CODE BLUEは毎年日本で開催されているセキュリティ分野の国際会議です。今年も世界中から多くのセキュリティ関係者が集い、さまざまな最新トピックの講演やブース展示が行われました。

https://codeblue.jp/

開催日：2025年11月18～19日

開催地：ベルサール高田馬場

弊社出展の紹介

弊社も例年通りブースを出展し、サービス紹介などを行いました。我々は基本的に聴講メインでの参加でしたが、多くの方が立ち止まってくださっていたように思います。

CODE BLUE 2025 出展および登壇のお知らせ | News | 三井物産セキュアディレクション株式会社

特に「The WebSec Engineer’s Bible」と題した社内の診断手法やチェックポイントをまとめた書籍が目玉で、Xでの紹介を見て多くの方に興味をもっていただけたようです。診断現場での実務経験をベースになっており、私も診断作業でたびたび参照しています。

https://x.com/mbsdnews/status/1990580052250300688

また、弊社の高江洲がAIセキュリティに関して登壇したところ、立ち見が出る大好評でした。内容としては、近年AIエージェントやマルチエージェントシステム(MAS)の普及が始まっており、Webの利用者が人間だけではなくなった世界で、どのような脅威が存在するか、どう対策を行うべきか、これらのシステムをどうセキュアに運用していくかについて議論するものでした。

講演名：Agentic Web Security

https://codeblue.jp/program/time-table/day1-t2-opentalks-01/

全般的な感想

今年のCODE BLUEでは、ここ数年で話題となった生成AIに関するセッションが非常に多いことが印象的でした。AIの脆弱性調査・診断だけでなく、AI自体が攻撃対象となる事例やAIが関連する新たな攻撃手法の講演も複数あり、セキュリティカンファレンスらしい内容だったと思います。

一方で、「Car Hacking Village」や「Aerospace Village」といった、DEFCONでおなじみの実機を使ったワークショップを伴う、LINやCAN等の車載ネットワークやICSネットワークなどを扱うブースや、彼らによるハードウェアや低レイヤーに焦点を当てた講演も数多く見られました。

また講演だけでなく、サイバー攻撃や防御の手法を実戦形式で学ぶことができるハンズオン形式の演習が複数開催されており、我々が普段の診断において利用している手法ではない、他社が利用している手法を学ぶことができ、自分たちが診断を行うにおいて、とても参考になりました。

加えて、勉強会などのコミュニティ活動でしか顔を合わせることのない業界内の知人について現在の近況を教えてもらうことができたりと、非常に有意義で刺激的な２日間だったように思います。

講義の紹介

ここからは、今年印象に残ったいくつかの講演や展示を紹介します。

ギャップに要注意：Windowsイベントログの見落としを検出する（そして修正する!）

https://codeblue.jp/program/time-table/day2-t3-02/

公開講義資料：https://github.com/Yamato-Security/Presentations/blob/main/Japanese/2025-11-19-CODE-BLUE-ギャップに要注意：Windowsイベントログの見落としを検出する.pdf

デジタル・フォレンジックおよびインシデント対応（DFIR）において重要となる、Windowsイベントログの監査設定についての内容でした。私も業務の中でイベントログや監査設定を扱う機会がありますが、組織や対象システムごとに最適な設定が異なるため、毎回悩むことが多い分野だと感じています。加えて、Windows自体の進化やバージョンアップによって設定を見直す必要もあり、万能な正解がないのが現実です。今回のような講演を通じて、知識をアップデートしていくことの大切さを実感します。

オーディオブックを表紙で判断するな：KindleでAmazonアカウントを乗っ取る 

https://codeblue.jp/program/time-table/day1-t1-04/

Kindleデバイスのオーディオブックに存在する脆弱性を利用し、Kindle端末の乗っ取ってその端末で利用中のAmazonアカウントのセッションまで侵害可能であったという講演でした。

特に印象的だったのは、成功率が低い場合でも状況によっては攻撃が実用的になりうるという点です。紹介された脆弱性は、オーディオブックのメタデータの読み取りに関係し、メモリアドレスなどの完全な推測が困難であるため、一度で成功する確率が低いものです。しかし、Kindle端末は当該処理がクラッシュすると自動で再起動し、再度メタデータの読み込み処理が再実行されます。数時間放置しておくだけでいつかは攻撃が成功するため、Kindle端末の特性上十分攻撃が成立すると言えます。

一度で成功しなくても何度も試行できる環境なら突破できる観点は、他の領域でも応用できる重要な視点であるため、よく覚えておこうと思います。ちなみに、英語タイトルの「Don't judge an audiobook by its cover」は「表紙で本を判断するべからず」という英語のことわざをもじっているようです。

必要なのは招待状だけ! Googleカレンダーの招待でワークスペースエージェント向けGeminiを起動

https://codeblue.jp/program/time-table/day2-t1-05/ 

Promptwareと呼ばれる、プロンプトを利用したAIエージェントの悪用についての講演です。

能動的に危険なプロンプトを読み込ませなくても、GeminiはGoogleカレンダーやGmailの内容を参照できるため、カレンダーの招待やメールなど従来は安全であったデータの受信が攻撃ベクトルとなるリスクが紹介されています。

