7/26開催!第121回ゆるいハッキング大会 in Tokyo – ITエンジニアのためのセキュリティ勉強会

ゆるいハッキング大会50回の様子

目次

第121回 「AIを活用したサイバー攻撃を学ぶ」
シーズン8 ターン1開催します。

2025年7月26日(土)、毎月恒例となっている弊社主催のセキュリティカンファレンス「第121回 ゆるいハッキング大会 in Tokyo」を、東京都中央区にて開催いたします。

本勉強会は、「攻撃の観点から実際の防御を学び、業務に活かす」ことを目的にスタートしたもので、今回も定員50名、ゆるい雰囲気の中で実施いたします。

「説明はいいから早く申し込ませてくれ!どうせ定員オーバーしたら参加できないんだろ?」と思われる方もいらっしゃるかもしれませんが――そのとおりです。ぜひお早めに、どうぞお気軽にお申し込みください。今回も先着順での受付となります。

昨年より勉強会は「シーズン制」に移行しており、シーズン8では、「実際の攻撃と防御」をテーマに、より実践的なレクチャーを行っています。「攻撃の観点から防御を学ぶ」というコンセプトのもと、業務に直結する内容をお届けしています。

セキュリティ初心者の方でも、楽しみながら学べる内容となっております。ぜひ本勉強会で、有意義な休日をお過ごしください。

 

今回は、シーズン8の第1回目にあたります。これまでの基本的な技術内容を振り返りつつ、AIを活用したペネトレーション環境の構築・活用をテーマに開催します。

最近では、さまざまな場面でAIの活用が進んでいます。しかし、情報流出のリスクを考えると、大規模言語モデル(LLM)はクラウド上ではなく、ローカル環境で動かしたいと考える人も多いでしょう。たとえば、定期的にポートや脆弱性を読み取ってチェックしたり、これからリリースする製品の脆弱性診断を行うなど、さまざまなシーンでAIの力を活かしたいところです。

AIによる脆弱性試験は、従来の方法と比べて多くのメリットがあり、作業効率の向上やチェック範囲の拡大、高速化という点に期待ができます。しかし一方で、いくつかの課題も抱えているのが現状です。

業務として考えれば「誤検知」と「見逃し」の問題です。実際には問題のない箇所を脆弱性と誤って判断してしまうことで、開発者が無駄な修正に時間を費やすケースが出てきます。さらに、AIでは検出が難しいとされる課題が「論理的脆弱性」です。

たとえば、クロスサイトスクリプティング(XSS)やSQLインジェクションのような既知の攻撃パターンには強いですが、特定の操作順で発生する権限昇格のようなビジネスロジック上の欠陥は、システム全体の挙動やコンポーネント間の相互作用を理解しなければならず、AIにとっては非常に高度な課題です。

IDSやテーブル入っているのにバンバン負荷かかられても!と思いますし、それも挙動に含める必要もあります。それでもなお、AIによる脆弱性試験は、人間の負担を減らし、より広く・速く・深く調査を進められるという点で、大きな可能性を秘めています。

今後は、「ヒューマン・イン・ザ・ループ(人間とAIの協調)」というアプローチや、AIの判断をより理解しやすくする「解釈可能性」の研究が進むことで、こうした課題も次第に克服されていくと期待されています。

……と、ここまで読むと「なるほど」と思われるかもしれませんが、実際にAIを使いこなせている人は、どれほどいるのでしょうか?

