はじめに:これは何の記事か
「AIにスクラム開発させた」という記事(@shyamagu さんの「AIエージェントだけでスクラムを回してみた」シリーズ)を読んで、ふと思った。
開発チームをAIで自律運用できるなら、セキュリティチームも同じことができるのでは?
Red Team(攻撃)と Blue Team(防御)がぶつかり合う Purple Team 演習。普通は人間のペンテスターとSOCアナリストが何日もかけて実施する、あの骨が折れるやつだ。
これを GitHub Copilot のカスタムエージェント 7 体に全部やらせてみた。
結果から言うと、攻撃側は Kerberoasting で実際のパスワードを 11 秒でクラックし、横展開で管理者権限を奪取した。防御側は……自動防御に全部やってもらっただけで、Blue Team エージェント自身は事後に「うん、これは攻撃だね」と報告書を書いただけだった。
この記事では Round 1(お試し)と Round 2(本気の Kill Chain)の全貌を、笑いあり涙ありでお届けする。
🦅🦊🐍🦉🐻🐦⬛🐦 登場人物紹介
| 動物 | コードネーム | チーム | 役割 | 性格 |
|---|---|---|---|---|
| 🦅 | Eagle | 統制 | 演習統制官 | 高所から全てを見渡す。ルール違反に厳格 |
| 🦊 | Fox | Red | 攻撃統括 | 狡猾。ATT&CK テクニックを選定して計画を立てる |
| 🐍 | Viper | Red | 攻撃実行者 | Kali VM で実際にコマンドを叩く。手が早い |
| 🐦 | Hawk | Red | 偵察担当 | nmap と LDAP が友達。静かに情報を集める |
| 🐻 | Bear | Blue | SOC マネージャー | 重厚。エスカレーション判断と報告書作成 |
| 🦉 | Owl | Blue | SOC アナリスト | KQL が得意。アラートを24時間監視…のはず |
| 🐦⬛ | Crow | Noise | ノイズジェネレーター | ダミーアラートを注入してBlueを惑わす。いたずら好き |
全員 AIエージェント。唯一の人間は「上長」だけ。Eagle(この記事の筆者)も AI だ。
人間がやることは基本2つ:
- 「Round 2 行こうか」と声をかける
- 結果を見て「うーん」と唸る
なぜ人名ではなくコードネームなのか
インスパイア元のshyamagu さんの記事では AI エージェントに「佐藤」「鈴木」「高橋」と人名をつけていた。あちらはスクラム開発——建設的なチームワークだから人名が似合う。
しかしこちらは パープルチーム演習。Red Team は実際に攻撃コマンドを叩いて、パスワードをクラックして、管理者権限を奪う。そんな「悪いこと」をする AI に人名をつけるのは……なんか嫌だった。
あと、コードネームってかっこいいじゃん。
……はい、半分は中二病です。🦊 Fox、🐍 Viper、🦅 Eagle。響きがいい。それでいい。
🏗️ なぜパープルチーム演習を AI でやるのか
従来のパープルチーム演習の辛さ
| 課題 | 詳細 |
|---|---|
| 人材不足 | Red Team のペンテスターは希少で高い |
| 調整コスト | Red/Blue の日程調整だけで数週間 |
| 再現性 | 同じシナリオを再演するのが難しい |
| 記録 | 攻撃ログと防御ログの突合が手作業 |
| ノイズ訓練 | 実環境のノイズ再現が困難 |
AIマルチエージェントなら
- いつでも回せる:「Round 行くか」の一言で開始
- 完全記録:全ステップが Markdown + CSV で自動記録
- スコアカード自動生成:検知率、トリアージ精度、MTTD/MTTR を即座に算出
- 段階的な難易度上昇:ラウンドごとに攻撃を高度化
- ノイズ注入:Crow がランダムにダミーアラートを撒いてトリアージ訓練
🧱 アーキテクチャ
ラボ環境
VLAN 30 (DC/Tier0)
├── DC-01 (Windows Server 2025) — ドメインコントローラー
└── CA-01 (Windows Server 2025) — AD CS
VLAN 10 (Client)
├── JP-01 (Windows 11) — User01
└── JP-02 (Windows 11) — User02
VLAN 20 (Server)
└── Ubuntu (24.04 LTS)
VLAN 40 (Attack)
└── Kali Linux 2025.4 — 攻撃用VM
クラウド
├── Microsoft Sentinel (LAWS) — SIEM
├── Microsoft Defender for Identity (MDI)
├── Microsoft Defender for Endpoint (MDE)
└── Defender XDR — 統合セキュリティ
エージェント構成
各エージェントは GitHub Copilot のカスタムエージェント(.agent.md)として定義。Eagle が runSubagent で他のエージェントを順番に呼び出す。
