Door Open and Registration

Opening remarks

Jan Michael Alcantara

Jan Michaelは、Netskope Threat Labsのシニア・スレット・リサーチャーであり、スレットハンティングや再現、検知の妥当性確認、およびクラウドアプリケーションの悪用に関する研究に携わっています。セキュリティコミュニティのアクティブな貢献者として、新たなマルウェアやフィッシングのトレンドに関する先進的な知見を継続的に発信しており、彼の研究は主要なサイバーセキュリティメディアでも頻繁に引用されています。
以前は、オーストラリアの四大銀行の一つでインシデント・レスポンダーを務めたほか、トレンドマイクロでシニア・システム・エンジニアとして勤務していました。現在はGIACのアドバイザリーボードメンバー（フォレンジック・アナリスト）も務めています。

AttackGPT：セルフヒーリングと戦略的モデルルーティングによるLLM生成マルウェアの実用化

悪意あるコードは死んだのでしょうか？ マルウェアは今や、悪意あるロジックを一切持たず、テキストベースのプロンプトのみを保持し、実行の瞬間に悪意あるコードを生成する「自律的なマルウェア作成者」としてLLM（大規模言語モデル）に依存することが可能になったのでしょうか？ 私たちは、「蓄積されたコード」から「オンデマンドの合成（On-demand synthesis）」へのこの転換を調査し、そのテスト結果を共有します。

この概念を単なる研究上の好奇心から実用的な脅威へと移行させるため、私たちはAI生成に固有の摩擦を制御できるフレームワークを開発しました。それが、ポストエクスプロイト型のモジュール式C2フレームワークである「AttackGPT」です。これは、理論上のAIリスクと運用の現実とのギャップを埋める存在です。LLMのコードハルシネーション（幻覚）やガードレールを克服するため、私たちは戦略的なモデルルーティングと「自己修復ループ（Self-healing loop）」を採用しました。このアーキテクチャを通じて、AttackGPTは環境に最適化された個別のペイロードを生成する能力を実現しています。

本デモンストレーションでは、システムの実際の動作を実演します。実行の失敗をリアルタイムで特定し、ログをLLMにフィードバックして自律的なデバッグを行い、数秒前には存在しなかった機能的な攻撃チェーンを正常に具現化させます。マルウェアは今や、実行中に悪意あるコードを生成することをLLMに委ね、テキストベースのプロンプトだけで構成される存在になり得るのでしょうか？

白倉大河

学生時代からセキュリティを研究し、現在は三井物産セキュアディレクションでWebアプリケーション診断、ペネトレーションテストに従事。脆弱性調査が趣味で、HTTPヘッダやURLなどの仕様と実装の差異の調査などを通じ、Webフレームワークなどで複数のCVEを取得。

Webフレームワークが見落としたSimple Requestの盲点 - モダンなCSRF対策に潜む4つの罠

モダンなCSRF対策として注目されるOriginヘッダ検証とSimple Requestチェック。しかし、これを実装した多くのWebフレームワークに、ブラウザの細かな仕様を誤認した検証不備が存在しました。CORSの文脈におけるSimple Requestの説明と実際の仕様の間には、MDNや書籍を読んでいるだけでは陥ってしまう「Simple Requestの盲点」が存在するのです。

本講演では、Content-Type検証という一見シンプルな処理に潜んだ落とし穴に注目し、私が発見した複数の著名Webフレームワークに存在した脆弱性について、実際にブラウザから送信されるリクエストの内容を交えてデモを行います。

Content-Type検証の不備を4つのパターンにまとめ、フレームワーク開発者も見落とすモダンCSRF対策の盲点と、正しい実装方法を解説します。

Theo Webb

GMOサイバーセキュリティ by イエラエ株式会社のセキュリティエンジニアであり、マルウェアの解析・研究、および自社セキュリティ製品のソフトウェア開発を専門としています。

2025年2月にGMOイエラエに入社しました。それ以前はテックスタートアップの創業者として活動する傍ら、日本の大学を卒業し、2023年からサイバーセキュリティを独学で学びました。特にリバースエンジニアリング、システムの内部構造、および低レイヤプログラミングに関心を持っています。JSAC 2026ではライトニングトークに登壇したほか、GitHubではC言語に関連するプロジェクトを随時公開しています。

GPUGate: Repo SquattingとOpenCL解析回避によるHijackLoaderの配送

2025年9月上旬、GitHub Desktopの公式リポジトリのリポジトリネットワーク下に悪意のあるURLを潜伏させ、正規のインストーラーを装った多段ローダーを配布する新しいマルウェアキャンペーンが観測されました。 この「GPUGate」と呼ばれるローダーは、OpenCLというGPUベースのAPIを巧みに利用することで、サンドボックスやVM（仮想マシン）による解析を回避し、さらに真の復号キーを解析者から隠蔽します。

