HackFes2025 イベントロゴ

AIとハッカーとその先へ

「Hack Fes.(ハック・フェス)」は、セキュリティ・エンジニアを対象にした対面開催限定のイベントです。専門知識を学んだり、スキルを磨いたりする場であるとともに、参加者同士が直接交流できる機会を提供することを目的としています。Fes.(フェスティバル)で多くの人が集まることで生まれる「ワクワク感」や「楽しさ」を共有し、参加者とともに「お祭り」を作り上げていきます。

AIの進化は日進月歩。たった1年でも状況は大きく変わります。今年はその"先"を見据え、いま注目されている最新トピックや技術動向を取り上げていきます。セキュリティエンジニアとして「その先」へ進むための知見やスキルにも触れられます。

参加登録はこちら

Call For Presentations

Hack Fes. 2025では「サイバーセキュリティ」に関するテーマで講演者を募集します。下記リンクの文章をお読みいただき、専用フォームからご応募ください(5月31日で応募を締め切りました)。

https://forms.gle/PkYBMKamVw5y3B5s9

開催概要

・名称:Hack Fes. 2025
・日程:2025年7月19日(土)
・時間:【カンファレンス】10:00〜17:40(受付開始 9:20予定)
    【ネットワーキング(NW)パーティ】18:00〜19:40(開場 17:30)
・会場:秋葉原UDX
    〒101-0021 東京都千代田区外神田4丁目14-1
    【カンファレンス】UDX Conference(6F)
    【NWパーティ】UDX Gallery(4F)
・形式:対面開催(オンライン配信は行わない)
・トラック数:メイントラック×1、セカンドトラック×1、ワークショップ×1
・募集人数:【カンファレンス】350名(予定)
      【NWパーティ】150名(予定)
・参加費(税込):【カンファレンスのみ】4,000円
         【カンファレンス+NWパーティ】10,000円
・事前登録:Yahoo! PassMarket にて販売中
・協賛企業:株式会社ブロードバンドセキュリティ
      SCSKセキュリティ株式会社
      株式会社CEL
      株式会社ユービーセキュア
      フューチャーセキュアウェイブ株式会社
      アカマイ・テクノロジーズ合同会社
・主催・運営:一般社団法人日本ハッカー協会
・お問い合わせ:https://www.hacker.or.jp/contact-us/

タイムテーブル(開場は9:20を予定)

メイントラック(RoomA〜C):定員約230名

【ご注意】セカンドトラックおよびワークショップの定員は各回約60名となっており、先着順でのご案内となります。人気のあるセッションでは、入場制限がかかる場合がございます。なお、ワークショップは内容の都合上、立ち見でのご参加はご遠慮いただいております。あらかじめご了承ください。

セカンドトラック(Room E):定員約60名

ワークショップ(Room F):定員約60名

ネットワーキングパーティ(4F UDX Gallery TYPE N):18:00〜19:40(開場17:30)

講演概要(順不同)・講師プロフィール(敬称略)

AI隆盛の本質、第3世代AI、AIエージェント、セキュリティ応用の可能性と必然性

近年のAIの発展は特に凄まじいですが、現象や言葉だけを見たのでは、どうしてこのような発展をしているのか?何が重要なのか?どう利用するのが良いのか?限界は? などがわからないと思います。
AIそのものを研究している立場から見ると、これらは、必然的、歴史的な発展の結果であり、今のAIエージェントも、突然現れたものではありません。この背景を正しく理解することで、どのような視点で今の最新技術を利用すれば良いかが見えてきます。
現在のAIは第3世代にあり、第1世代と第2世代については、時間の関係で AIの今を理解するに必要な要点のみを説明し、第3世代に説明を集中します。
また、その中では (1)機械学習、(2)大規模言語モデル、(3)AIエージェント、それぞれについて説明します。さらに、これらがセキュリティへの応用において、どのような必然性と可能性を持つかを示します。

