「あの人も読んでる」略して「も読」。さまざまな寄稿者が最近気になった情報や話題をシェアする企画です。他のテックな人たちがどんな情報を追っているのか、ちょっと覗いてみませんか?
こんにちは。東内(@yousukezan)です。
相変わらず引きこもってAIとセキュリティの記事を中心に読んでいます。最近はSwitch 2を手に入れたので、マリオカートワールドばかりプレイしています。それでは、最近読んで良かったコンテンツの一部を紹介します。
【教育目的】ゲームで学ぶアセンブリ|『Squally』で始めるゲームセキュリティ入門
アプリケーションセキュリティにもいろいろありますが、ゲームのセキュリティという分野もあります。ゲーム内のアイテムを増やしたり、キャラの性能を上げたり、本来使えないはずの機能が使えたり、死ななくなったりといったいわゆる「チート」という技術が大きく関わってくるのが他と違うところだといえるでしょう。製作者の意図と異なる状態を作り上げるだけでなく、作ったアイテムやキャラを販売して儲けるいわゆるRMTに使われたりと、ゲームの運営に支障を来す点も問題です。
本記事でゲームのチート行為を「Squally」というゲームを通じて学びます。このゲームでは、遭遇した敵を倒すために提示されるコードを書き換えながら進めていきます。実際のゲームのチートでもよく使用されるアセンブリ言語とメモリの改変を、ゲームを通して体験的に学習できるようです。
アセンブリ言語やメモリの操作は、ゲームのチートだけでなく、マルウェアの解析やバッファオーバーフロー対策など、現代でも広く活用されている攻撃・防御技術であり、セキュリティ分野において基本的かつ重要なスキルです。
ゲームセキュリティの世界は、攻撃者の手法を理解し対策を考えることで成り立っています。チートという行為をただ非難するのではなく、その仕組みを知ることが、自らの知識を深め、守る力を高める第一歩となるでしょう。
セキュリティに興味がある人は、これをきっかけにSquallyをプレイしながら、楽しみつつ学んでみるのも良いのではないでしょうか。
CTFってなに?謎解きで学ぶサイバーセキュリティ入門
この数年「謎解き」やそれを利用した「リアル脱出ゲーム」が流行しており、やったことがある人も多いのではないかと思います。
セキュリティの分野で似たようなものとしてCTF(Capture The Flag)という競技があり、世界中で開催され続けています。CTFをきっかけにセキュリティに興味を持ち、業界に入った人も多くいます。
この記事では、CTFの基本的な仕組みや出題形式、取り組むことで得られるスキル、初心者に向けた学習方法まで、体系的に分かりやすく解説されています。
さらに、記事の後半では実際にCrypto(暗号)ジャンルの簡単なCTF問題が用意されているだけでなく、初心者向けCTFの紹介もあり、初めての方でも気軽にCTF体験ができる構成になっています。
謎解きに似た側面を持ちながらも、技術的な“過程”を重視するCTFの奥深さや魅力が分かりやすくまとめられており、これからCTFに挑戦したい方や興味を持ち始めた方にぴったりの内容ではないでしょうか。
セキュリティの世界に興味があるなら、CTFを試してみるときっと新しい発見や楽しさが待っているはずです。自分の手を動かして試行錯誤することで得られる学びは、書籍や講義だけでは得られない実践的な力につながります。
【悪用ダメ】攻撃者ツールから学ぶCISSP対策
CISSPは、情報セキュリティに携わる人ならぜひ取得しておきたい国際的なプロフェッショナル認定資格です。この記事では、CISSPの学習を進める中で攻撃者の視点を理解するために、代表的な攻撃ツールの使い方をハンズオン形式で解説しています。具体的には、「TryHackMe」というセキュリティ学習プラットフォームと「Kali Linux」の環境を活用し、以下のツール・手法を紹介しています。
- nmapによるポートスキャン
- hydraを用いた辞書攻撃
- lsコマンドによるファイル権限の確認
- johnによる秘密鍵のパスワード解読
これらの実践を通じて、「攻撃者には何が見えているのか」「防御側にはどんな対策が必要か」を整理し、操作画面も交えて解説しています。
筆者は普段から脆弱性診断に携わっており、日常的に攻撃者の視点でセキュリティを考えています。しかし、多くの企業や組織では“守る側”の立場でセキュリティを考えることが中心であり、実際に攻撃者の立場に立って物事を考える機会はそう多くないと思います。本記事を読むことで、そのような日常的に攻撃することのない人たちでも、攻撃者の手法を具体的にイメージしながら学ぶことで、理解がより深まると思いました。
人間をプロンプトインジェクション攻撃する Gemini
AIに対して特殊な指示を与えることで制限をすり抜けて内部情報を漏らしたり悪意あるコードを書かせたりする攻撃があり、これは一般的に「プロンプトインジェクション」と言われています。
最近では対策も進んでおり、直接にそういった悪意ある命令が書き込まれてもそう簡単にAIが騙されることはなくなってきたのですが、少しの工夫でまだAIを騙して実行させることが可能になるようです。
その一つが「間接的プロンプトインジェクション」という攻撃です。AIが読み取る文書ファイルやWebサイトに指示を書き込むことで、AIを騙し、意図した命令を実行させる手法です。記事では、文章の要約を依頼しただけなのに、偽のメッセージやフィッシングサイト、マルウェア配布サイトへの誘導用URLが出力されてしまう事例を取り上げています。
AIによって検索や情報収集がこれまで以上に便利になっていますが、これを悪用しユーザーを騙そうとする人も現れています。また似たような事例として、博士論文のPDFにAIが査読した際に好意的な評価を返すことを狙った隠し文字が埋め込まれていた事例も話題になっていました。AIの回答だからといって、まだ何でも信用できるわけではなさそうですね。
東内さんの「も読」過去記事
- PayPay詐欺被害 / Claude Codeセキュリティ診断 / ペネトレーションテスト攻撃手法 / 充電ケーブルで自動車ハッキング(7月3日公開)
- ニコ生サービス再開の記録 / 偽LINEインストーラー / ハニーポット観測 / The Gentle Singularity(6月20日公開)
- LummaStealer / RAGの教科書 / EDoS対策 / AIが発見したLinuxの脆弱性(6月5日公開)
- 大フィッシング攻撃時代 / AIと学ぶハッキング演習 / VPN機器の脆弱性(5月22日公開)
- 証券会社のセキュリティ問題 / Burp MCP Server / ゼロデイ脆弱性の傾向と対策 (5月9日公開)
- MCPのセキュリティ対策 / MCP-Scan / Open Source Intelligence (4月24日公開)