この手法により、解析者は物理GPUを搭載した実機での解析を余儀なくされましたが、私はその環境下でローダーをデバッグし、内部構造を解明して正しい復号キーを特定することに成功しました。

本講演では、このキャンペーンで実際に観測された手法を用い、OpenCLの仕組みや、それがどのようにサンドボックス回避や静的復号の妨害に悪用されるのかを詳しく解説します。 聴講者は、これらのアンチ解析手法の特定方法と回避策を学び、OpenCLを悪用するマルウェアについてより深い理解を得ることができます。

また、私たちが「Repo Squatting」と名付けた初期配送手法についての調査結果も共有します。 これはGitHubにおけるフォークネットワークにおけるコミットの可視性の仕様を悪用したもので、攻撃者はコミットハッシュを通じて公式リポジトリの名前空間内に自身のコードを潜伏させることが可能です。

講演では、同様のプラットフォームが受ける影響や、2025年12月から2026年1月の活動期間中に攻撃者が使用した追加の配送手法についても紹介します。

Lunch

游照臨

トレンドマイクロ台湾のスタッフ・レッドチーム・セキュリティスレットリサーチャーであり、OSCE³、OSCP、CRTO、CRTP、CARTP、CESP-ADCS、LPTなどの専門資格を保有しています。これまでに、DEF CON（米国）、CCC（ドイツ）、BSides Tokyo、HITCON Training、CYBERSECなどで登壇経験があります。また、VMware、NEC、D-Link、Zyxelといった主要ベンダーの製品において、50件以上のCVE脆弱性を公開してきました。最近のリサーチでは、攻撃的セキュリティへのAI活用やクロスボーダーな詐欺エコシステムの調査に焦点を当てており、脆弱性調査とAI搭載のOSINTを通じて、アジア全域のPhishing-as-a-Service（PhaaS）インフラへのアクティブな侵害を行っています。専門分野はレッドチーミング、ウェブセキュリティ、IoT、そして猫🐱です。

AIパートナーと辿り着いた「ラビットホール」：アジア全域に広がる犯罪の食物連鎖を期せずして解明

きっかけは一通の詐欺メッセージでした。しかし、その先に広がる「ラビットホール（ウサギの穴）」は、予想以上に深いものでした。

私たちは、AI支援による脆弱性調査と0-day攻撃を駆使してPhishing-as-a-Service（PhaaS）プラットフォームを侵害し、台湾、マレーシア、日本、香港、ロシアにまたがる犯罪インフラを追跡しました。その結果、台湾の8つの主要ブランドを騙る80以上のインフラホストを特定し、数千件の被害者レコードを抽出。さらに、AIによるOSINTの自動化を活用することで、詐欺グループがいかにしてその活動を展開し、スケールさせているかをリバースエンジニアリングすることに成功しました。

侵害した詐欺インフラの内部を調査する中で、私たちは自分たちのものではないウェブシェルを発見しました。プラットフォームの開発者が、自身の「顧客」である犯罪者を標的に、バックドアを仕込んだインストールパッケージを配布するという、犯罪者間でのサプライチェーン攻撃が行われていたのです。同時に、別の攻撃グループは、4層の難読化を施したPHP SEO寄生型インプラント（link179キャンペーン）を展開していました。彼らはすでに侵害されていた詐欺サイトをさらにハイジャックし、日本ユーザーを標的とした偽のショッピングサイトやフィッシングページを含む大規模なSEOポイズニングを実行し、ロシアの銀行詐欺と並行して活動していました。

各レイヤーが、その下のレイヤーを食い物にしています。それぞれが独自のインフラ、独自の自動化、そして独自の被害者を抱えており、その影響は日本にも直接及んでいます。

本講演では、AIをパートナーとした一人の研究者が、犯罪エコシステムをレイヤーごとに掘り下げ、犯罪者自身ですら安全ではない「食物連鎖」の全貌を明らかにするまでの軌跡を辿ります。

Ryo Minakawa

彼はNTTドコモビジネスに所属するマルウェア／インテリジェンスアナリストであり、普段は NTTCom-SIRT でアタックサーフェスおよび脆弱性情報の管理業務に従事しています。

彼のリサーチの一部は、JSAC2023、JSAC2024、BSides Las Vegas 2024、AVTOKYO 2024、Botconf 2025 などで発表されています。