高木友博
高木 友博(明治大学 名誉教授)
計算型AIの世界トップクラスの権威。先端的基礎研究とともに、マーケティング全体の高度デジタル化、AIのセキュリティ応用などに関する応用研究も行う。これまで、米国石油資本など国内外の企業との様々な共同研究実績とともに、また多くの企業の顧問としてDX戦略やAIプロジェクトを主導した社会実装実績を持つ。カリフルニア大学バークレー校コンピュータサイエンス学科客員研究員、松下電器産業、日本学術振興会プログラムオフィサー、明治大学理工学部教授、日本ファジィ学会会長などを経て、人工知能学会代議員、国際ファジィ学会フェロー。 工学博士。

ロボット技術と未来社会

ChatGPTなどのGenerative AIが広く使われるようになり、コロナ禍を機にサイバー空間を提供するプラットフォーム、サービスも開始されて久しい。しかし、これらのAI、サイバー空間はあくまで情報の共有と提供を主とした技術である。ロボット技術の真価はフィジカルワールドへの作用、経済活動から人々の日々の暮らしまで直接、役に立てる事だ。本講演では、サイバー・フィジカルを繋げるこれからのロボット技術、そしてAIを搭載したモビリティの事例と今後の技術展望について述べる。これからの日本の産業と技術が向かうべき一つの方向を提示し、そのグランドデザインについても触れる。

古田貴之
古田 貴之(千葉工業大学 未来ロボット技術研究センター:fuRo)
博士(工学)。千葉工業大学 未来ロボット技術研究センター (fuRo)所長。1968年、東京生まれ。(独)科学技術振興機構にてロボット研究チームのリーダーを務めた後、2003年6月、fuRo設立とともに所長に就任。福島第一原発では唯一全フロア走破可能なロボットを無償で提供し、冷温停止ミッションなど数々の成果を達成。パナソニックロボット掃除機RULO(現行品)など民生品も開発する。世界で最も影響力あるデザイン賞:A'Design Awardでは最高賞Platinumを受賞(2021)。常任理事として大学経営に携わりつつ最近では株式会社未来ロボットを立ち上げ代表取締役に就任。これまでの半生は高校2年の英語の教科書:『WORLD TRECK』(桐原書店)に取り上げられ、最近では数々のTV番組に出演する、今、話題のロボット研究者。

ニンゲンがAIを本当のパートナーとして認めるとき

『繭の季節が始まる』『ディープフェイク』『サイバーコマンドー』などで、サイバーセキュリティやAIをテーマに小説を書いてきた著者が、やや乱暴に想像の翼を広げ、AIが人類のパートナーとして台頭した近未来、世界に与える影響を、ドラマチックかつアバウトな与太話として語ります。
行きつく先は、ただのほら話かそれともホラーか!? 石を投げたい気持ちをぐっとこらえて笑ってもらえるとありがたいです。

福田和代
福田 和代(@kazuyo_fuku
1990年、神戸大学工学部卒業、金融機関のシステムエンジニアを経て、2007年に『ヴィズ・ゼロ』で作家デビュー。『TOKYO BLACKOUT』『怪物』『迎撃せよ』『侵入者』など、スケールの大きな近未来アクション小説を得意とする。最近は『梟の一族』シリーズや『ヴァンパイア・シュテン』など、古典や歴史に題材を得たエンタメにも力を注いでいる。現在もシステムエンジニアとしてERP刷新プロジェクトなどに参画中。

BLADE : Windows/Linux対応のAIエージェント型ペネトレーションテストツール - 攻撃面の発見から内部侵害まで、攻撃チェーン全体を自動化 -

サイバー攻撃が巧妙化・複雑化する中、効率的かつ包括的なペネトレーションテストの重要性が増しています。本講演では、LLMを基盤としたAIエージェントを活用し、WindowsおよびLinux環境に対してペネトレーションテストを自動実行するツール「BLADE」を紹介します。
BLADEは複数のAIエージェントを連携させることで、ASMによる攻撃面の自動探索から、権限昇格を含む内部侵害まで、攻撃チェーン全体を自律的に実行可能です。また、BLADEはローカルLLMにも対応しており、検査対象内の機微情報が外部に漏れるリスクがないため、実運用環境でも安心して利用することができます。
本講演ではBLADEの設計思想や主要機能の解説とともに、ライブデモを通じて、マルチAIエージェントがペネトレーションテストの効率と精度をどのように向上させ、柔軟かつ拡張性のあるセキュリティ評価を実現するかをお見せします。

