世界最高峰のハッキング競技会「Pwn2Own 2026」において、セキュリティ研究者たちがWindows 11、Microsoft Edge、Microsoft Exchangeに対するゼロデイ脆弱性の悪用に次々と成功し、多額の賞金を獲得した。AIアプリケーションも攻撃対象となり、現代のソフトウェアスタック全体に深刻な問題が潜んでいることが改めて浮き彫りになった。

Pwn2Ownとは何か

Pwn2Ownは、Trend MicroのZero Day Initiative(ZDI)が主催する年次のハッキング競技会だ。参加者は「これまで公開されていないゼロデイ脆弱性」を使って対象製品の侵害を実演し、成功すれば数万〜数十万ドル規模の賞金を獲得できる。競技後はベンダーに脆弱性が報告され、パッチが提供されるという流れが確立されている。

単なるショーではなく、業界全体の「脆弱性発見サイクル」として機能している点が重要だ。研究者にとっては報酬と名声を得る場であり、ベンダーにとっては本番環境が狙われる前に脆弱性を修正できる機会になる。

今回の標的となったMicrosoft製品

今回のPwn2Own 2026では、Microsoft製品が複数の攻撃成功事例を記録した。

Windows 11 は依然としてハッカーの主要ターゲットであり続けており、権限昇格や任意コード実行につながるゼロデイが実証された。Microsoft Edge はChromiumベースのモダンブラウザーであるにもかかわらず、サンドボックス脱出を含む脆弱性が発見された。Microsoft Exchange は企業メールインフラの中核を担うにもかかわらず、リモートコード実行の可能性を示す脆弱性が実演されている。

さらに今回の特徴として、AIアプリケーションも攻撃対象に含まれており、急速に普及するAIツールのセキュリティ検証がいかに追いついていないかを示す結果となった。

ゼロデイが持つ意味――「今は安全」は幻想

ゼロデイ脆弱性とは、ベンダーが把握していない(あるいはパッチが存在しない)未公開の欠陥を指す。Pwn2Ownで実証されたということは、その脆弱性がMicrosoftに報告されて初めて修正プロセスが始まることを意味する。競技後にZDIからMicrosoftへ通知が行き、通常90日以内のパッチ提供が求められる。

つまり、現時点では「脆弱性は存在するが、パッチはまだない」という状態だ。

実務への影響――日本のIT管理者が今すべきこと

Pwn2Ownの結果は「研究者の遊び」で終わらない。以下の対応を即座に検討すべきだ。

Windows Update の適用状況を確認する: ゼロデイが修正されたパッチがリリースされ次第、迅速に適用できる体制を整えておく。特にExchangeはオンプレミス運用の場合、更新が遅れがちな環境が多い。

Exchangeのオンプレミス運用を再評価する: Exchange Onlineへの移行が進んでいる場合、Microsoftがクラウド側でパッチを適用するため管理負荷は大幅に下がる。オンプレミスExchangeを引き続き運用している組織は、今回の結果を移行検討の材料として活用してほしい。

ネットワーク分離と最小権限の徹底: ゼロデイは防ぎきれない前提で動くことが重要だ。攻撃が成功してもラテラルムーブメント(横展開)を防ぐために、ネットワークセグメンテーションと最小権限の原則を徹底する。

AIアプリのセキュリティ評価: 社内で利用中のAIツールについて、セキュリティ評価なしに展開していないか確認する。今回の競技でAIアプリが攻撃対象に含まれたことは、その必要性を裏付ける。

筆者の見解

Pwn2Ownで毎年Microsoftの製品が実証されることは、もはや驚くに値しない。それよりも注目したいのは、Microsoftがこのサイクルに真剣に向き合い続けている点だ。報告された脆弱性に対して90日以内にパッチを提供する枠組みは機能しており、その点は正当に評価できる。

ただ、Exchangeのオンプレミス版が繰り返しターゲットになる現状は、もったいないという思いがある。Microsoftにはクラウドファーストへの移行を強力に後押しできるだけのブランド力とプラットフォームがある。それを活かしきれていないオンプレミスExchangeの延命策が、かえってユーザーのリスクを高めているように見える。

セキュリティは「今動いているから大丈夫」では通用しない。ゼロデイは「発見されていないだけ」の状態が続いているに過ぎない。今回のPwn2Ownの結果を受けて、特にオンプレミスインフラに依存している日本の企業には、クラウド移行やネットワーク設計の見直しを真剣に検討するきっかけにしてもらいたい。

出典: この記事は Windows 11, Microsoft Edge, and Exchange hacked at Pwn2Own の内容をもとに、筆者の見解を加えて独自に執筆したものです。