世界有数のサイバーセキュリティイベントである「Black Hat USA 2025」が今年もラスベガスにて開催されました。当社では近年のセキュリティ動向調査や最新のセキュリティ技術・ソリューションに関する情報収集を目的としてBlack Hat USAへ例年参加しております。
本ブログでは、普段セキュリティ診断やペネトレーションテスト業務に従事する若手セキュリティコンサルタントが現地参加することにより感じたBlack Hat USAの様子や、参加したコンテンツの中から特筆すべきテーマに関していくつか抜粋してレポートします。
※本稿の内容は各講演の内容について筆者の知見を基に見解や解釈を加えたものであり、必ずしも内容の正確性を保証するものではありません。予めご了承ください。
Black Hat USA 2025とは?
Black Hatは、RSA Conference(※)等と並ぶ「世界最大級のサイバーセキュリティカンファレンス」の一つであり、サイバーセキュリティ従事者が世界中から集結する一大イベントです。
毎年アメリカ、アジア、ヨーロッパ、中東の4地域で開催されており、今回参加したのはその中でも最大規模となるBlack Hat USAになります。
Black Hat USAではサイバーセキュリティに関連する多様なコンテンツが扱われ、例えばサイバーセキュリティに関する最新の研究成果が発表されるBriefingsや各ベンダ出展ブースにて最新ソリューションの紹介が行われるBusiness Hall、セキュリティ技術に関するハンズオントレーニングを行うTrainingsなどが提供されます。
※RSA Conferenceにも当社は例年参加しており、参加サポートも当ブログで公開しています。ご興味がある方は是非そちらもご覧ください。
RSAカンファレンス2025 注目セッション|脅威情報とインシデント対応とキャリアを徹底解説
RSAカンファレンス2025 注目セッション|CISOのリーダーシップ戦略とGRCを徹底解説
RSAカンファレンス2025 現地レポート|AIとセキュリティ、注目セッションとブース展示を徹底解説
今年の開催状況と現地の様子
今年のイベントは8月2日~8月7日の日程(※)で、例年通りラスベガスのMandalay Bay Convention Centerにて開催されました。今年は160名以上の講演者による100以上のセッション(講演)と300社を超える企業ブースの展示が行われました。
※2日~5日:トレーニング、6日~7日:メインカンファレンス
Keynoteの様子
Business Hallの様子
Briefingsセッションの紹介
最新の研究成果が発表されるBriefingsでは今年も多岐にわたる分野から100件を超える発表がありました。過年度の講演カテゴリと比較すると、今年は例年にも増してAIに関するセッションが非常に多いことが伺えます。
カテゴリ別のセッション数
ここでは当社のメンバーが聴講したセッションのうち、特に印象に残ったものを紹介します。
セッション紹介(AIセキュリティ): “From Prompts to Pwns: Exploiting and Securing AI Agents”
概要
NVIDIA社のBecca Lynch氏、Rich Harang氏によるAIエージェントのセキュリティに関するセッションです。
本セッションでは、AIエージェントの攻撃に共通するアンチパターン、AIエージェントに対する攻撃事例をデモを交えて紹介し、AIエージェントをセキュアにするための考え方や具体的な対策について解説しています。
AI エージェントに対する攻撃
すべてのAIエージェント攻撃に共通するアンチパターンについて以下のように述べています。
|
No. |
アンチパターン |
|
1. |
信頼できない入力がシステムに入る |
|
2. |
入力が敵対的な操作に脆弱なもの(LLMなど)によって処理される |
|
3. |
処理された結果がツールやプラグインに渡されアクションが実行される |
これらのアンチパターンを基に、実際のAIエージェントを標的とした様々な攻撃事例がデモと共に紹介されました。特に印象的だったのは、AIコードエディタのCursorに対するリモートコード実行でした。このデモでは、Cursorにカスタム指示を与えるCursor Ruleに悪意のある指示を仕込み、Cursorのエージェントがそれを読み込むことでリモートから任意のコマンドを実行させていました。
Cursor Ruleに不可視文字列で悪意のある指示を仕込む例
AI Agentをセキュアにするために
発表者らはAIエージェントをセキュアにするためには下記の原則を理解したエージェントの設計が重要と述べています。
|
No. |
基本原則 |
|
1. |
Prompt Injectionを想定する |
|
2. |
LLMがアクセスできるデータには攻撃者もアクセスできる |
|
3. |
