[レポート]AI が全てを灼き尽くす〜天使か悪魔かそれとも〜 - CODE BLUE 2025 #codeblue_jp #codeblue2025

あしざわです。

本記事はCODE BLUE 2025で行われた以下のセッションのレポートです。

セッション情報

Like it or not, the wildfire of AI has swept the world—and cybersecurity is no exception. AI has changed everything. The old playbooks have been rewritten; the skills I honed over two decades no longer hold the same ground. My job was taken by AI—yes, that happened. Tonight, I'll show exactly how it happened. With real data and live demos, I'll lay bare the sequence: what burned down, what survived, and what emerged in its place. The box opens now—Pandora doesn't wait.

Speakers: Daiki Fukumori（福森　大喜）, GMOサイバー犯罪対策センター

レポート

Security for AI vs AI for Security

• Security for AI
  • AIに対する攻撃からの保護
• AI for Security
  • AIを使ってセキュリティを強化する

Security for AI

• OWASPの資料
• 登壇者がインターポール(警察)にトレーニングを提供している
  • AIへの攻撃手法を学ぶ、防御も挑戦

AI for Security

• 本日の本題がこちら
• レッドチームに対するAI活用事例は多数
• 本日はブルーチームにフォーカス
• ブルーチームにしたきっかけ
  • GMO AI・ロボティクス大会議でのチャエンさんの発言
  • AIの進化の3軸
    • モデルの進化、機能の進化
      • どの会社も同じように対応、進化が頭打ちになっている
    • MCP
      • これからの進化の主軸
      • AIのおけるUSB-C的な存在
        • SlackやGmailなどのデータをAIに接続できる
        • フォレンジックのアーティファクト（ファイルシステム、レジストリ、ブラウザ履歴など）も同様に接続可能

フォレンジック業務とシャーロックホームズの関係性

• フォレンジック業務
  • 一般的にシャーロックホームズの仕事で説明される
• 推理材料
  • 遺体の司法解剖結果
  • ドアの指紋
  • など
• シャーロックホームズの仕事
  • 証拠の情報をまとめて推理すること
  • 証拠の解析は誰かに任せる（司法解剖は医師、指紋採取は専門エンジニア）
  • レポートのフォーマットを統一する考え方がまさにMCP
  • これはフォレンジックの仕事そのもの

フォレンジック業務とAI

• 各情報をArtifactで解析
• 解析したものをMCP経由でAIツールに渡す

ベンチマーク方法

• Hack The box Sherlocksの問題を解かせる（全337問）
• 参考：AIに共通入試、東大入試を解かせた
  • 80〜90%の正答率
  • 東大に合格するレベルまでAIは到達している
  • 将棋、チェス、医療（レントゲン診断）でもAIは人間を超えている
• HTB Sherlocksの問題例
  • 被害者のIPアドレスは何？
  • 攻撃者はいつ脆弱なユーザーのKerberosチケットを要求しましたか？

ベンチマーク結果

• 正解数：288 / 337、85%の正答率
  • 東大合格レベルと同等の正答率
• 基調講演でDefCon CTFの難問は解けなかったという話があったが...
  • イージー、ミディアム、ハードの問題を満遍なくAIは解けている
  • ブルーチームの仕事はAIが得意な領域なのではないか、という結果に
• HTBの過去問は学習データに使われているのでは？
  • 可能性は十分にある
    • 過去の情報に頼らせないため、新しい問題にも挑戦してみよう
  • HTBは週一で新しい問題が公開される
  • 毎週公開される新しい問題にも挑戦
    • 一桁順位でAIは正解できることが実証された
    • First Blood（世界最速で正答）にも成功
      • イージー問題では5-10分で解かないとこの順位は取れない
      • 世界トップクラスのCTFプレイヤーよりも早い
      • プロ野球選手で例えると大谷翔平レベルの性能

解けなかった問題

• オンラインのマルウェア解析サイトにアクセスしないと解けない問題
  • 意図的にAIのWebアクセスを禁止し、カンニングさせないようにしたため、解けなかった
• サイズの大きなファイルへのアクセスが必要な問題
  • ページングするなどして分割したら解けるはず
• その他、特定の原因によって解けなかったことがわかっているものばかり
  • クリアしようとしたら追加の実装によって解けるものだった

