• ホーム
  • 企業動向
  • Ikotas Labs、世界最高峰ハッキング大会「Pwn2Own Berlin 2026」で賞金約760万円を獲得:OpenAIやNVIDIA製品のゼロデイ脆弱性を発見
企業動向

Ikotas Labs、世界最高峰ハッキング大会「Pwn2Own Berlin 2026」で賞金約760万円を獲得:OpenAIやNVIDIA製品のゼロデイ脆弱性を発見

株式会社Ikotas Labsは、世界最高峰のハッキングコンテスト「Pwn2Own Berlin 2026」にて、OpenAIおよびNVIDIAのAIプロダクトを含む3ターゲットすべてで未公開のゼロデイ脆弱性を悪用したエクスプロイトに成功しました。これにより、賞金総額48,000ドル(約760万円)を獲得し、特にAIコーディングエージェント「OpenAI Codex」への任意コード実行に日本で初めて成功したことが注目されています。

Ikotas Labs、世界最高峰ハッキング大会「Pwn2Own Berlin 2026」で賞金約760万円を獲得

株式会社Ikotas Labsは、2026年5月14日から16日にドイツ・ベルリンで開催された「Pwn2Own Berlin 2026」において、NVIDIAやOpenAIが提供するAIプロダクトを含む3つのターゲットすべてに対し、未公開のゼロデイ脆弱性を悪用したエクスプロイトに連続で成功しました。同社は賞金総額48,000ドル(約760万円)と7.75 Master of Pwnポイントを獲得し、日本人としてトップの戦績を収めています。

Pwn2Own Berlinのイベントを示す縦長のディスプレイ

Pwn2Ownとは

Pwn2Ownは、Trend Micro傘下のZero Day Initiative(ZDI)が主催する世界最高峰のハッキング競技会です。この大会では、世界中から選ばれたセキュリティリサーチャーが、事前に一切公表されていない未知の脆弱性(ゼロデイ)を実機環境で実演します。成功した実演に対してのみ高額の賞金とMaster of Pwnポイントが与えられ、出場権を得ること自体が一流ハッカーの証として国際的に認知されています。2026年のPwn2Own Berlinでは、新たなカテゴリとしてAIエージェント領域が大幅に拡充され、世界中の注目を集めました。

3日間の戦績:NVIDIA Megatron Bridge、LiteLLM、OpenAI Codexを攻略

Ikotas Labsは、限られた出場枠を勝ち取った3つのエントリすべてでエクスプロイトを成功させました。

Day 1: NVIDIA Megatron BridgeとLiteLLMを攻略

競技初日、Ikotas Labsは生成AI学習基盤の中核を担うNVIDIA Megatron Bridgeに対し、過度に許可されたリストの脆弱性を突くエクスプロイトでリモートからの制御奪取(RCE)に成功しました。続けて、世界中のLLM運用基盤として広く採用されているLiteLLMに対するエクスプロイトも成功させています。

Pwn2Ownサイバーセキュリティコンテストの会場で、参加者たちがPCに向かい集中している様子 ノートパソコンの画面に、左側はネットワーク設定やncatの通信状況、Linuxシステム情報が表示されたコマンドプロンプト、右側は「Ikōtas Labs」のロゴと「Pwn Anything」のスローガンが表示されたウェブページが映し出されている

Day 3: AIコーディングエージェントOpenAI Codexの任意コード実行に成功

最終日には、OpenAIが提供するAIコーディングエージェントCodexを標的に、外部制御を悪用した独自手法による任意コード実行(RCE)エクスプロイトを公開実証しました。この脆弱性は、Ikotas Labsのメンバーが独自に発見した未公表のゼロデイであり、他のチームとは重複しないユニークなものとして、規定の満額4.0ポイントが認定されています。

サイバーセキュリティのハッキングコンペティション「Pwn2Own」の会場風景 Pwn2Own Berlinのイベントで、二人の男性がラップトップを掲げて笑顔を見せている