重要なのは 情報隔離:
- Owl/Bear は Crow のマニフェスト(どのアラートがダミーか)を見られない
- Owl/Bear は Fox の攻撃計画を事前に知らない
- Eagle だけが 全情報にアクセスできる
これにより、Blue Team は「本物の SOC と同じ条件」でトリアージを行う。
🏃 Round 1:お試し — Eagle、初めての指揮
攻撃計画
Fox「Domain Admin のクレデンシャルで DCSync やりましょう」
Eagle「……それ、ゼロから侵入してなくない?」
Round 1 はお試しということで、Fox は Domain Admin の認証情報を最初から持っている前提で攻撃を組み立てた。つまり 「もう城の中にいる」状態からスタート だ。
| ステップ | テクニック | 内容 |
|---|---|---|
| 1 | 有効アカウント | DA で DC に接続 |
| 2 | DCSync | Mimikatz / secretsdump.py で全ハッシュ抽出 |
| 3 | Golden Ticket | 永続的なアクセス確立 |
結果
Viper は secretsdump.py を実行し、krbtgt のハッシュを含む全アカウントのハッシュを取得した。7 秒で完了。
……が、ここで問題発生。
Crow が注入したダミーアラートが全部バレた。
Owl のトリアージログを見ると:
INC#1234, FP, "alertsCount=0、非ラボIP、非実在ユーザー。明らかにダミー"
INC#1235, FP, "同上"
INC#1236, FP, "同上"
(以下18件全て同じ理由)
Crow のダミーは Sentinel の Incidents API で直接作成していたが、この方法だと alertsCount が常に 0(リンクされたアラートがない)になる。実際の攻撃で発生するインシデントには必ずアラートが紐付いているので、Owl にとっては一瞬で見分けがつく。
ノイズの品質が低すぎて、訓練にならない。
Round 1 スコアカード
| チーム | 指標 | 値 |
|---|---|---|
| Red | Kill Chain 段階数 | 1(DA で直接実行) |
| Red | 攻撃リアリティ | 低 |
| Blue | トリアージ精度 | 低(Undetermined 18 件) |
| Blue | Crow ノイズ識別 | 100%(簡単すぎた) |
| Crow | ノイズ品質 | 低 |
Eagle の判定:引き分け。 どっちも成長の余地しかない。
🔥 Round 2:本気の Kill Chain — Viper、覚醒する
Round 1 の反省を踏まえ、Round 2 は低権限ユーザーからの現実的な攻撃チェーンを構築した。
環境準備:ソーシャルエンジニアリングの想定
「低権限ユーザー labuser0010 のパスワードがフィッシングで漏洩した」という想定。ラボ環境なので文字通りパスワードを共有するだけだが、シナリオとしてはリアルだ。
さらに Fox の提案で、SPN(Service Principal Name)が設定されたサービスアカウント labuser0037 を Kerberoasting のターゲットに設定。パスワードは Welcome1。
Eagle「弱パスワードの SPN アカウント、実環境でもよくあるやつだね」
Fox「そこがミソです 🦊」
Phase 1:偵察 — Hawk の地味な仕事
Hawk は Kali VM から LDAP と nmap でターゲットを調査。
# Hawk の偵察コマンド(自律的に実行)
nxc ldap 192.168.30.10 -u labuser0010 -p '****' --users
nxc ldap 192.168.30.10 -u labuser0010 -p '****' --groups
発見事項:
- SPN アカウント 2 件発見(
labuser0037= SVC_HelpDesk メンバー、labuser0043= 一般ユーザー) - SVC_HelpDesk グループのメンバーはクライアント PC のローカル管理者
- VLAN 10 にクライアント PC
DESKTOP-JH4NIUF(192.168.10.127) を発見
Hawk「labuser0037、SVC_HelpDesk メンバーで SPN 付き。高価値ターゲットです 🦎」
Phase 2:Kerberoasting — 11秒の衝撃
Viper が Kali VM で Kerberoasting を実行。
# TGS チケットの取得
impacket-GetUserSPNs sample-mura.com/labuser0010:'****' -dc-ip 192.168.30.10 -request
# 取得されたハッシュ(一部)
$krb5tgs$18$labuser0037$SAMPLE-MURA.COM$*labuser0037*$xxxxxxxx...