一度汚染されたら常に信頼できない |
セッションではこれらの原則とともに具体的な推奨策も紹介されていました。
|
No. |
推奨策 |
|
1. |
入力データを可能な限りセキュアに検証する |
|
2. |
信頼できるデータと信頼できないデータを可能な限り長時間分離する |
|
3. |
LLMの出力からリンクを削除し、静的なソースからのリンクのみを使用する |
|
4. |
フロントエンドでコンテンツセキュリティポリシーを使用する(特に画像、CSS、JavaScript) |
|
5. |
任意のコマンド/コード実行をサンドボックス化し、機密データとネットワーク接続ツールの両方から隔離する |
AIエージェントにおいても、従来のソフトウェアと同様にセキュア・バイ・デザインが重要なことが示されています。
また、エージェントの自律性が高くなるほど、非決定的な挙動をとるためよりセキュリティリスクが高くなるということも述べています。
セッションを聴講した当社メンバーによる感想
AIエージェントのセキュリティについて具体例を交えて説明されているため、AIエージェントのセキュリティについて直観的に理解しやすいセッションでした。
Cursorに対する攻撃のデモは「Vibe coding」が流行する現在において非常にタイムリーな内容だと感じました。
AIエージェントにおいて、従来システムと同様に脅威モデリングやセキュア・バイ・デザインの考え方が重要だということを確認できるセッションでした。
参考文献
https://www.blackhat.com/us-25/briefings/schedule/index.html#from-prompts-to-pwns-exploiting-and-securing-ai-agents-46681
https://www.nri-secure.co.jp/glossary/prompt-injection
https://www.nri-secure.co.jp/glossary/security-by-design
セッション紹介(プラットフォームセキュリティ): “A Worm in the Apple - Wormable Zero-Click RCE in AirPlay Impacts Billions of Apple and IoT Devices”
概要
ここではOligo Security社のGal Elbaz氏、Avi Lumelsky氏、Uri Katz氏による、Apple社のAirPlayプロトコルにおけるゼロクリックRCE(リモートコード実行)脆弱性に関する発表を紹介します。
AirPlayはスピーカやスマートTVから車載システムにまで組み込まれており、数十億のAppleおよびIoTデバイスで使われていますが、著者らが発見した一連の脆弱性「AirBorne」により侵害が可能となっていることを示しました。
AirPlayプロトコルと脆弱性「AirBorne」
AirPlayはApple社が開発した、ビデオ、写真、音楽などをネットワーク経由でストリーミングをするための機能です。2004年にリリースされた「AirTunes」に端を発しており、その高い利便性からiPhoneやiPadのようなApple製品はもちろん、AirPlay SDKとして車載システムやIoTデバイスなど幅広い製品で利用されています。
著者らはAirPlayの通信プロトコルについて研究を進めるなかで、多くの脆弱性を発見してApple社に報告し、最終的に17件のCVEが採番されました。「AirBorne」と総称されたこれらの脆弱性にはリモートコード実行や情報漏えい、DoSのように幅広い種類が含まれており、影響の大きさを伺い知ることができます。
デモンストレーション
Black Hat USA 2025の発表では、AirPlay SDKでも影響する脆弱性(CVE-2025-24132)を悪用した攻撃について、動画によるデモンストレーションが行われました。
下図はYouTubeでも公開されている、著者によるデモンストレーション動画の一部です。攻撃者がスマートスピーカやカーナビに近づいて攻撃用のコードを実行することで、それらのデバイスのroot権限のシェルを奪取し、デバイスの画面上に「AIRBORNE」と書かれた画像を表示しています。
「AirBorne」を悪用したリモートコード実行のデモンストレーション
著者らによるまとめ
Apple社は既にiOSのソフトウェアアップデートで脆弱性を修正していますが、AirPlay SDKを利用しているサードパーティ製品の中には、パッチが提供されておらず今後も脆弱性が残存する見込みであるものが多数あることを指摘しています。デバイスをアップデートできるのであればそれが一番の対策ですが、難しい場合にはAirPlay Receiverを設定で無効化することで攻撃を防ぐことも効果的であると述べていました。
発表を聴講した当社メンバーによる感想
