RSAカンファレンスと並ぶ世界最大級のサイバーセキュリティイベントの一つで、毎年米国、ラスベガスで開催されています。基調講演をはじめ最新製品やソリューションの展示を行うビジネスホールのほか、数日間にわたる技術者向けのトレーニングなど豊富なコンテンツが提供されます。今年は8/2(土)から8/7(木)までの日程でした。

当社としてはサイバーセキュリティ業界の最新トレンドや新興ベンダーの調査を主な目的として例年参加を続けております。

Black Hat 2025

オープニング・キーノートの中ではBlackhat創設者のJeff Moss氏が登壇し、いまはカオスの時代であり、テクノロジーも政治的になっているというコメントをしていました。AIやテクノロジーの進化といった話題から離れて自然災害や関税など様々なことが起こりうる不安定な時代について話を始め、効率化の危険性、オプションを持つことやコミュニティの繋がりの重要性を指摘していたのが印象的でした。

その他研究発表に関するブリーフィングやベンダーの動向としてはAIエージェントが最も大きい話題だったと言えます。脅威の観点ではAIエージェントが連携する様々なツールや外部リソースに着目した主張が多く聞かれました。また活用に関しては、特定のユースケースに特化したAIエージェントを提供するベンダーや要件に合わせて最適なAIエージェントやワークフローを作成できるベンダーなど、AIエージェントを軸に製品開発する新興企業も増えて来ています。

スタートアップ企業向けのコンテストとして企業の代表がプレゼンテーションを行って競い合うコンペティションイベントが行われます。RSAカンファレンスのInnovation Sandboxと比べるとファイナリストは4社と少ないですが、プレゼンテーション時間が長く製品のデモ映像も流れるなど技術的な部分により時間が割かれているのが特徴です。

今年はPrime Securityというアメリカの会社が1位に選ばれました。開発中のプロダクトに対するアドバイスをセキュリティアーキテクトとして行ってくれるAIエージェントを開発提供しているようです。解決しようとしている課題の重要性を自分たちは信じているというコメントを残しており、AIをどのように活用するかといった発想というより何をすべきかをまず徹底的に考えたうえで起業している様子が印象的でした。

セキュリティベンダーの代表や研究者に限らず、弁護士や記者などさまざまな経歴の方が登壇するセッションがイベント期間中に開催されていました。セキュリティトレンドやベンダーの今後の方向性、注目すべき課題や脅威動向などについて理解を深めることができます。いくつか興味深いと感じたものをピックアップして紹介いたします。

「Chasing Shadows: Chronicles of Counter-Intelligence from the Citizen Lab」

デジタル社会における人権とセキュリティについて研究をしているCitizen Labという団体のディレクター、Ron Deibert氏による基調講演です。国家レベルの監視活動などで使われたスマートフォン向けのスパイウェアであるペガサス・スパイウェアに関するパブリックレポートを出すなどの成果に加え、世界中のジャーナリストや人権活動家を狙うスパイウェアの実態を次々に暴いています。

個人のデバイスから収集された情報が広告インテリジェンスとして弾圧などに使われるケースもあるとのことで、テクノロジーが自由や民主主義を脅かすツールとして使われる時代の恐ろしさを感じる発表でした。

「AI Enterprise Compromise - 0click Exploit Methods」

AIセキュリティ領域における新興ベンダーの一つであるZenityのMichael Bargury氏とTamir Ishay Sharbat氏による講演です。

企業内で広く使われている大手のSaaSベンダーに対する攻撃デモがいくつか紹介されました。顧客からのメール受付からCRMデータベースの参照、適切な担当への転送などを一括で行ってくれるMicrosoftのAIエージェントへの攻撃が特に印象的でした。

メールの文面でエージェントを騙すことでCRMから機密情報を抜き出すことに成功しており、AIエージェントを活用した自動化によって生まれてしまうセキュリティ脅威の例として大変わかりやすい内容でした。

「From Prompts to Pwns: Exploiting and Securing AI Agents」

NVIDIAのレッドチームによる講演で、AIエージェントが侵害されるパターンとその保護の仕方についてRebecca Lynch氏とRich Harang氏が紹介していました。

エージェントが自律的に様々な処理を行う構成になればなるほど、最終的に得られるアウトプットないし全体のアーキテクチャは非決定論的になるという説明が前提として示されていました。どのような外部ソースからデータをインプットしているのかが攻撃のポイントであり、外部からのデータフローと連携ツールによるアクションの内容を確認することが対策として重要とのことでした。

また、一般的なアプリケーションセキュリティ対策も有効としていました。画期的なユースケースが次々と世に出てAIエージェント元年ともいわれる2025年に、冷静な分析をもとにエージェントのリスクについて扱うセッションを聞けて参考になりました。

「Training Specialist Models: Automating Malware Development」

オープンソースLLMを使ってEDR回避型のマルウェアをどのレベルまで作れるのかという研究に関するOutflankのKyle Avery氏のセッションです。商用のLLMではなく、強化学習や報酬モデルなどを駆使して大量のデータセットを必要としない形でオープンソースモデルのQwen2.5のトレーニングを行ったとのことでした。今回はMicrosoft Defender for Endpointの回避という目的に特化した形で試作を進め、結果的にGoogleやAnthropic、DeepSeekなどの汎用モデルよりも高い性能でEDR回避型マルウェアを生成できるようになったようです。

「AI対AI」とも言われるサイバーセキュリティ情勢の中で攻撃者側がどのようにAIを悪用しうるのか考えさせられ、危機感を覚える内容でした。

全体的にベンダーニュートラルな発表が多く業界を俯瞰してみるのに役立つイベントです。テクニカルな詳細を詰め込んだ研究発表や業界外からみたサイバーセキュリティへの視座を伝える基調講演などがあり、バランスも取れていると感じました。AppSec系の話題が傾向として多いこともあり、AIセキュリティの文脈におけるAPIの重要性を改めて認識させられることが多かった印象です。同時期にニュース報道が相次いだSalesloft Driftに関するセキュリティインシデントにおいてもOAuthトークンが悪用されており、APIやNHI(Non-Human Identity)が今後も注目されるのではないでしょうか。

Black Hat 2025