで Pwn2Own を特徴づけていた機密性と話題性が、開催前から失われつつある点である。
訳者後書:世界的なハッキングイベント Pwn2Own において、史上初めて参加枠が不足し、登録が打ち切られたというニュースです。その背景にあるのは、脆弱性を発見/検証するハッカー側のスピードが、運営側の物理的な処理能力を超えてしまったという現実です。特に AI カテゴリの導入により、AI ツールを用いた攻撃手法の開発が加速したことが大きな要因です。 参加できなかった研究者が発見した脆弱性をネット上で次々と公開する “報復の暴露” も始まっており、本番前に修正パッチが当たってしまうことで、出場者の成果が無効化されるリスクも生じています。伝統的なコンテストの運営体制を、技術の進化が揺るがす象徴的な出来事といえます。
IoT OT Security News 
You must be logged in to post a comment.