身近な製品のプロトコルを通してroot権限のシェルが取れてしまうという内容で大変興味深い内容でした。Apple製品のRCE脆弱性というタイトルでインパクトがあったためか、このセッションはかなりの賑わいを見せており、デモンストレーションで攻撃が成立した瞬間には大きな拍手も起こっていました。脆弱性の説明だけでなく、脆弱性が悪用されないようにApple社へ報告した経緯についても説明があり、著者らの真摯な姿勢を感じ取ることができました。
Apple社が脆弱性に素早く対応した一方で、サードパーティ製品については対応できないものが多くあるという内容も非常に印象的でした。パッチの適用やアップデートだけでなく、他の方法で緩和できないか検討することの重要性を感じました。
参考文献
https://www.blackhat.com/us-25/briefings/schedule/index.html#a-worm-in-the-apple---wormable-zero-click-rce-in-airplay-impacts-billions-of-apple-and-iot-devices-46617
https://www.oligo.security/blog/airborne
https://youtu.be/vcs5G4JWab8
https://www.apple.com/jp/airplay/
セッション紹介(IoTセキュリティ): “Bypassing PQC Signature Verification with Fault Injection: Dilithium, XMSS, SPHINCS+”
概要
IoTセキュリティに関する発表は、「Cyber-Physical Systems & IoT」タグが8件、「Hardware / Embedded」タグが11件の計19件ありました(重複を含む)。これは例年と同様の傾向であり、依然として一定数の発表が行われていることからIoTセキュリティが引き続き注目されるホットトピックであることが伺えます。
ここではKeysight社のFikret Garipay氏によるフォールトインジェクションを用いたPQC署名検証バイパスの脆弱性に関する発表をご紹介します。
まず、攻撃手法として挙げられているフォールトインジェクションとは、誤作動や故障(フォールト)を意図的にターゲットデバイスに注入(インジェクション)することで、セキュリティ機構を回避する攻撃です。本発表では特に電源系統に故障を注入するVFI(Voltage Fault Injection:電圧フォールトインジェクション)が用いられていました。
また、PQC(Post-Quantum Cryptography:耐量子計算機暗号)は量子コンピュータによって従来の暗号方式が破られるリスクに備えるための次世代暗号技術です。
Garipay氏の発表ではVFIを用いたフォールトインジェクション攻撃により、PQCによって生成された署名の検証をスキップさせることが可能であることが示されました。これにより本来であれば拒否されるはずの不正なファームウェアを正規のものとして受け入れさせることが可能になります。
なお、PQCやVFIの詳細については当社ブログにて詳しく解説しておりますので、是非そちらもご参照ください。
PQC:
耐量子計算機暗号(PQC)とは?|標準化が進む次世代暗号と各国の対応状況を解説
VFI:
ECUへの新たな物理攻撃|VFI(電圧フォルトインジェクション)の脅威を解説
対象のハードウェア/ソフトウェアとコンセプト
今回検証に用いられたハードウェアはSTM32F417型番の評価ボードです。また、攻撃対象となるPQC署名検証ライブラリとしては以下の3種類が使用されていました。
|
PQC署名検証 |
ソフトウェアライブラリ |
|
|
Dilithium |
pqm4 |
|
|
XMSS |
xmss-reference |
|
|
SPHINCS+ |
sphincsplus |
|
検証の際には各ライブラリの署名検証処理が実行されるタイミングに合わせて評価ボードの電源に電圧グリッチを注入し、意図的に電圧降下を発生させることで署名検証がスキップ可能かを確認していました。
評価ボードの電源(VCC)に電圧グリッチを注入する際の構成図
結論と今後の課題
結果として、Dillithiumについては署名検証中に実行される複数の処理をスキップできる場合があることが確認されました。これは電圧グリッチの注入によってセキュリティチェックが回避される可能性があることを示しています。
一方でXMSSとSPHINCS+については、署名のハッシュ値そのものの検証をスキップするにはより精密なタイミングでの電圧グリッチ注入が必要であるとしつつも、ハッシュチェーン(差異を検出するための仕組み)の検証処理についてはスキップ可能なケースがあることが確認されました。
XMSSとSPHINCS+におけるハッシュチェーンのスキップ結果例