正直に言えば、書いている私自身も「使いこなしている」と自信を持って言う事ができません。
そこで今回は、よくあるCMSやWebサイトを対象に、AIを活用した脆弱性診断の実践を学ぶ回といたします。
まぁ長々と文書を書きましたが、「バンバンAI使って攻撃とか防御を練習しようぜ!」ということです。

2025年シーズン8 内容
「AIを活用したサイバー攻撃を学ぶ」

本シーズンはひとまず大規模言語モデル(LLM)と、ローカル環境でのLLMを動かし、ある程度の自動化を目指し行います。

「え?それなら通常のGUI系のペネトレーションでいいじゃね?」という意見もありますが、テキストベースやネットの情報を収集しつつ、辞書を作るという作業や、サービス名や拾った情報を集めて脆弱性チェックをするといったなど、地道な作業だったりします。

とくに最近では、IDSも非常に優秀で、逆にフィルター部分にAIなんていうのもあったりします。ひとまず、ここに焦点を当てて学ぶということになるかと思います。

そこで今回の内容は、以下になります。

  • 一般的なAI(LLM)を使った攻撃・防御の実例を確認
  • 既存の環境への攻撃と防御へのアプローチ考察
  • ターゲット環境構築
  • 実践

……とはいえども、今回も仮想的なストーリーが無いと頭に入らないというマテリアルビッチ現実主義の方に向けて、今シーズンは以下になります。

 

2025年7月某日、ー プロローグ ー

うちの製品は“AIセキュリティ”なので、安心してお使いいただけます!!

株式会社フシアナ商事の応接室。
赤いバッジを胸につけた営業マンが、勢いよくプレゼンを繰り広げている。
その様子を、向井はシラけた顔で黙って見つめていた。

(AI?笑わせんな。ただのテーブルフィルター付きのIDSじゃねぇか……)

役員たちは“DX”だの“AI”だの、流行り言葉にすぐ飛びつくくせに、
導入後の面倒はいつもSEに丸投げ。
結局、割を食うのは俺たちだ。

「どうだい向井くん。これ導入すれば、楽になるんじゃないのか?」

無能な上司が、いかにも分かったような顔で口を開く。

(……てめぇ、導入して効果がなけりゃ、全部俺のせいにするつもりだろ)

「どうですかね。検証してみないと、なんとも言えませんね」

そう答えると、赤いバッジの営業マンが、にやりと不気味な笑みを浮かべながら口を開いた。

そうですよね! では、まずは1ヶ月、お試しいただければ!

――このとき向井は、まだ知らなかった。
この“お試し”が、地獄の始まりになることを。

 

  • 注、不正攻撃に対する防禦を目的としており、企業名や上記設定はあくまで仮想のものです。

お申し込み

また自身でもセキュリティの発表したい!という方はお気軽に申込フォームのLT希望にチェックをお願いします。

 

 

ゆるいハッキング大会お申し込み

 

過去の非公式懇親会の様子 今回も公式にはありません。

 

ゆるいハッキング大会 in Tokyoとはなにか?

 

ゆるいハッキング大会 in Tokyoは2015年から都内で毎月開催しているセキュリティカンファレンスです。 当初はシステムガーディアン社内で始めた社内トレーニングで、「実際の攻撃手法からセキュティを学んでいこう」という実運用・実践に基づくセキュリティカンファレンスです。 約10年程、毎月地道に開催しております。 この会から派生したイベントは教育機関・企業でも開催も行っておりますが、一貫して、「初心者も参加しやすく、お酒飲みながら参加できるゆるい開催」を目指し開催しております。 またセキュリティやIT技術については、攻撃手法もふくまれ個人の倫理による部分が多いので、今回も秘密保持契約書が必要になります。またその趣旨も実践に必要な知識を突き詰めております。

 

参加者が増えてきましたので、当然マナ-を守れない方や社会通念的な常識を無視される方の犯罪を危惧して、秘密保持契約書をご提出いただく必要がございますが、ぜひ知識を広める上で多くの方が参加できることを期待しております。

 

スケジュールと開催詳細

ゆるい開催なので、適度に休憩があります。 また何度か書きますが、セキュリティの発表したいィィィという方はお気軽に※。

今回は主に夏に向けて、ご家族で楽しめるような準備・技術を予定しております。

 