高江洲勲
高江洲 勲(@bbr_bbq
MBSDのシニアエンジニア。機械学習システムの脆弱性・対策に関する研究や、機械学習をサイバーセキュリティに応用する研究を行っており、研究成果をBlack Hat Arsenal、DEFCON DemoLabs、CODE BLUE、AVTOKYOなどのハッカー系カンファレンスで発表しています。近年では、セキュリティキャンプの講師・プロデューサーとして教育分野にも貢献しています。
一ノ瀬太樹
一ノ瀬 太樹(@mahoyaya
MBSDのエンジニア兼ペンテスター。 サイバーセキュリティのみならずアプリケーションやネットワークにも精通しており、15年以上の実務経験を持っています。また、そのノウハウを活かして、Black Hat Arsenal、BSides Tokyo(2018年、2019年、2025年)、JAWS Days 2019、AVTOKYOをはじめとする数多くのカンファレンスで講演を行っています。 休日は脆弱性を探したり、Perlやセキュリティのコミュニティ活動を行っています。

生成AIによるソフトウェア開発の収束地点

生成AIはソフトウェア開発の風景を急速に塗り替えています。
本講演では、この進化がどこへ向かうのか、その「収束地点」を考察します。
機械学習分野から見た技術面の発展の課程および、実際に生成AIを活用する複数の企業で行われている開発の様子を両輪で紐解く中で、生成AI開発がもたらすコードの信頼性や未知のリスクを予想します。
私達が備えるべきエンジニアリングの未来像について、皆様の一助になれば幸いです。

河合俊典
河合 俊典 a.k.a. ばんくし(@vaaaaanquish
2023年よりエムスリー株式会社にてVice President of Engineeringを務める。機械学習分野での主要なOSSへの貢献、執筆活動が認められ、日本有数のGoogle Developer Experts (AI/ML)に選出。株式会社Elith、PIVOT株式会社等複数社での技術顧問を務め、より良いエンジニアリングを広める活動にも従事。

米国国防総省(DoD)のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現

米国国防総省(DoD)が策定したDevSecOpsライフサイクルではどのようなセキュリティプロセスが必要であるかの記述がなされており、各開発フェーズにて考慮するべきことがまとめられています。このセッションではセキュリティを考慮したCI/CDパイプラインを最新のAWSとOSSでどのように実現できるか、取り上げるサービスの紹介とともに解説します。

吉江瞬
吉江 瞬(@typhon666_death
株式会社野村総合研究所に所属。マネージドセキュリティサービスの設計・開発・運用、クラウドセキュリティ監査、プロダクトセキュリティを経て、現在はクラウドセキュリティエンジニアとして社内向けのクラウドや生成AIの利用ガイドライン整備やASM・CNAPPのサービス調査と運用設計に努めています。AWS Security Hero。Security-JAWSコミュニティメンバー。

AIによるバグハンティング

AIはこれまでマルチモーダルによって人間の目や耳にあたる部分を獲得してきた。そしていま「手」にあたる部位を獲得することによってAIはさらなる進化を遂げている。 この講演ではそうした情勢について最新状況を解説し、サイバーセキュリティにおける応用としてバグハンティングへの活用方法を研究した結果について解説する。

新井悠
新井 悠(株式会社NTTデータ)
2000年に情報セキュリティ業界に飛び込み、株式会社ラックにてSOC事業の立ち上げやアメリカ事務所勤務等を経験。 その後情報セキュリティの研究者としてWindowsやInternet Explorerといった著名なソフトウェアに数々の脆弱性を発見する。 2013年8月からトレンドマイクロ株式会社で標的型マルウェアへの対応などを担当。 2019年10月、NTTデータのExecutive Security Analystに就任。近年は数理モデルや機械学習を使用したセキュリティ対策の研究を行っている。 大阪大学招聘准教授。著書・監修・翻訳書に『サイバーセキュリティプログラミング』や『アナライジング・マルウェア』がある。博士(情報学)。CISSP。