AIエージェントが持つ権限や、参照するデータが増えるについて脅威も増加すると考えられます。他のAIを活用するサービスでも十分注意すべき観点と感じます。

OSINTを使った攻撃者の特定

https://codeblue.jp/program/time-table/day2-t2-opentalks-02/

2010年代に行われていた、和歌山県太地町のイルカ漁に抗議するためのサイバー攻撃キャンペーン「Operation Killing Bay」について、SNS等の発信から、実際の攻撃者がどこに在住する何者なのかについて特定を試みた際の実施内容や結果について発信を行うものでした。結果としては完全に特定できたとは言えないものの、確度が高いと思われるものであり、SNSで個人情報を匂わせる発信をすることや、一般に公開された電話帳サービス等がいかに危険であるかが分かる講演となっていました。

99%の企業が見逃す「静かな侵入口」—放置されたOSSと進化する攻撃が仕掛ける罠 ～ 巧妙化する攻撃手口と、その温床となる「放置OSS」の実態 ～

https://codeblue.jp/program/time-table/day2-t2-opentalks-06/

実施しているレッドチーミングにおけるセキュリティ製品をバイパスする手法の紹介や、実際に運用されている脆弱性管理クラウドサービス「FutureVuls」を通じて収集した、企業が利用しているOSSエコシステムの健全性に関する分析となっていました。

弊社も同様に、ブルーチームを支援するサービスとレッドチーム活動を行うサービスを持っています。別のチームとなりますが、社内でのコラボレーションを増やして、よりお客様のシステムを効率よく網羅的にセキュアにする取り組みができるのではないかと思いました。

AEROSPACE VILLAGE

https://codeblue.jp/program/contests-workshops/aerospace-village/

航空宇宙分野のサイバーセキュリティに関するエリアです。従来と比べ、近年は宇宙や衛星通信も注目度が上がっているとのことでした。実際、スマホ衛星通信などが個人にも普及し始め、衛星サービスがより身近になる一方で、攻撃の難易度が下がることで攻撃対象としての価値も上昇しているのを感じます。

衛星通信に関するデモを行っていたり、どのようなセキュリティ観点が存在するかを伺ったほか、一度打ち上げてしまうとパーツ交換や物理的なメンテナンスがほぼ不可能という衛星の特性上、地上機器以上に可用性が重視されるというお話も印象的でした。セキュリティエンジニアとして、つい安全性を優先しがちですが、セキュリティはトラブルや運用負荷につながることもあります。対策も物理的にセキュリティルームで厳重に管理することが前提のWebアプリなどとは違うことも多くあるかと思います。

航空宇宙分野に限った話ではありませんが、ドメイン固有の知識や現場担当者のリアルな実情を理解することが、これまで以上に重要になってくるといった気づきを得られる展示でした。

Whispers Through the Firewall: Data Exfiltration and C2 with Port Knocking

https://codeblue.jp/program/contests-workshops/whispers-th-fw/

利用したソフトウェアのGitHubリポジトリ：https://github.com/netskopeoss/saucepot

標的型攻撃等を行う攻撃者が利用するC2サーバおよびマルウェアについて、ポートノッキングやエフェメラルポートを活用することにより防御側に検知され辛くした実装の紹介、およびそのハンズオンでした。

Web診断が有名な弊社ですが、近年はOA環境やWindows Active Directory環境において実際の攻撃者がどのような攻撃を行い、どう環境の管理者権限を奪取し、どのように外部に機微情報を送出するかをシミュレートするペネトレーションテストサービスの引き合いも数多く頂いております。 

https://www.mbsd.jp/solutions/assessment/penetration/

その過程で、攻撃者のマルウェアを模した疑似マルウェアや、それを外部からコントロールするC2サーバを開発・運用する必要がありますが、今回のハンズオンはそのヒントになるのではと思いました。特に一部においてTCPコネクションを確立せずにC2サーバに対する通信が行われており、これに関してはSIEM等を導入して通信内容をかなり細かく見ていないと検知するのは難しいと考えらえます。

EDR等の既存のセキュリティ製品の進歩がめまぐるしい早さで進んでいて、数か月後には現在の手法が利用できなくなっていることもある世界であるのと、このようなプロダクトを独自に開発していても外部に公表しない企業もある中で、実証段階とはいえ新しいアイデアについて積極的に外部公開してくれる企業があることをとても有難く思いました。

まとめ

白倉

CODE BLUEは私自身、学生スタッフとして過去に参加した経験があり、個人的にも思い入れのあるイベントです。社会人となって再度参加すると、また見る観点が当時と変わったように感じます。今後役立ちそうな内容から、自身の分野外の講演までありましたが、エンジニアの皆さんの熱意や考え方に触れ、新たなモチベーションにつながりました。

藤縄

今回が初参加となりますが、今まであまり触れることが無かった同業他社がどのようにサービスを行っているのか、どういう手法で診断を行っているかに触れる機会があり、とても良い刺激となりました。