開催日時   2025年7月26日(土) 14:30~18:00 ( 受付開始14:15~ )
開催の目標 セキュリティ技術の向上と技術共有
当日、こんな感じ?っていう ゆるいスケジュール ※当日ゆるく進めたいところです。
14:15~ 受付開始
14:30~15:00 オープニング・趣旨説明
15:00~15:30 そもそもAIってなんだよ!まずはローカルで動かすぞ!
15:30~15:40 休憩
15:40~16:10 ペネトレーションをどこまで自動化できるのか?(主にレポート)
16:10~16:25 集めた辞書でお祭りじゃ!
16:25~16:35 非公開
16:35~17:00 非公開
17:00~17:20 非公開
17:20~17:40 非公開
17:40~17:55 非公開
18:00  解散・撤収
会場 HSB鐵砲洲 東京都中央区湊1-1-12
参加費 ゆるハック参加費 ¥2,000 会場にて現金払い ※スムーズなご案内のため、おつりのないようご準備にご協力いただけますと幸いです。
参加方法 このページ下部のお申し込みボタンよりお申し込みください。 お申し込み後 ツイッターアカウントお持ちの方は ぜひ、ハッシュタグ「#ゆるいハッキング大会」「#ゆるハック」にて 参加表明 大歓迎です。
参加の流れ 申し込み後、参加確定された方へ受付確認と参加費用支払の案内が開催直前までに参加のご案内のメールが届きます。
また初参加の人は秘密保持契約書を送付します。 当日 印刷後記入して持参頂くか、同内容を会場でご記入くださいませ。
※既に過去に参加されて、秘密保持契約書を御提出された方は不要です。 (ページ下部「 FAQ:なぜ秘密保持契約が必要なのか?」参考)

 

当日の持ち物や事前に勉強しておくといい事

ノートPCやコンセント、バッテリーなど

Kali linux等ペネトレーション系のソフト/OSインストール済みノートPC、 もしくはご自分の使いやすいペネトレーションテストできるマシンがあると楽しめます。必須ではありませんが、ないとつまらないです。マジで。 OS仮想でも問題ありませんが、仮想VMやVirtualBoxで稼働させる場合、インストールまで行っておいてください。わかんねーって人は会場で聞きましょう。また障害も予想して緊急用にUSBブートOSなど用意しておくと尚良いでしょう。 また今回は連打するので、nmapやhydra、そして辞書も可能であれば、用意しておくと良いでしょう。またコンセントは足りない事がありますので、しっかり充電して持ってくるか電源タップかコンセントを持参すると捗ります。

wi-fiテザリング機器

また会場内にもwi-fiございますが、ご自身でテザリング等回線を用意しておくと捗ります。

LANケーブル

当日は無線クラックもできますが、有線LANを予定していますので、LANケーブルがあれば捗ります。
またCタイプUSBであれば変換などお持ちください。

SSHクライアント

OSはKaliやペネトレーション系のOSを勧めておりますが、Linux以外でWindowsやMacOSでイキたい!という方はTera TermでもMobaXtermでもRLoginも構いませんが、SSHクライアントをインストールしておいてください。

ソフトウェア無線環境

今回は特別回で盗聴器発見を予定しておりますので、ぜひ

飲食について

会場内の飲食は自由で、持ち込みの飲食が可能です。お酒飲みたいとか、おやつ食べたい人はぜひ。 ごみはお持ち帰りでお願いします!。 ちなみにワイングラス持参でラグジュアリーもたまにいます。……まじ(´・ω・) ス

よくある質問と答え

開催についてよくあるご質問をいただきましたので、こちらをご覧ください。

Q.初心者でも参加できますか?

A.参加可能です。 内容が専門的ですので、まったく知識がないと単純に見学になると思います。雰囲気は楽しめると思います。また逆に社会的ルールを守らない手当たり次第に攻撃する自称プロの参加を望みません。また犯罪に利用しようという方も参加できません。

Q.中高年・おっさん、おばさんでも参加できますか?

A.中年であろうと老人であろうと、大歓迎です。年齢はいくら重ねていても構いません。

Q.参加資格はございますか?