(x軸が電圧、y軸が電圧グリッチを注入した時間、赤点が攻撃成功した組み合わせ)
従って、PQCにより暗号アルゴリズム自体を強固にしても、フォールトインジェクションによって署名検証処理そのものがスキップされてしまえば署名の偽造が可能となるため、暗号技術だけでなくデバイスの堅牢な設計が極めて重要であることが示されました。
本脆弱性に対し、具体的な対策としては以下のような手法が挙げられていました。
- 検証処理を複数回実施することで、異常を検出しやすくする
- フォールト耐性を備えたライブラリを使用することで、攻撃の成功率を低下させる
- ハードウェアレベルでの電源安定化や異常検知機構の導入など、設計段階からの防御策の検討
このようにPQCの導入だけでは不十分であり、ソフトウェアとハードウェアの両面から包括的なセキュリティ対策が求められることが、今回の発表から明らかになりました。
発表を聴講した当社メンバーによる感想
内容自体は従来からあるフォールトインジェクション攻撃に関する研究ではありましたが、PQCを対象にあてたことで最新の技術動向に即したタイムリーな発表であると感じられました。
また、既存の研究分野であることから、フォールトインジェクションにより署名検証処理がスキップ可能であることは理論的には推測可能である一方で、今回の研究ではそれを実機で検証し、実行可能性に言及したという点において、非常に有意義であり実践的な価値を持つものと思いました。
まとめ・参考文献
耐量子計算機暗号(PQC)とは?|標準化が進む次世代暗号と各国の対応状況を解説
ECUへの新たな物理攻撃|VFI(電圧フォルトインジェクション)の脅威を解説
セッション紹介(クラウドセキュリティ): “Back to the Future:Hacking & Securing Connection-based OAuth Architectures in Agentic AI & Integration Platforms”
概要
香港中文大学のKaixuan Luo氏らによる、エージェントAIおよび統合プラットフォームで活用されている「Connection-based OAuth」アーキテクチャのセキュリティに関する発表をご紹介します。
Connection-based OAuthとは
エージェントAIや統合プラットフォームではアプリケーションがユーザの代理として外部SaaSなどにアクセスするケースが多く、その際にOAuth技術が利用されます。従来のOAuthの実装では、アプリケーションがトークンを管理しますが、近年ではトークンの管理を専用のToken Managerに集約し、アプリケーション側はトークンの利用に特化する「Connection-based OAuth」と発表者らが呼ぶ方式が広まりつつあります。
Connection-based OAuthのフロー
この方式は開発者にとって実装負荷が軽く、開発スピードを向上させる利点があります。一方で、従来のOAuthでは問題にならなかった古典的なWeb脆弱性(Session Fixation、Open Redirect、Confused Deputyなど)が再び顕在化する事例も報告されています。
特にToken Managerの実装方法や利用形態によっては、攻撃者が被害者に対して細工されたOAuth認証リンクを送付しアクセスさせることで、被害者向けのトークンを窃取することが可能です。そのトークンを利用することで、本来アクセス権限のない被害者リソースへのアクセスが可能となり、ユーザの明示的な同意なしに高権限エージェントの乗っ取りや統合アプリへの不正アクセスが成立するケースがあります。
デモンストレーション
本発表ではCopilot Studioを標的とした「Cross-agent COAT」攻撃を含む2つのデモンストレーションが実施されました。
攻撃者は自身のCopilotエージェントに細工したOAuth認証リンク(攻撃用のauthorize/tokenエンドポイント)を用意し、被害者にクリックさせます。被害者がリンクをクリックすると、認可コードが攻撃者のサーバに送信され、攻撃者はそのコードを使用して認証トークンを取得し、被害者のCopilotエージェントを利用することが可能となります。
この手法により、被害者のIDや権限、ナレッジ、Power Platformのコネクタ、Bot Frameworkスキルなど、Copilot内のさまざまな機能・データにワンクリックで不正アクセスできる危険性が示されました。
発表者らによるまとめ
発表者らは、Connection-based OAuthアーキテクチャにおいても以下のような基本的なセキュリティ原則を徹底することが重要であると述べています。
- IDやリダイレクトURLは一意なものを使用する
- ユーザの同一性をサーバ側で検証する
- 権限を最小限にし、トークンの有効期限を短く設定する
- リダイレクトURLの検証を行う
- 入出力のサニタイズを徹底する
