## Pwn2Own Berlin 2026：初日のハイライト **Pwn2Own Berlin 2026**コンペティションは、セキュリティ研究者らが幅広いソフトウェアおよびハードウェアターゲットを悪用してスキルを披露する、活発な幕開けとなりました。エンタープライズテクノロジーと人工知能に焦点を当てたこのイベントは、5月14日から16日までOffensiveConカンファレンスで開催されています。 ## Edgeサンドボックスエスケープが最高賞を獲得 **Orange Tsai**氏は、4つのロジックバグを連鎖させて**Microsoft Edge**のサンドボックスエスケープを達成し、17万5000ドルを獲得して際立ちました。この印象的な偉業は、連鎖する脆弱性の複雑さと潜在的な影響を浮き彫りにしています。 > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlslrhjrvc2s">BlueSkyで見る</a> ## Windows 11が標的に **Windows 11**は、異なるチームによって3回成功裏に標的とされました。 * **Angelboy**と**TwinkleStar03**（**DEVCORE**インターンシッププログラムと共同） * **Marcin Wiązowski** * **GMO Cybersecurity**の**Kentaro Kawane**氏 各チームは、オペレーティングシステム上の新しい権限昇格ゼロデイを実証したことで、それぞれ3万ドルを獲得しました。 > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsterlyhk2d">BlueSkyで見る</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsyezpkyc2m">BlueSkyで見る</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltgpmo7ac2p">BlueSkyで見る</a> ## Linuxおよびコンテナのエクスプロイト **IBM X-Force Offensive Research (XOR)**の**Valentina Palmiotti**（chompie）氏は、**Red Hat Linux for Workstations**のルート化で2万ドル、**NVIDIA Container Toolkit**のゼロデイでさらに5万ドルを獲得し、成功した一日を過ごしました。 > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltebpvjlc2p">BlueSkyで見る</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsm3vbvks2s">BlueSkyで見る</a> ## AI/MLプラットフォームの脆弱性が明らかに AIおよび機械学習プラットフォームでは、以下の脆弱性が発見されました。 * **k3vg3n**: 3つのバグを連鎖させて**LiteLLM**をダウンさせました（4万ドル）。 * **Satoki Tsuji**氏と**haehae**氏: **NVIDIA Megatron Bridge**のゼロデイを悪用しました（2万ドル）。 * **Compass Security**と**Doyensec**の**maitai**氏: **OpenAI's Codex**コーディングエージェントをハッキングしました（それぞれ4万ドルを獲得）。 * **haehae**氏: **Chroma**のゼロデイをドロップしました（2万ドル）。 * **STARLabs SG**: **LM Studio**のゼロデイを発見しました（4万ドル）。 > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlso3j67ns2s">BlueSkyで見る</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsottlmak2s">BlueSkyで見る</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltcik6cvs2w">BlueSkyで見る</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlst4byglc2d">BlueSkyで見る</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlswuldquc2m">BlueSkyで見る</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlt5kuba622z">BlueSkyで見る</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltheam2ps2p">BlueSkyで見る</a> ## リーダーボード 現在、**DEVCORE Research Team**が20万5000ドルでコンペティションをリードしており、次いで**Valentina Palmiotti**氏が7万ドルで続いています。 ## 2日目のターゲット 2日目には、競技者は**Microsoft SharePoint**、**Microsoft Exchange**、**Windows 11**、**Apple Safari**、**Cursor**、**Red Hat Enterprise Linux for Workstations**、**LM Studio**、**OpenAI Codex**、**LiteLLM**、**Anthropic Claude Code**、および**Mozilla Firefox**のゼロデイを標的とします。 ## Pwn2Ownのルールと影響 様々なカテゴリで完全にパッチが適用された製品を標的とする研究者は、100万ドル以上の現金と賞金を獲得できます。標的となるすべてのデバイスは最新のオペレーティングシステムバージョンで実行され、エントリーはターゲットを侵害し、任意のコード実行を実証する必要があります。ベンダーは、脆弱性が開示されてから90日以内にセキュリティ修正をリリースする必要があります。 昨年、**TrendMicro's Zero Day Initiative**は、29件のゼロデイ脆弱性に対して1,078,750ドルを授与しました。  ## バリデーションギャップ：自動ペネトレーションテストは1つの質問に答える。あなたは6つ必要です。 自動ペネトレーションテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを横断できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)