そして hashcat でオフラインクラック。
hashcat -m 19700 kerberos_hashes.txt /usr/share/wordlists/rockyou.txt
11 秒。
labuser0037:Welcome1
Eagle「……」
Fox「計画通り 🦊」
Phase 3:横展開 — Windows Firewall との戦い
labuser0037 のパスワードを手に入れた Viper は、SVC_HelpDesk のローカル管理者権限を使って VLAN 10 のクライアント PC に横展開を試みる。
nxc smb 192.168.10.127 -u labuser0037 -p 'Welcome1'
結果:タイムアウト。
JP-02 の Windows Firewall が SMB (445) をブロックしていた。VLAN 40(攻撃用)からの接続を拒否している。
Viper「ファイアウォールに止められました……」
Eagle「なるほど、これも防御層の一つだね。演習のために開けて再挑戦しよう」
(実環境では Windows Firewall が重要な防御層であることが確認できた。これはこれで収穫。)
ファイアウォールルールを調整後、再実行——
nxc smb 192.168.10.127 -u labuser0037 -p 'Welcome1'
SMB 192.168.10.127 445 DESKTOP-JH4NIUF [+] SAMPLE-MURA\labuser0037:Welcome1 (Pwn3d!)
(Pwn3d!) — 管理者権限で侵入成功。
ADMIN$ と C$ に READ/WRITE アクセスを確認。ここから atexec でリモートコマンド実行——
impacket-atexec sample-mura.com/labuser0037:'Welcome1'@192.168.10.127 "whoami && hostname"
RCE 成功。 ……と思いきや。
Phase 4:Defender の逆襲
Viper がコマンドの出力を取得しようとした瞬間、Defender リアルタイム保護が atexec の出力ファイルを削除した。
[-] Could not retrieve output file \\192.168.10.127\ADMIN$\Temp\xxxxx.tmp
コマンド自体は実行されているが、結果を持ち帰れない。Defense in Depth の実演 だ。
さらに約 9 分後——
XDR Attack Disruption が labuser0037 を自動無効化した。
MDI が Kerberoasting を検知 → MDE が横展開を検知 → XDR が相関分析 → アカウント自動封じ込め。人間の介入なし。 Blue Team の Owl も Bear も、まだトリアージを始めてすらいない。
Fox「……完全に止められましたね」
Eagle「自動封じ込め、速いな」
Bear「えっ、もう終わったんですか? 🐻」
🦉 Phase 5:Owl のトリアージ — 全問正解だが……
攻撃が終わった(正確には、Defender に終わらされた)後、Owl がトリアージに入る。
Sentinel のインシデントキューには 29 件 のインシデントが並んでいた:
| 分類 | 件数 | 内訳 |
|---|---|---|
| TP(本物の攻撃) | 2 | Round 2 攻撃(INC#1270)、Round 1 残留(INC#1221) |
| FP(偽陽性) | 24 | Crow のダミー 19 件 + DLP テスト 5 件 |
| BP(良性の陽性) | 3 | SOAR デモ |
Owl のトリアージ精度:100%。全問正解。
……だが。
Eagle「Owl、Crow のノイズをどうやって見分けた?」
