ZDI 主催の Pwn2Own Berlin 2026 が 5 月 15 日に Day 2 を終え、2 日間の累計で 39 件のユニークなゼロデイが実証され、賞金支払い総額は 90 万 8,750 ドルに達しました。Day 2 だけで 15 件・38 万 5,750 ドルを上積みし、19 年の歴史で初めて参加申込が定員に達したイベントとなりました。
主なポイント
- Day 2 の目玉は DEVCORE の Orange Tsai による完全パッチ済み Microsoft Exchange Server の RCE。3 つのバグを連鎖させ SYSTEM 権限を奪取、単発最高額の 20 万ドルを獲得
- Day 1 は 24 件・52 万 3,000 ドルを記録し、Microsoft Edge は Orange Tsai が 4 つの論理バグでサンドボックス脱出 (17 万 5,000 ドル)、Windows 11 は 3 チームに連続陥落
- 攻撃対象には LiteLLM・NVIDIA プラットフォームなど AI 関連製品も含まれ、AI ゲートウェイが本格的に Pwn2Own カテゴリ入り
- ZDI は実証された脆弱性をベンダーに 90 日以内の修正期限で開示。Microsoft / NVIDIA は次回 Patch Tuesday 前後での対応が必要に
- 参加枠超過により 150 名超の研究者が選考漏れし、一部は会場外で 0-day を即時公開する事態に。受け皿となる別フォーマットの必要性が議論に