Ghost in the 7‑Zip: The Shadow of Residential Proxies Creeping into Your Life

2026年1月、偽物の7-zipインストーラーに起因するインシデントは日本を大きく騒がせました。VirusTotal への関連検体の投稿・参照状況を見ても、日本でも多くの組織が影響を受けていることが確認できます。

本発表では、偽物の7-zipインストーラーを用いた攻撃キャンペーンについて触れながら、同一の攻撃者が展開したと見られる類似の攻撃キャンペーンおよびこれらの攻撃の背後で構築されるレジデンシャルプロキシの存在とその調査方法について紹介します。また、世間一般では”踏み台”というワードのみで語られがちな偽インストーラーのインシデント事案について、攻撃の進行とともに発生する事態を本件を例にクリアな視点で提供します。

Jack Sessions

Ray Goh

チーターは足跡を残す：現代のコンペティティブ・ゲームにおけるチートのフォレンジック

現代のコンペティティブ・ゲーム（競技型ゲーム）におけるチート行為は、もはや単なるゲームプレイ上の問題ではありません。

それは、デジタル・フォレンジックの問題なのです。本講演では、League of Legends、Valorant、Apex Legendsといったアジアで人気のマルチプレイヤータイトルを題材に、チートツールがいかにマルウェアのインプラントのように振る舞い、メモリ、ディスク、テレメトリに持続的なフォレンジックの痕跡を残すかを検証します。

このセッションでは、チートツールの開発ではなく、インシデント後の分析に焦点を当てます。チート行為を事後的にどのように再構成できるのか、身の潔白の主張をいかに検証（あるいは立証・反証）できるのか、そしてなぜアンチチート・エンジニアリングが現代のEDR（Endpoint Detection and Response）システムと酷似しているのかを解説します。

Break

中島 佑允

2019年にNTTデータグループに入社。当初は営業担当として、画像処理や自然言語処理ソリューションの提供に従事。2023年4月より同社のCSIRTチーム「NTTDATA-CERT」に所属し、インシデント対応、スレットハンティング、IoCの収集・配信、およびLLM（大規模言語モデル）を活用したCSIRT業務の自動化・高度化に携わっている。
また、オフェンシブセキュリティに対しても強い関心を持ち、C2フレームワークの開発、OSSの脆弱性リサーチ（これまでに6件のCVEを識別）、バグバウンティプログラムへの参加など、多角的な活動を展開している。
主な登壇実績：BSides Tokyo 2025、Black Hat USA 2025 Arsenal、HITCON 2025、JSAC 2025
保有資格： CISSP、OSDA、OSTH

自律性の光と影：敵対的操作によるDFIRエージェントの悪用

近年、分析やレポート作成の自動化を目的として、DFIR（デジタルフォレンジック・インシデント対応）ツールへの大規模言語モデル（LLM）の統合が急速に進んでいます。本研究では、構造化データにおける「境界摂動（Boundary Perturbation）」を悪用したプロンプトインジェクションにより、攻撃者がDFIRエージェントを標的にできることを実証します。

この手法は、閉じ・開始デリミタ（区切り文字）を注入することでパーサーを欺き、本来のデータを「新しい命令」として解釈させるものです。構造化データは、従来この種の操作に対して耐性があると考えられてきましたが、本研究はその前提を覆します。極めて重要な点は、これが特定のツール特有の脆弱性ではなく、DFIRツールを自律型LLMエージェントと統合することに伴う広範なリスクであるという事実です。著者は、影響を受けたGoogle社のツールについても報告を行いましたが、同社からは「セキュリティバグの基準を満たさない」との回答を得ています。

ログやスケジュール済みタスクといった日常的なフォレンジック・アーティファクトに悪意のある命令を埋め込むことで、攻撃者はエージェントにデータをコマンドと誤認させ、「隠蔽（Hide）」「誤誘導（Mislead）」「悪用（Exploit）」という3つの結果を引き起こすことが可能です。

筆者の知る限り、これはLLM統合型DFIR環境における構造化データインジェクション攻撃を実証した初の事例です。本発表では、最小権限の設計、厳格な構造化出力の検証、安全な自動ワークフローを保証するための「Human-in-the-loop（人間の介在）」による監視など、実践的な多層防御策についても提案します。

本講演は、LLM駆動のDFIRエージェントにどの程度の自律性を付与すべきか、そしてどのプロセスにおいて人間の監視が不可欠であり続けるべきかを再考するための指針を提示します。

Gabriel Rodrigues de Oliveira

私は https://hakaisecurity.io/ のリサーチャー兼ペネトレーションテスターです。オフェンシブセキュリティ（攻撃型セキュリティ）の分野で1年の経験があり、CPTS認定を保有しています。

