記事のサマリー(TL;DR)
- サイボウズ PSIRT の北村・JJ 両名が、2026年4月23〜24日開催の Black Hat Asia 2026 Arsenal に登壇
- 発表ツール Prompt Hardener は「システムプロンプト評価・改善」から「AIエージェント設計のセキュリティレビュー」へ大幅刷新
- 会場では「マネタイズ計画は?」「他セキュリティベンダーとのコラボ予定は?」など、ビジネス視点の質問も相次いだ
AIエージェント開発・導入を進める国内企業が注目すべきセキュリティ設計の視点
国内でも Claude / GPT / Gemini を活用した AIエージェントの業務組み込みが加速しています。今回サイボウズが発表した Prompt Hardener は、エージェントの「設計段階でセキュリティレビューを行う」というアプローチを取っており、実装後のパッチ対応ではなく設計フェーズへのシフトレフトを体現しています。同イベントの Briefings で示された DFIR エージェントへのプロンプトインジェクション攻撃の事例は、「外部データを参照するエージェント全般」に同様のリスクがある事実を改めて示しました。kintone・Salesforce・freee など業務 SaaS と LLM を連携させる構成では、外部ファイルや API レスポンスを参照するフローが必ず発生するため、Agent Spec をあらかじめ定義し、ツール側でレビューする実務フローの検討が現実的な対策となります。Prompt Hardener は GitHub で公開されており、社内利用・PoC 検証の敷居は低い点も注目に値します。
詳細
Prompt Hardener とは何か
Prompt Hardener は、サイボウズ PSIRT が開発・公開しているオープンソースのセキュリティツールです。当初はシステムプロンプトの評価・改善に焦点を当てていましたが、今回の Black Hat Asia 2026 発表にあわせて、AIエージェントの設計全体をセキュリティ観点でレビューするツールへと大幅に刷新されました。昨年の BSides Las Vegas でも発表実績があり、そのトラックレコードが今回の Arsenal 採択につながったと発表者らは振り返っています。
Black Hat Asia 2026 と Arsenal セッションの概要
Black Hat Asia はシンガポールの Marina Bay Sands Expo & Convention Centre で毎年4月ごろ開催される、アジア最大規模の国際セキュリティカンファレンスです。Black Hat USA や DEFCON に比べて日本からのフライト時間が短く、アジア圏の研究者・エンジニアにとってアクセスしやすいイベントです。
Arsenal は通常の講演形式(Briefings)とは異なり、1時間の枠内に5〜7組の発表者が各自のブース(Station)を設けてツールの紹介とデモを同時並行で行うスタイルです。隣ブースの声が聞こえるほど活気ある空間ですが、ツール作者と参加者が直接対話できる点が最大の特徴です。
Arsenal 採択までの道のり
サイボウズチームにとって Arsenal への CFP 提出は今回が初めてではありませんでした。昨年の Black Hat Asia でも Prompt Hardener で応募しましたが落選。今回は AIセキュリティへの注目が高まる市場環境と、BSides LV での発表実績が採択に寄与したと分析しています。採択決定後は開発にも改めて熱が入り、ツールの大幅刷新を経て本番に臨んでいます。
発表当日の流れと工夫
発表は初日(4月23日)13:00〜14:20に実施。デモは事前収録した動画を流しながら説明し、質問があった際にのみライブデモを補足する形式を採用しました。本番環境でのデモ障害リスクを回避するための判断で、結果的に練習通りのスムーズな説明が実現しました。
ツール情報を載せた名刺サイズのカードも配布し、立ち止まって話を聞く参加者が多く、1回目の発表には多数の聴講者が集まりました。発表は計2回。1回目は緊張から話す内容が飛ぶ場面もあったものの、2回目は聴講者が5〜10名程度とこじんまりした雰囲気の中、説明をアレンジしながら丁寧に届けることができたと振り返っています。
質疑応答で得られた気づき
質疑応答では以下のような幅広い質問が寄せられました。
- 基本的な質問: 「Agent Spec はどうやって作るのか」「GitHub で公開されているか」
- 実務踏み込み系: 「検知ルールは何のガイドラインをベースにしているか」「システムプロンプトは具体的にどのように改善されるのか」
- ビジネス視点: 「どうやってマネタイズするつもりか」「他のセキュリティベンダーとコラボレーションする予定はあるか」
特にビジネス視点の質問は、社内活用を主眼にツールを開発してきた発表者にとって新鮮な視点となり、海外セキュリティプロフェッショナルがツールをビジネスの文脈で評価している実態を肌で感じる機会になったとのことです。
聴講して印象に残った Briefings
The Dark Side of Autonomy: Exploiting DFIR Agents Through Adversarial Manipulation
インシデントレスポンス(DFIR)における AI エージェント活用が広がる中、LLM 活用によって生じる新たなリスクを実証した発表です。攻撃者があらかじめシステムや端末内に残した痕跡(アクセスログ、タスクスケジューラのエントリなど)に悪意あるプロンプトを仕込んでおくと、AI エージェントがそれを参照した際に予期しない挙動を引き起こせることがデモで示されました。具体的には以下の攻撃がデモされました。
- 悪意あるイベントを正規のものとして 誤認させる
- 権限昇格を実行する
- 他の端末への**横展開(Lateral Movement)**を行う
DFIR エージェントに限らず、任意のデータを参照する AI エージェント全般において、プロンプトインジェクションのリスクは常に考慮・対策が必要であることを改めて示した発表でした。
Breaking the Illusion of Key Zeroization: How OS, Libraries, and Hardware Keep Your AES Keys Alive
SSH・HTTPS・ディスク暗号化などで使われる AES 共通鍵は、使用後にメモリから確実にゼロ化(削除)されるという一般的な認識に疑問を投じた発表です。発表者らは FPGA ベースのツールを開発し、OS 外部から物理メモリ(DRAM)を継続的にスキャンして鍵の残存を観測しました。
正常終了時には概ねゼロ化されるものの、SIGKILL・SIGTERM などによる異常終了時には OpenSSH・Firefox・Chromium・7-Zip など主要ソフトウェアで Linux・Windows を問わず鍵がメモリに残留することが確認されています。アプリケーション、ライブラリ、OS、ハードウェアの各レイヤーを横断した対処が必要な問題であり、ソフトウェアの処理を信頼するだけでなく物理メモリレベルまで検証したアプローチが印象的な研究でした。
Discovering React2Shell: JavaScript’s Long-Awaited Deserialization Flight-mare
React Server Components に存在した脆弱性 React2Shell の発見プロセスを、発見者自身が解説した発表です。React Server Components ではクライアントとサーバー間で Flight と呼ばれる内部プロトコルが使われており、公開仕様が十分整備されていないこのプロトコルを解析し、データのシリアライズ・復元の挙動を追うことで攻撃につながるポイントを見つけていく過程が説明されました。
近年のフレームワークは多くの部分が安全に設計されていますが、独自の内部プロトコルや複雑な抽象化が加わることで新たな攻撃面が生まれうる、という教訓は、フロントエンドフレームワークを広く採用している開発チームにとって重要な視点です。
まとめ
昨年の聴講参加から一歩進み、今回は Arsenal での発表者として登壇したサイボウズ PSIRT チーム。英語での技術的な質疑応答に多く挑戦し、現地で直接フィードバックを得た経験がツール改善へのモチベーションにつながっていると述べています。Prompt Hardener は GitHub で公開されており、AIエージェントのセキュリティ設計に関心のある開発者・セキュリティ担当者はリポジトリを参照できます。