中島 佑允

2019年にNTTデータグループに入社。当初は営業担当として、画像処理や自然言語処理ソリューションの提供に従事。2023年4月より同社のCSIRTチーム「NTTDATA-CERT」に所属し、インシデント対応、スレットハンティング、IoCの収集・配信、およびLLM（大規模言語モデル）を活用したCSIRT業務の自動化・高度化に携わっている。
また、オフェンシブセキュリティに対しても強い関心を持ち、C2フレームワークの開発、OSSの脆弱性リサーチ（これまでに6件のCVEを識別）、バグバウンティプログラムへの参加など、多角的な活動を展開している。
主な登壇実績：BSides Tokyo 2025、Black Hat USA 2025 Arsenal、HITCON 2025、JSAC 2025
保有資格： CISSP、OSDA、OSTH

自律性の光と影：敵対的操作によるDFIRエージェントの悪用

近年、分析やレポート作成の自動化を目的として、DFIR（デジタルフォレンジック・インシデント対応）ツールへの大規模言語モデル（LLM）の統合が急速に進んでいます。本研究では、構造化データにおける「境界摂動（Boundary Perturbation）」を悪用したプロンプトインジェクションにより、攻撃者がDFIRエージェントを標的にできることを実証します。

この手法は、閉じ・開始デリミタ（区切り文字）を注入することでパーサーを欺き、本来のデータを「新しい命令」として解釈させるものです。構造化データは、従来この種の操作に対して耐性があると考えられてきましたが、本研究はその前提を覆します。極めて重要な点は、これが特定のツール特有の脆弱性ではなく、DFIRツールを自律型LLMエージェントと統合することに伴う広範なリスクであるという事実です。著者は、影響を受けたGoogle社のツールについても報告を行いましたが、同社からは「セキュリティバグの基準を満たさない」との回答を得ています。

ログやスケジュール済みタスクといった日常的なフォレンジック・アーティファクトに悪意のある命令を埋め込むことで、攻撃者はエージェントにデータをコマンドと誤認させ、「隠蔽（Hide）」「誤誘導（Mislead）」「悪用（Exploit）」という3つの結果を引き起こすことが可能です。

筆者の知る限り、これはLLM統合型DFIR環境における構造化データインジェクション攻撃を実証した初の事例です。本発表では、最小権限の設計、厳格な構造化出力の検証、安全な自動ワークフローを保証するための「Human-in-the-loop（人間の介在）」による監視など、実践的な多層防御策についても提案します。

本講演は、LLM駆動のDFIRエージェントにどの程度の自律性を付与すべきか、そしてどのプロセスにおいて人間の監視が不可欠であり続けるべきかを再考するための指針を提示します。