AIエージェントが本番コードの作成や本番環境の操作を行う現代において、Ikotas Labsは、AIエージェントが攻撃者によってRCEで乗っ取られる「現実に起こり得る悪夢」が机上の空論ではないことを世界に示しました。さらに、同社メンバーが発見したOpenAI Codexのさらなる未公開脆弱性についても、現在OpenAI社へ責任ある情報開示の手続きで報告中であるとしています。

Ikotas Labs独自の脆弱性発見アプローチ

Ikotas Labsの脆弱性発見アプローチは、単なる手動解析やツール頼みのファジングに留まりません。攻撃対象の脆弱性探索プロセス自体にAIを深く組み込んだ独自のハイブリッド手法を採用しています。LLMと人間のハッカーの知見を組み合わせ、攻撃者視点での仮説生成、コードリーディング、PoC(概念実証)構築までを高速に反復することで、人間だけでは到達できない探索範囲と、機械だけでは到達できない深さを両立しているとのことです。同社はPwn2Own Berlin 2026に3エントリで出場したものの、実際にはさらに6製品分の未公表ゼロデイを手元に抱えていたと説明しています。これらの脆弱性についても、責任ある情報開示の手続きに沿って、各製品ベンダーへ個別に報告中であるとしています。

法人向けサービス:AIエージェントのセキュリティ診断

AIエージェントの導入やAI機能のプロダクトへの組み込み、LLMアプリケーションの運用は、今日の競争力の源泉となっています。しかし、AIエージェントは従来のWebアプリケーションやAPIとは異なる攻撃面を持ち、既存のセキュリティ診断では発見しきれないリスクが存在します。Ikotas Labsは、Pwn2Ownの舞台でAIを攻略した実戦経験を活かし、以下のサービスを提供しています。

  • AI・LLM・AIエージェント特化型セキュリティ診断:プロンプトインジェクション、ツール乱用、サンドボックス脱出、エージェント間連鎖攻撃、外部制御悪用など、AIエージェント特有の攻撃面を攻撃者視点で網羅的に検証します。

  • LLMを活用した次世代脆弱性診断:Pwn2Own優勝クラスのリサーチャーが活用するLLM活用型脆弱性探索手法を、企業のソースコード資産や主要ソフトウェアに適用します。

  • AI×セキュリティのコンサルティング:AI導入時のセキュリティ設計レビュー、レッドチーミング、インシデント対応支援など。

技術詳細の公開と問い合わせ

Pwn2Ownの規定およびZero Day Initiativeの開示プロセスに従い、各エントリの技術詳細はベンダーによる修正完了後に順次公開される予定です。本記事公開時点では、コンポーネント内部やPoC等の詳細は伏せられています。また、本コンテストで使用した脆弱性とは別に、Ikotas Labsメンバーが発見したOpenAI Codexのさらなる脆弱性についても、OpenAI社へ個別に責任ある報告を実施中とのことです。

AI領域のセキュリティ、脆弱性診断、ペネトレーションテスト、コンサルティングに関する相談は、同社コーポレートサイトまたは問い合わせフォームから可能です。

会社概要

白背景に、青とオレンジの四角形がグリッド状に配置されたロゴマークと「Ikotas Labs」の文字
項目 内容
会社名 株式会社Ikotas Labs (Ikotas Labs, Inc.)
代表者 代表取締役 辻 知希
事業内容 AI×セキュリティを中核とする、攻撃者視点のセキュリティ診断・脆弱性リサーチ・コンサルティング
コーポレートサイト https://ikotaslabs.com/
お問い合わせ https://forms.gle/s4JF17WUjaHf6KRM9

ソース元

【Pwn2Own Berlin 2026】世界最高峰のハッキング大会で賞金$48,000を獲得:株式会社Ikotas LabsがOpenAIやNVIDIA製品のセキュリティホールを発見
https://ikotaslabs.com/

ページトップへ戻る
×