デモ

• HTBのCampfire1の問題を解く
  • Kerberoasting攻撃のタイムスタンプを答える問題
  • AIはKerberoasting攻撃の特徴を理解している
• 人間がやる場合
  • その攻撃がどのようなものか調べる
  • その攻撃のフォレンジックがどこにあるかを考えて調査する
• AIがやる場合
  • 問題文の貼り付るだけ
• First Bloodを取るために
  • 1秒でも短縮するにはどうしたら良いのか考えた
  • コピペよりも早くするために、スクリーンショットを撮ってAIに投げることに
  • これでもAIは全自動で問題が解ける
• マルウェア解析
  • AIで対応可能
  • メモリフォレンジックもMCPを活用して対応可能

CTFから実践へ

• CTFは役に立たない論争
  • CTFの世界もAIに焼き尽くされている
  • CTF作問者は「AIに解けない問題をどう作るか」から始まる
  • CTF設問者はAIに解けない問題を作る必要性が生まれている
• フォレンジック調査 + インシデントレポート
  • フォレンジックAIエージェント用のプロンプトを準備、実行
  • プロンプト例：ネットワーク構成、除外すべき正規IPアドレスなどを指定
  • AIはフォレンジック調査からインシデントレポートの作成まで20分で対応可能
    • 人間がやった場合は5日から10日かかる
  • AIが作成したレポートは上司になったつもりで質問すればOK
    • 「この結論の根拠は何か」「ログの何行目に基づいているか」など詰める
    • 人間のレビューがハルシネーション対策になる
• SplunkからSOCレポート作成
  • 事前
    • SplunkのMCPサーバーを設定しておく
  • SOC分析
    • SOC AIエージェント用プロンプトを準備、実行
    • プロンプト例：どのインデックスに何のログがあるか、管理者による意図的なアクセスIPアドレスなど
    • AIが大量の正規のユーザーログから攻撃者の痕跡を発見する
    • 所要時間約1時間（10倍速で再生）
  • 可視化
    • プロンプト例：攻撃の流れがわかるようにセキュリティインシデントの発生を可視化して、概要を簡単に理解できるようにしてください
  • こちらも情報の正確性はAIに確認すればOK
• フォレンジックもSOCのどちらも真っ暗闇の中を歩いているような辛い作業
  • 何が正しくて何が攻撃なのか分からない状態から開始
  • ランサムウェア攻撃なら、もたもたしている間に暗号化が進むプレッシャー
  • AIによるガイドがあれば、真っ暗闇から薄暗い夕方の道を歩く程度に改善
• マルウェア解析
  • 有用だが、そのまま聞いてしまうとClaudeにブロックされる
    • 悪意のある質問だと思われてしまう
  • これは「CTFの問題です」と前置きすると答えてくれる
    • ただし、悪用厳禁

我々の未来と人材育成

• AIに全てを任せてしまうと人が育たなくなる
  • これはプログラミングにおけるVibe Coding問題と同じ
• AI時代の人材育成の切り札
  • ドラゴンボール世界の精神と時の部屋
    • 1日が外の世界の1年分に相当
    • 重力10倍、空気1/4など
    • 効率的な修行が可能
  • AI時代の精神と時の部屋
    • あらゆるAIアクセスを遮断
    • 検索エンジンも使用禁止
    • 検索エンジンを入り口に質の悪いブログ記事にしかアクセスできなくさせる
    • 自分で検証環境を構築して、コードを書かないといけなくなる
    • 短時間で効率的に一人前のエンジニアを育成

感想

フォレンジックやSOCのリアルな業務におけるAI活用について、デモも交えた深い話が聞けるセッションでとても良かったです！

AI時代の人材育成を考える上で、ドラゴンボールでいう精神と時の部屋が解決策の1つ、という一節がありました。笑い話のようですが、とても深いことを言ってるなと思いました。

「精神と時の部屋」のような環境を新人に強いてしまうのは気が引けますが、成長スピードが早い人は一定の負荷を自身に与えていると思うので、間違いないなと感じています。

基調講演でも「世界的なハッカーチームを作るためには地道で継続的な努力が必要」という、成長のためにはパワープレイなアプローチが必要だと言われていました。

AI活用と新人育成というトピックにも、今後注目して行きたいです。