RapidPen: AIエージェントによる高度なペネトレーションテスト自動化の研究開発

本講演では、ペネトレーションテストにおけるIPアドレスからシェル獲得までの「初期侵入」フェーズを全自動化するAIエージェントツール「RapidPen」の研究開発について報告します。
AIによるペネトレーションテストの試みは散見されますが、RapidPenでは単一の脆弱性だけでなく、複数の脆弱性や設定不備を巧みに組み合わせた「複合初期侵入」の自動化焦点を当て、ハイスキルな人間と同等レベルに達することを目標としています。
AIエージェント・LLMの技術を単純に活用するだけでは難しい理由を説明し、そのギャップを埋めるための工夫についてご紹介いたします。

中谷翔
中谷 翔(@laysakura
株式会社SecDevLab代表として、企業や組織向けにセキュリティサービス、ソフトウェア開発、AI活用支援を提供。CISSP・OSCP等の資格を保有し、脆弱性診断やペネトレーションテスト等のセキュリティ業務のほか、OS, RDBMSなどの低レイヤーシステムやWebバックエンドの開発の実績も持つ。Black Hat USA 2025登壇(予定)。CTF上位入賞複数。

プロンプトインジェクション 2.0 : 進化する防御機構とその回避手法

大規模言語モデル(LLM)を外部のデータソースやツールと統合するプロトコル、Model Context Protocol(MCP)の登場で、LLMが多様なユースケースで幅広いユーザーに活用されています。しかし、悪意ある指示を挿入しLLMに意図しない動作をさせるプロンプトインジェクションは未解決で、多くのサービスで情報漏えいなどの問題が生じています。
この問題に対処するため、SpotlightingやTask Trackerなど新たな防御機構が開発されています。Microsoft主催のプロンプトインジェクション回避技術コンテスト「LLMail-Inject」で、私のチームは14位(上位3%)を獲得しました。
本講演では、コンテスト参加で得た知見をもとに、プロンプトインジェクション防御機構と仕組みを説明し、回避手法をデモを交えて解説します。

湯浅潤樹
湯浅 潤樹(@melonattacker
サイボウズ株式会社に所属し、セキュリティエンジニアとして脆弱性診断や脅威分析などの業務に従事。近年はAIセキュリティ分野に関心を持ち、LLMアプリを対象としたセキュリティツールの開発やバグハンティングに取り組んでいる。SECCON Beginnersの運営メンバーとしても活動している。

LLM を活用したソースコードにおける脆弱性の検出

本講演では、静的解析による脆弱性発見の新たなアプローチとして、木構造とLLMを活用した効率的かつ効果的な手法について取り上げます。講演の際には、従来の静的解析における脆弱性の発見方法についての理解を深めた後、意図的に脆弱性が含まれたWordPressのプラグインと実際に存在した脆弱性を題材とし、LLMを用いた脆弱性の検出方法についての理解を深めます。

蔀綾人
蔀 綾人(@AyatoShitomi
株式会社フォアーゼット在籍。脆弱性診断・ペネトレーションテスト・レッドチームオペレーションに従事する。ベトナムのDuy Tan 大学にてレッドチーム講師を務め、国際的な CTF にて活躍する学内 CTF チーム「ISITDTU」への指導も行う。過去に多数の脆弱性を報告しバグバウンティプラットフォームにて表彰。発見した脆弱性のうち 7 件が CVE に登録される。

サイバーセキュリティ概念のバーチャルからリアルへの応用 ~対ロシア、対北朝鮮の脅威への対処法~

国際的に戦乱や自然災害が増える中で、各国の世相に依存したサイバーセキュリティ脅威の見落としによる被害も、ネットからリアルに範囲が急拡大しつつある。
これらは、プログラミングなどのデジタル的な対処以外に、組織体系や人やモノ、カネの流れの構造把握も広義のサイバーセキュリティとして重要になってきている。
本講演では、サイバーセキュリティを防犯や防災、国防の文脈で捉え、ゆくゆくは情報システム担当者がサポートに廻りながらも、一般社員や顧客の方々ひいては地域コミュニティが主体的に毎日少しずつセキュリティホールを塞ぐ習慣を身につけてもらえる内容を目標とした。

Yulii Smirnov
Yulii_Smirnov(@yulii_smirnoff)
日本人。島根県立大学総合政策学部出身。半官半民の原子力系のお役所で、Webサイトの更新管理やSNS運営、サイエンスコミュニケーション等に従事。退職後の現在は、各国の行政機関や日本国内警察に、国内外のOSINTコミュニティとアカデミアとも連携してOSINT活動に従事しています。