友人からは「Texugo（テシューゴ）」と呼ばれています。ある時、友人の一人に「アナグマ（Texugo）に似ている」と言われたのがきっかけです。

守護者を守るのは誰か？

SIEM/XDRのアーキテクチャにおいて、マスターは「王」であり、エージェントはその命に従う存在です。しかし、もしこの階層構造が逆転してしまったらどうなるでしょうか？
本講演では、Wazuhにおける深刻な「不安全なデシリアライゼーション」の脆弱性（CVE-2026-25769）を徹底解剖します。この脆弱性を悪用することで、侵害されたワーカーからマスター上でのリモートコード実行（RCE）が可能になります。 APT（持続的標的型攻撃）の観点からこの脆弱性がもたらす影響を分析するとともに、脆弱性発見に至るまでの全プロセスを詳しく解説します。

大堀 杏夏

大学で情報科学を専攻中。セキュリティ・キャンプ全国大会2024（脅威解析クラス）を修了し、同キャンプのチューターとしても活動。攻撃ツールや攻撃者の行動原理を実証的に分析し、検証を通じて理解を深める取り組みを主軸に活動を行なっている。現在はPowder Keg Technologiesのインターンとして、EPP・EDRおよびオンライン検知/回避サービスの検知評価に関する技術開発に従事している。

VirusTotalは攻撃者の味方か？ ― VT×ローカルEDRの実証分析と 検体共有エコシステムの調査から見える検知死角と攻撃猶予 ―

VirusTotal（VT）は、70以上のエンジンによるスキャンと検体共有を通じて、防御側にとって不審ファイルの分析・評価基盤として広く利用されています。一方で、「攻撃者は検体共有を恐れてVTを避ける」という見方も長く共有されてきました。しかし、2025年に流出した Black Basta ランサムウェアグループの内部チャットログを分析すると、実態はそれほど単純ではありません。内部では VT への投入が警戒されている一方で、実際には「VTで未検知であること」が攻撃開始の判断材料として参照されていたことが確認できました。共有リスクを理解しているはずの攻撃者が、なぜそれでも VT を使うのだろうか？ 本講演では、この問いを実証データから検討します。

本講演では、Black Basta の流出チャットログの分析に加え、検知回避技術を組み込んだ独自検体群を用いた VT 上での時系列観測と、主要 7 製品のローカル EPP/EDR 環境との比較検証を通じて、VT が攻撃者・防御者の双方にとってどのような意味を持つのかを検証します。その結果、アップロード後かなり時間が経過しても検知が十分に広がらないケースの存在や、VT 上での未検知がローカル実機での未検知をどの程度示唆するかが、ベンダーごとに大きく異なることが見えてきました。

さらに本講演では、VT とローカル実機の差を定量化する指標 VDG（Vendor Detection Gap）および SSR（Safety-side Rate）を提案し、攻撃者がこうした特性を踏まえて VT の利用戦略を使い分けている可能性と、防御者が VT の結果をどこまで信頼してよいかをどのように判断すべきかを考察します。あわせて、継続観測ツール VDG-Tracker のライブデモを通じて、VT の結果をどのように読み解くべきかを示します。

Break

上野 清雅

2025年度NTTドコモビジネス株式会社に新卒入社。オフェンシブセキュリティエンジニアとして、攻撃者視点での攻撃手法の調査・研究および、RedTeam業務支援を行なっている。

LLMを用いた自然言語ステガノグラフィによるC2通信

本発表では、防御側が将来的に考慮すべき新たなC2通信の脅威モデルを、攻撃者視点から検討します。マルウェアに感染した被害者端末は、攻撃者のC2サーバーとコマンドや実行結果をやり取りするため、何らかのC2通信を行う必要があります。しかし近年、C2通信に対する監視は高度化しており、組織によってはDPI（Deep Packet Inspection）やコンテンツ検査まで含めて実施されます。このような環境下では、HTTPS通信の内部をさらに暗号化するなどの秘匿化手法が用いられることが多い一方で、攻撃者視点では、通信内容を秘匿するだけでは十分な検知回避にならない場合があります。むしろ、高エントロピーなペイロードや不自然なデータ形態そのものが、監視側にとって検知の手掛かりとなり得ます。
　そこで本発表では、LLMを利用した自然言語ステガノグラフィに着目します。自然言語ステガノグラフィとは、一見すると通常の文章に見えるテキストの中に、第三者には目立たない形で別の情報を埋め込む技術です。本発表では、コマンドや端末状態を自然文中に埋め込んだ場合に、自然言語ベースのC2通信がどのように成立し得るかをPoCを通じて検証します。さらに、SNSやWebサイトなどの公開プラットフォームがその媒介となり得る可能性についても取り上げます。あわせて、通信内容だけでは検知が難しいこの種の通信に対し、防御側がどのような観点で検知・分析すべきかについて議論します。