A.特別な応募資格は必要ありません。当日、秘密保持契約書(ご提出済の秘密保持契約書は期限が3年です)をご提出いただく際に、身分証明書のご提示でご本人確認ができれば、どなた様でもご参加いただけます。性別、年齢、国籍などは一切問いません。ただし、未成年の方は保護者の同意書が必要です。
注意事項:会場の都合上、参加人数に上限があります。定員に達した場合はご参加いただけませんのでご了承ください。また、複数回にわたり連絡なく不参加を繰り返した方や、過去に出入り禁止となった方は参加をご遠慮いただいております。

 

Q.いつまでに参加可能か連絡がきますか?

A.開催2~3日前………ギリギリにはメールにて開催要件をメールにてご連絡を差し上げる予定です。また結構直前になるケースがあります。メールが届かないというご連絡をいただきますが、迷惑メールフォルダに振り分けられていないか、受信設定等、再度ご確認をお願いいたします。

Q.新型ウィルス対策の殺菌・除菌用の準備ってまさかお酒が置いてるだけとか無いですよね?

A. いえ、ちゃんとアルコール殺菌用のものを買いました。

Q.申込していないけど会場に直接押しかけて参加できますか?

A. だめです。無理(´・ω・)ス

Q.なにか持ち物が必要ですか?

A.当日はKali linuxがインストールされたノートパソコン持参が推奨です。普通のノートパソコンでも可能です。今回は仮想環境でも問題ありません。

Q.冷やかしに参加していいですか?

A.冷やかしはできれば勘弁して欲しいです。できれば楽しんでご参加ください。

Q.会場内で酒盛りしていいですか?

A.問題ありませんが、3密は避けてください。そして主催者も飲んでいます。 騒ぎすぎると他の参加者から白い目で見られますので、レディース&ジェントルマン的な感じでハッキングを酒の肴に飲んでください。

Q.なぜ秘密保持契約書が必要なのですか?

A.想像の斜め上の事をやらかす人が出現し、今後も同様のケースが発生する可能性を考慮し、専門家と弁護士に相談した結果、社会通念上安全や常識を守るために必要になりました。「なんでこんな面倒なことしなきゃならんのだ!」と弊社代表カトー嘆いています。何卒、ご理解くださいませ。

Q.未成年が優遇されていませんが、どうしてですか?

A.過去の経緯からです。また「現在 仕事してる人にこそ技術が必要だ」という考えもあります。

Q.ハッキングコンテストのレギュレーションを事前に知りたい

A.それは無理です。なぜなら非公開な内容は当然のこと、現時点、頑張って作っているからです。

Q.受付終了しているのですが、どうしても参加したいのです。

A. こういったカンファレンスはキャンセルの方が一定数はおりますので、お手数ですがお問い合わせください。また直接会場にいらした場合でも、入場をお断りする場合がございます。

Q.今回は賞品が書いてないのですが、出ますか?

A. 会場に来た人だけがわかります。

Q.LTをやってみたいのですが、内容の制限はありますか?

A.大歓迎です!
10~15分程度でお願いしたいと考えています。参加申し込みの際に「LT希望」をお選びください。
後日、スタッフからご連絡いたしますので、その際に内容についてご相談いただければと思います。
LTにご協力いただいた方は、参加費を無料とさせていただきます!

情報保護方針について | 参加者の暴力団排除条項及び反社会的勢力の排除について

お申込み

ゆるいハッキング大会お申し込み

最新情報をチェックしよう!
>システム構築・保守に特化した会社です。

システム構築・保守に特化した会社です。

システムの構築・保守運用「システムガーディアン」 社内システム担当が欲しいが、専属で雇うほどの仕事量はない。 必要な時に必要なだけ頼りたいというお悩みを持つ企業様へ専門知識を持って対応を行っております。 サーバから各種システムまで自社・他社で構築されたシステムに対してサポートを行っております。

CTR IMG