はい、こんにちはー!コーポレート本部サイバーセキュリティ推進部の福山です。
本記事は電通総研 Advent Calendar 2025 10日目の記事です。
今回は、当社もThird Sponsorとして協賛させていただいた、国内最大級の国際的なセキュリティカンファレンスである「CODE BLUE」に初めて参加してきたので、そのレポートになります。
CODE BLUEをあまり知らない方向けに、簡単ではありますが紹介いたします。
CODE BLUEとは
CODE BLUEは、世界トップクラスの情報セキュリティ専門家が集まり、最先端の技術や脅威動向に関する講演・情報交換が行われる、国際的なセキュリティカンファレンスです(会場はベルサール高田馬場で2日間開催)。
海外の著名な研究者や国内のトップエンジニアによるセッションが用意されており、最終日には登壇者および参加者同士で交流するPartyも設けられています。
また、実践的なスキルを磨けるコンテストおよびワークショップが用意されており、実際に手を動かして学べる点も、CODE BLUEの大きな魅力だと感じました。
今回はコンテストおよびワークショップに焦点を当てて紹介します。
Contests/Workshops
今回は3つのコンテストおよびワークショップに参加させていただきました。どれも非常に学びの深い内容でした!
Hacking Active Directory
このワークショップでは、攻撃者目線でActive Directory(AD)環境に侵入し、特権昇格や横展開を行う手法をハンズオン形式で体験できます。
また、攻撃に対する緩和策についても触れられていました。
※こちらのワークショップは人数制限があり、当日現地予約という形式になっていました。
初日の午前中に2日間全ての枠が埋まるほどの人気ぶりでした。
参加者はWebブラウザからApache Guacamole環境にアクセスし、Kali Linuxを操作します。
(※図はIBM X-Force Red提供資料より引用)
外部公開された脆弱なWebサーバが侵入の起点というシナリオで、大まかに以下のフェーズで内容が構成されていました。
| フェーズ | 技法 | 使用ツール | 主な目的 |
|---|---|---|---|
| 初期侵入 (Initial Access) | LLMNR / NBT-NS Poisoning | responder, hashcat | ネットワーク上の認証ハッシュを窃取し、平文パスワードを取得。 |
| 内部偵察 (Reconnaissance) | SMB Recon & AD偵察 | NetExec, BloodHound | 共有フォルダの探索、ADの構成や攻撃経路の可視化。 |
| 権限昇格 (Privilege Escalation) | Kerberoasting | Impacket GetUserSPNs, hashcat | SPNを持つアカウントのサービスチケットを収集・復号し、サービスアカウントのパスワードを取得。 |
攻撃者がどのようにAD環境で足場を築き、権限を広げていくのかを実体験できるようになっています。
また、攻撃者視点を学んだ後、それに対する具体的な緩和策が解説されました。
| 攻撃技法 | 緩和策 |
|---|---|
| LLMNR / NBT-NS Poisoning | グループポリシーでLLMNRを無効化し、ネットワークアダプタ設定でNBT-NSを無効化する。 |
| Kerberoasting | サービスアカウントのパスワードを30文字以上の複雑なものにする。RC4暗号化を無効化し、より強固な暗号化方式を使用する。 ※対策が難しい場合は、WindowsイベントID 4768(Kerberos認証チケット要求)や4769(サービスチケット要求)を監視し、RC4-HMACの使用や短時間での複数のSPN要求を検知する。 |
「攻撃者がどのようにしてADを狙うのか」「この緩和策がなぜ必要なのか」といった点が深く腹落ちするワークショップでした。
インターポールAIクエスト
こちらは過去に国際刑事警察機構(インターポール)向けに提供されたCTFをアレンジしたものとなっており、AIとサイバー犯罪がテーマとなっていました。
基調講演でも取り上げられた「AIとセキュリティ」に焦点が当てられているだけに、興味をそそる内容だったと思います。
会場のWi-Fi経由で、2日間どこからでもアクセスできました。
AIクエスト世界の被害者(生成AI)に、チャットベースで被害状況などをヒアリングしながらサイバー犯罪を読み解いていく、対話型のCTFです。
被害者のお孫さんとの家族写真が暗号化されて見られなくなってしまったという相談から始まり、1問目からTorへのアクセスを要求されるという、非常に興味深い問題設定でした。
もちろん、実際の生成AIサービスのように聞けばなんでも教えてくれるノリではなく、質問をクリアするとヒントを1個聞く権限が付与されるといったルールになっていました。
最後まで到達できず厳しい結果に終わりましたが、自力での解決を強いられるところに、現実のサイバー捜査の厳しさ・情報収集の難しさを実感できました。
TRAPA Cyber Range Exercise
こちらはTRAPA が提供するサイバーレンジを利用した、ブルーチーム向けの実践的な演習に参加しました。
APTグループに攻撃を受けた仮想環境で、ログ解析、インシデント対応、被害拡大の防止措置を行うという、非常にリアルなシミュレーションとなっています。
こちらも会場のWi-Fi経由で、2日間どこからでもアクセスできました。
侵害を受けた環境はオンプレ構成となっており、インターネットとの間にDMZがあり、外部からのリクエストによってProxyサーバが侵入の起点になるといったシナリオでした。
SOCルームというダッシュボードで攻撃事象の確認やインシデントの調査結果を記録し(正解したらポイントを獲得)、
ログ調査にはSplunkを使って、ファイアウォールログやWindowsホストモニターなどを活用して演習を進めていきました。
複数の資産にまたがるログと時間制限の中では、ログを読むスピードが求められます。
こちらも最後まで到達できず厳しい結果に終わりましたが、調査に行き詰ったときにはTRAPA提供のAIに聞くとアドバイスがもらえたので面白かったです。
最後に
簡単ですが、Contests/Workshopsの紹介でした。
改めて自身の実力不足を痛感しつつも、初めてのCODE BLUEは結果として想像以上に楽しく、まるで海外カンファレンスに参加しているような刺激を受けました。
運営の皆様に心から感謝します。
本記事では紹介しませんでしたが、各セッションについても普段は聞けない興味深い内容が多く、大きな学びになりました。
ワークショップやコンテストについては開催する側も面白そうだなと思ったので、次回以降チャンスがあればチャレンジしてみたいです。
それでは、来年のCODE BLUE 2026でお会いしましょう!
執筆:@fukuyama.kenta
(Shodoで執筆されました)