白石 三晃

BSides Tokyo 2018スピーカー。セキュリティ・キャンプ全国大会講師（2023-2025）。 国内初となるレッドチーム演習サービスを2016年にセキュアワークス株式会社にて立ち上げ、技術責任者としてサービスデザインとプロジェクトデリバリを担当。2022年より某外資系セキュリティ会社に所属。同社国内レッドチーム演習サービスの立ち上げ責任者を務めるとともに、グローバルチームの一員として海外レッドチームプロジェクトにも参加。

OSEE/OSCE/OSCP/GREM/CARTP/CHMRTS/CISSP/CISA/情報セキュリティスペシャリスト/ソフトウェア開発技術者/技術経営修士（専門職）

TLPT2.0の提案 ー「敵を知る」と「自分を知る」の分離

金融機関を対象とするサイバー攻撃演習の仕様を定めた「TLPT(Threat Led Penetration Test)」について、その実効性をより高めるためのバージョンアップの提案です。

現状のTLPTは「脅威インテリジェンス→攻撃シナリオ作成→サイバー攻撃演習」という枠組みになっていますが、仕様に定められている「対象組織・対象システム固有の脅威インテリジェンスに基づく詳細な攻撃シナリオの策定」と「攻撃シナリオに基づくサイバー攻撃演習の実施」が、プロジェクトの柔軟性や効果性を不必要に制限していると考えます。

本来、脅威インテリジェンスとサイバー攻撃演習は別々に実施可能なものであり、詳細な攻撃シナリオを必須として両者を無理に結合していることがTLPTの不自然さを生んでいます。具体的には以下のとおりです：

• 脅威インテリジェンスがTLPTのためのワンショットの取り組みになってしまう
• 詳細な攻撃シナリオはサイバー攻撃演習にあたっての必須要件ではない
• 攻撃シナリオに基づいた演習を主眼にすると、「誰も気づかなかった攻撃経路の発見」というサイバー攻撃演習の本質が損なわれる可能性がある

1. 脅威インテリジェンスと攻撃シミュレーションの分離
2. 脅威インテリジェンスは継続的な活動として実施。脅威インテリジェンスに基づき攻撃シナリオを定期的に作成し、対策の必要性を金融機関自身で確認する
3. 攻撃シミュレーション開始時はスタート（攻撃起点）とゴール（攻撃目標）の定義のみを必須とし、詳細な攻撃シナリオは任意とする

• 脅威インテリジェンスは「敵を知る」ための重要な手段
• サイバー攻撃シミュレーションは「自分を知る」ための重要な手段
• 現行のTLPTにおいて両者が密結合している理由に関する考察

須崎 有康

情報セキュリティ大学院大学 教授。2003年から2012年まで、KNOPPIX日本語版（1CD Linux）のメンテナンスを担当していました。現在の研究分野は、信頼実行環境（TEE）に基づくコンフィデンシャル・コンピューティング、およびTrusted Platform Module（TPM）に基づくトラステッド・コンピューティングです。

クラウド Confidential Computing における Remote Attestation サンプル

クラウド Confidential Computing サービス向けのRemote Attestation用サンプルコードを通じて得られた、実装上の知見を共有します。 (https://github.com/iisec-suzaki/cloud-ra-sample)

Remote Attestation は、CPUハードウェアの正当性と、ソフトウェアの完全性および起源を保証するものであり、Confidential Computing において不可欠な要素です。 しかし、構成が複雑であることや、単なる「オプションのセキュリティ機能」として扱われがちであることから、広く普及しているとは言い難い現状があります。

本講演では、Remote Attestation の重要性とともに、実用的かつ容易にデプロイ・利用するための手法を解説します。 サンプルでは主要なクラウドサービス（Azure、AWS、GCP、さくらインターネット）およびアーキテクチャ（Intel SGX、Intel TDX、AMD SEV-SNP、AWS Nitro）を網羅し、プロバイダー間でのセットアップや検証プロセスの違いをデモンストレーションします。

また、各クラウドにおける仮想TPM（vTPM）やセキュアブートの取り扱いの差異に加え、エビデンス形式や検証ワークフローを含む Remote Attestation API のバリエーションについても簡潔に説明します。

最後に、よくある落とし穴を回避し、異なるクラウド環境において Remote Attestation の実践を強化するための重要なヒントを共有します。

Closing remarks

Networking and Door Close

After Party