※本記事にはプロモーションが含まれています。
AIがログを解析し、怪しいファイルを見つけ、事件の流れを復元してくれる──そんな未来の捜査官のようなものを想像していました。
しかし実際にTryHackMeの「AI Forensics」ルームをやってみると、AIは事件を解決してくれる存在ではありませんでした。
AIは怪しいかもしれないものを提示してくれるだけ。そこから先は、人間が証拠を見て、考えて、判断する必要があります。
今回は、TryHackMeのAI Forensicsルームを通して学んだ内容や、実際に体験したDFIR(デジタルフォレンジック&インシデントレスポンス)の流れをまとめます。
AI Forensicsルームとは?
このルームでは、AIや機械学習(AI/ML)がDFIRの世界でどのように使われているのかを学びます。
【扱われていた例】
- 異常ログの検出
- フィッシング分析
- タイムライン再構築
- マルウェア分析
- ユーザー行動分析
AIというと、全部やってくれるというイメージを持ちがちですが、実際は違いました。
大量のログやファイルの中から、「ここ怪しくない?」という候補を出してくれる補助役に近い印象です。
AI捜査官を想像していた
ルーム開始前は、正直かなり未来っぽい内容を想像していました。
AIが事件を分析し、「犯人はこのIPです」 「侵入経路はこちらです」 「攻撃者の行動はこれです」
……みたいな。
でも実際はかなり地味でした。
最初にやったのはPythonスクリプト実行。
python3 /opt/dfir-lab/classify_logs.py /var/log/auth.log結果
- adminログイン失敗
- j.morganログイン成功
- r.houseログイン成功
AI:「この辺怪しいです」
以上。
ここから先は全部人間の仕事でした。
実際の調査の流れ
今回の事件はRobbCo社への侵入調査です。
攻撃全体の流れを整理するとこんな感じでした。
① フィッシングメール送信
請求書を装った悪意あるファイルが送信される。
invoice_Q1_2075.ods普通の表計算ファイルに見えるものの、中には悪意あるマクロが埋め込まれていました。
② 被害者がファイルを開く
マクロ実行。
以下の情報を収集。
- bash履歴
- SSH情報
- ユーザー情報
- /etc/passwd
③ 攻撃者がj.morgan侵入
認証情報を使ってログイン。
④ リバースシェル設置
被害端末から攻撃者側へ接続。
これで遠隔操作可能に。
⑤ 権限昇格
bash履歴から以下を発見。
sudo nano /home/r.house/.ssh/authorized_keysSSH鍵を追加し、r.houseアカウントへ侵入。
⑥ 永続化
一見システム監視ツールに見えるsysmonの正体はリバースシェル。
しかも偽ログまで用意して正規ツールに見せかけていました。
⑦ ソースコード窃取
最後はRobbCoの重要ソースコードが圧縮され、共有メモリ内へ隠蔽されていました。
AIは誤検知もしていた
面白かったのはここです。
AIはソースコードまで怪しいファイル扱いしていました。
でも実際は正常なファイルです。
つまりAIは、怪しい候補を出してくれるだけで、本当に危険かまでは保証してくれません。
今回のルームで何度も出てきた言葉がありました。
AIは人間の代わりではない
これはかなり印象に残りました。
AIよりCLIで混乱した
今回個人的に苦戦したのはAIではなくCLIでした。
久々のLinux操作だったこともあり、途中かなり混乱しました。
例えば、
cat /tmp/.syncdこれを実行するときも、「これ開いて大丈夫?」 「実行されない?」と警戒していました。
普段BurpやDevTools中心だと、CLIは別の脳を使う感じがあります。
【今回かなり使ったコマンド】
ls
cd
cat
find
grepDFIRって実質、Linuxコマンドで証拠を探すゲームなんだなと思いました。
ルーム内に出てきたAIセキュリティ用語メモ
ルーム内に出てきた用語を、軽くここにまとめておきます。
| 用語 | 意味 |
|---|---|
| DFIR(デジタル・フォレンジックとインシデント対応) | インシデント発生時に証拠を調査・分析し、原因や攻撃の流れを追跡する活動。 |
| AI Forensics(AIフォレンジック) | AIを活用してフォレンジック調査を支援する手法。 |
| Anomaly Detection(異常検知) | 通常とは異なる怪しい挙動を検知する仕組み。 |
| CNN(畳み込みニューラルネットワーク) | 画像や動画の特徴を学習するAIモデル。 |
| NLP(自然言語処理) | 人間の言語をAIが理解・分析する技術。 |
| Black Box(ブラックボックス) | AIがなぜその判断をしたか分かりにくい状態。 |
| Explainability(説明可能なAI) | AIの判断理由を説明できる性質。 |
| Precision | 「怪しい」と判定したものの正確さ。 |
| Recall(リコール) | 本来見つけるべき脅威をどれだけ検出できたか。 |
| Reverse Shell(リバースシェル) | 被害端末側から攻撃者へ接続する遠隔操作用シェル。 |
| Persistence(永続化) | 再侵入しやすいようアクセス手段を残すこと。 |
| Privilege Escalation(権限昇格) | 一般権限から管理者権限へ昇格する行為。 |
| Phishing(フィッシング) | メールなどで利用者を騙して情報を盗む攻撃。 |
| Chain of Custody(保管管理記録) | 証拠の取得から保管までの管理記録。 |
| Deepfake(ディープフェイク) | AIで作成された高精度な偽動画・偽音声。 |
AI Forensicsルーム体験記のまとめ
今回のルームで学んだのは、AIの凄さよりもAIの立ち位置でした。
AIは確かに便利です。
大量ログから異常を見つけたり、人間が見落としそうな候補を提示したりできます。
ただ、それだけで事件は解決しません。
AI:「ここ怪しいです」
人間:「なぜ?」 「本当に?」
最終的に必要なのは、人間の観察力と判断でした。
AI利用が増えるほど、人間の役割が減るどころか、むしろ重要になる。
そんなことを感じたルームでした。
参考資料・学習サイト
TryHackMe
初心者向けの学習パスが充実しているサイバーセキュリティ学習サイト。
実際にラボ環境を触りながら、Webセキュリティ・DFIR・Linux・ネットワークなどを学べます。
私も学習記録を書きながら進めています。
Hack The Box
より実践寄りの演習が多い学習サイト。
攻撃・防御の両視点を学びたい方や、より難易度の高いラボに挑戦したい方向けです。
Web Security Academy
実際に脆弱性のあるラボを触りながら学べる無料学習サイト。
私もXSSやビジネスロジック系の学習でよく参考にしています。
Udemy
サイバーセキュリティやLinux、プログラミング関連の動画講座を探したい方向け。
基礎知識の補強や、特定分野を体系的に学びたい時に便利です。