『セキュリティエンジニアの知識地図』の著者と描く、あなたのキャリアコンパス ~多様化するセキュリティエンジニアのリアルと未来~

『セキュリティエンジニアの知識地図』で紹介されたセキュリティエンジニアの仕事や職種を、著者たちのリアルなキャリアパスから深掘りします!
ショートセミナーでは、脆弱性診断やペネトレーションテスト、コンサルティングなど、さまざまな専門分野で活躍する著者たちが登壇。現在の仕事にたどり着くまでの道のりや、日々向き合うミッション、現場のリアルな課題まで、本音で語り尽くします。
パネルディスカッションでは、「AI時代、どう働く?」といったテーマや、皆さんから寄せられたキャリアの悩みに、著者たちがズバリ答えます。明日からの一歩が、きっと楽しみになる。そんな時間をお届けします!

上野宣
上野 宣(株式会社トライコーダ)
株式会社トライコーダ代表取締役。奈良先端科学技術大学院大学で情報セキュリティを専攻後、2006年にトライコーダを設立。OWASP Japan代表。第16回「情報セキュリティ文化賞」、2025年総務省サイバーセキュリティ奨励賞受賞。著書に「セキュリティエンジニアの知識地図」など多数。
幸田将司
幸田 将司(株式会社バラエナテック)
CEH及びCNDの認定インストラクター、JNSA ISOG-J WG1所属。『セキュリティエンジニアの知識地図』を共著。
関根鉄平
関根 鉄平(株式会社エーアイセキュリティラボ)
AeyeScanのカスタマーサクセスチーム責任者として脆弱性診断の内製化を支援。『セキュリティエンジニアの知識地図』を共著。CISSP
大塚淳平
大塚 淳平(NRIセキュアテクノロジーズ株式会社)
脅威リサーチチームおよび同社インテリジェンスセンターに所属。2025年度からJNSA ISOG-J WG1リーダーを務める。『セキュリティエンジニアの知識地図』を共著。

スポンサーセッション

ワークショップ概要(順不同)・講師プロフィール(敬称略)

バグバウンティ入門 〜バグハンターへの道のり〜

本講義では、バグバウンティに興味がある方や挑戦してみたいけど始め方がわからない方などの初心者に向けて、最初の一歩を踏み出せる内容を取り扱います。 今回はバグバウンティプラットフォームをもとに、ドメイン(WebサイトやWebアプリ)を対象とした、バグバウンティにおける脆弱性調査の流れについてポイントを押さえながらハンズオン形式で実施します。
前提として、基礎的なWebセキュリティやJavaScriptに関する知識を持っていることが望ましいです。
用意するもの:ローカルプロキシツール「Burp Suite」、Webブラウザー。

森岡優太
森岡 優太(@scgajge12
2020年からWebアプリケーションやパブリッククラウドに対する脆弱性診断、Webペネトレーションテスト等を経験し、現在はセキュリティ事業におけるBizDev(事業開発/推進)に従事。 プライベートでは、バグハンターとしてバグバウンティで脆弱性を探したり、ポッドキャスト「Bug Bounty JP Podcast」のホスト兼スピーカーなどにも取り組む。

CTF入門 〜AI時代にCTFで何を学ぶか〜

近年、CTFはセキュリティエンジニアに限らず、幅広い層から注目を集める一方で、AI技術の進歩に伴い年々問題の難易度が上昇しており、初心者にはややハードルが高く感じられるようになってきました。
そこで、CTFに興味がある初心者の方向けに、AI時代の中でのCTFの向き合い方等を含め、以下ジャンルの講義と、実際に手を動かしながら学べる簡易mini CTFを開催します。
- Web
- Pwn
- Forensics

水野沙理衣
水野沙理衣(@r1154n)
株式会社GMOサイバーセキュリティ by イエラエに所属し、ペネトレーションテストに従事。CTF for Girls副代表。国際女性向けCTF「Kunoichi cyber game」日本代表メンバーに選出。