これらの対策により、古典的な脆弱性の再流入を防ぎ、AIエージェントや統合プラットフォームの安全性を高めることができると強調していました。
当社メンバーの所感
最新技術に特化した新たな攻撃手法が多く紹介される中、本セッションでは「最新技術であっても、実装方法によっては過去に対策された脆弱性が再び利用可能になる」という重要な視点が示されました。
利便性の高いサービスや設定を採択することで、セキュリティが犠牲になるケースも見受けられます。今回の事例を通じて、利便性とセキュリティのバランスを意識した「ちょうどいいセキュリティ」の提供を目指す必要性を改めて認識しました。
参考文献
Trainingsの紹介
Black Hatでは最新の研究成果が発表されるBriefingsに加え、実践的なスキルの習得を目的としたTrainingsも提供されています。Briefingsの参加費と比較すると非常に高額ながらも、熟練のトレーナーから攻撃手法や防御技術について直接学べる点が大きな魅力です。
当社からは1名がWindowsエクスプロイト分野における最難関のトレーニングを受講しました。ここでは、その実際の受講体験をもとに印象的だった内容をご紹介します。
トレーニング紹介: “EXP-401: Advanced Windows Exploitation (OSEE)”
トレーニング概要
このトレーニングはOffSec社が提供するものであり、通称「AWEトレーニング」と呼ばれています。内容はWindows環境におけるカーネルエクスプロイトやドライバエクスプロイトなどの高度なエクスプロイト技術の習得を目的としており、修了後はOSEE(OffSec Exploitation Expert)試験の受験資格が得られます。
レッドチームサービスを提供する上でより深い攻撃者視点を持つことは重要であり、今回の参加はそのスキル強化の一環として位置付けています。
なお、AWEトレーニングは実地形式のみで提供されており、オンラインでは受講できません。
学習内容と技術的ハイライト
AWEでは以下のような高度な技術を扱います:
- Microsoft EdgeのJavaScriptエンジンに存在した過去の脆弱性を悪用し、リモートコード実行に繋げるためのエクスプロイト構築方法
- 脆弱なドライバを利用して、権限昇格や保護されたプロセスの不正操作を行うためのエクスプロイト構築方法
- カーネルモードからユーザモードへのメモリマッピング方法
- パッチ差分解析を用いた脆弱性の特定とエクスプロイト構築方法
特に印象的だったのはJavaScriptエンジンの脆弱性を突いたエクスプロイト構築と、脆弱なドライバに対するエクスプロイト構築です。
前者では、Microsoft Edgeに実装された多層かつ複雑なセキュリティ機構を一つひとつ丁寧に回避しながら、最終的にリモートコード実行に至るまでの過程が紹介されました。その技術的な精緻さと工夫には芸術性すら感じられるほどの努力が込められており、非常に印象的でした。
後者では、実際の脅威アクターであるLazarusグループが過去に悪用していたAppLockerの脆弱性を題材に、その悪用原理をハンズオン形式で一から学ぶことができた点が大きな収穫でした。
また、トレーニング中には「Extra Mile」と呼ばれる追加の演習問題にも挑戦しましたが、4日間という限られた時間の中で理解を深めるには難易度が非常に高く、試行錯誤の末Windowsの仮想環境を100回以上ブルースクリーンでクラッシュさせ、再起動を繰り返すことになりました。技術的な鍛錬だけでなく精神的な耐久力も試される、まさに過酷で実践的なトレーニングでした。
現地参加者に配布された、700ページに及ぶ重厚なトレーニングテキスト
試験(OSEE)について
OSEE試験はAWEトレーニング修了後1年以内に受験可能な、72時間にわたる実技試験です。受験者はあらかじめ用意された脆弱性に対してエクスプロイトを構築し、その手法や結果について英語で詳細なレポートを作成・提出する形式となっています。
所感と今後への活かし方
AWEトレーニングは技術的にも精神的にも非常にハードな内容でしたが、高度なエクスプロイトの原理をハンズオン形式で学ぶことができた点において、得られた知識と経験は非常に貴重で計り知れないものがありました。
今後はOSEE試験の合格を目指すとともに、今回の学びを活かしてより高度かつ実践的なセキュリティサービス提供へとつなげていきたいと考えています。
まとめ
今年のBlack Hat USAは、AIやPQCなど今後の脅威に備えるためのテーマが多く取り上げられた点が印象的でした。また、理論だけでなく実際にAIシステムに対するリモートコード実行や、実機で署名検証のスキップを検証するなど実践的な内容が多かったことから非常に有益な場であったと感じました。
最先端のセキュリティをリードするため、当社では今後もBlack HatやDEF CON等のカンファレンスに参加し、積極的な情報収集を実施して参ります。