Webアプリケーション(SPA)脆弱性診断入門

AIサポートによる開発が普及しつつありますが、生成AIの提示するコードに脆弱性があるケースや、生成AIのコードを開発者が手直しする際に脆弱性が混入するケースもあり、脆弱性診断の必要性は減っていません。本ハンズオンでは、ReactとExpress.jsによるAPIで開発されたTodoアプリケーションを対象として、Web APIやSPAフロントエンドの脆弱性診断入門を行います。セキュリティ知識は前提とせず、基礎から説明します。
用意するもの: ローカルプロキシツール「Burp Suite」(Community Editionでも可)をあらかじめインストールしていただきます。

徳丸浩
徳丸 浩(@ockeghem
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。現在は、同社取締役CTO。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。

ネットワークOSINTハンズオン by pinja

公開ネットワーク情報から対象のインフラ全体を可視化し、脅威ハンティングや攻撃面評価に直結する調査フローを実践形式で学ぶハンズオンです。whoisから、DNS、サブドメイン調査、使用技術やフレームワークの調査/ShodanやCensysなどを組み合わせ、関連ドメインやサービスを迅速に特定を体験。初学者でも即戦力となるネットワークOSINTスキルを90分で習得しましょう。
当日はPCもしくはMacが必要です。ブラウザー利用のみで行います。

pinja
ykame(@YuhoKameda)/ awamori(@awamori_tt
OSINT CTF出場チームとして2015年に結成。世界最大のセキュリティイベント「DEFCON」の「Recon Village CTF」(2023年 ハッキングコンテスト)と「Live Recon」(2024年 ASMコンテスト)で優勝。その他、海外のOSINT CTFにも積極的に参戦。実務では犯罪組織調査などにも携わる。

イベント

CTF S.Q.A.T 2025

株式会社ブロードバンドセキュリティが主催するジェパディ形式のオンラインCTF大会。
CTF初心者〜中級者を対象にした個人戦で、Web・ネットワーク・フォレンジック・OSINT・その他のジャンルから出題されます。成績上位3名には賞品が授与されます。

●CTF競技時間
7月19日(土)10:00~17:00(JST)

スコアボードは15:00(競技終了2時間前)に表示停止。
競技終了後にスコアを集計し、ネットワーキングパーティの席で優秀者を発表します。

●Webサイト:7月18日(金)18:00オープン予定
・トップページ https://bbsec-ctf-hackfes2025.ctfd.io/
・参加登録ページ https://bbsec-ctf-hackfes2025.ctfd.io/register
・スコアボード https://bbsec-ctf-hackfes2025.ctfd.io/scoreboard

ギークステッカー交換会

国内外のカンファレンスなどに参加して手に入れたギークなステッカーを皆で持ち寄り交換してみませんか?

【ルール】
テーブルに広げてあるステッカーの中から1枚、お好きなものを進呈いたします。複数のステッカーが欲しい方は、あらかじめ、ご自身でステッカーをご用意いただき、会場で交換してください。1枚ご提供いただくごとに1枚ゲットできます。進呈する1枚に加え、各自最大4枚まで交換することが可能です(合計5枚まで)。なお、「日本ハッカー協会」のステッカーは参加者全員に配布していますので、交換対象外とさせていただきます。

ステッカー交換会

PC技術書・ハッカー関連書籍交換会

読んで役に立ったPC技術書や、強く印象に残ったハッカー関連の書籍などを、皆で共有してみませんか? 用済みになった本を処分する場ではありません。他の人に読み継いでほしいと思うものをお持ちください。

【ルール】
ハッカー協会理事が本の鑑定人を務めます。技術解説書は発行から3年以内のもの(2022年発行以降)が対象。ハッカー関連の読物は発行年を問いません。お持ちいただいた本は「Aグレード」と「Bグレード」に分類され、交換は同じグレードの本の間で行われます。交換は1人1冊まで。

書籍交換会

Japan Hackers Association Quest

日本ハッカー協会は、ハッカーを中心とした情報セキュリティ人材の職業紹介を行っております。ハッカー協会に寄せられております求人の一部をQuestという形で皆様にご紹介いたします。興味があるQuestがございましたら、QRコードを読んで頂き、その場でエントリーすることも可能でございます。仕事に関するご質問がございましたら、お気軽にお越しください。

イベントスポンサー