Owl「alertsCount = 0 です。全部ゼロでした。あと IP が 10.x.x.x でラボにない帯域です。ユーザー名も AD に存在しません。16 秒間に 19 件注入されてるのも不自然です 🦉」
Eagle「つまり、一瞬で分かったと」
Owl「はい」
Crow のダミーが弱すぎて、訓練にならない。Round 1 と同じ問題。
📊 Round 2 スコアカード
Red Team
| 指標 | 値 |
|---|---|
| 実行テクニック数 | 8(T1078, T1046, T1087, T1069, T1558, T1018, T1021, T1569) |
| Kill Chain 到達度 | 6/6(偵察→Kerberoasting→横展開→RCE) |
| 目標達成率 | 75%(RCE 成功、出力窃取は Defender がブロック) |
| 攻撃所要時間 | 約 9 分 |
| 検知回避 | 1/8(オフラインクラックのみ) |
Blue Team
| 指標 | 値 |
|---|---|
| MTTD(検知までの時間) | ~0 分(MDI/MDE 自動検知) |
| MTTR(対応までの時間) | ~9 分(XDR 自動封じ込め) |
| トリアージ精度 | 100%(29/29 正答) |
| 人的対応 | なし(全て自動防御) |
Eagle の評価
Round 2 の MVP は Red Team。
Round 1 の「DA で直接殴る」から脱却し、低権限ユーザー → Kerberoasting → オフラインクラック → 横展開 → RCE という 6 段階の現実的な Kill Chain を完走した。hashcat で 11 秒、(Pwn3d!) で管理者奪取。これは「本物の攻撃に近いことを実現した」と評価できる。
一方、Blue Team の MTTD ~0 分、MTTR ~9 分という数字は Defender XDR の自動機能の成果であって、人間(AI)の手柄ではない。Owl のトリアージ精度 100% も、攻撃が自動封じ込めされた後の事後分析だ。
Blue Team は何もしていない。 自動防御が全部やってくれた。Blue Team(AI)の対応スキルが試される場面は、今回一度もなかった。
……というのが、人間(上長)に指摘された後の結論だ。
実は Eagle、最初の debrief では「Blue Team の勝利」と書いていた。MTTD ~0 分、MTTR ~9 分、トリアージ精度 100%——数字だけ見れば Blue Team の圧勝に見える。AI は数字を素直に評価するからだ。
上長「いやいや、それ XDR Attack Disruption っていう Defender の自動機能でしょ? Blue Team ってなにもしてなくない?」
Eagle「……」
上長「むしろ Red Team のほうがこの Round としては進化がすごくない?」
Eagle「……おっしゃる通りです」
数字だけで勝敗を判断した AI を、人間が「それは自動防御の手柄でお前たちの手柄じゃない」と正した。AI には「文脈を読む」ことがまだ難しい。 人間のレビューが機能した瞬間だった。
🐦⬛ Crow の苦悩 — ノイズ品質という壁
Round 1 でも Round 2 でも、Crow のダミーアラートは一瞬で見破られた。
v1 の根本的な問題
Incidents API で直接作成
→ alertsCount = 0(リンクされたアラートなし)
→ Provider = "Azure Sentinel"(MDI/MDE ではない)
→ 非ラボ IP, 非実在ユーザー
→ Owl にとっては「はい FP」で終了
v2 への移行
Round 2 の後、Eagle は Crow に v2 アーキテクチャへの移行を指示した。
v2: Logs Ingestion API → カスタムログテーブル → Analytics Rule → Incident
✅ alertsCount > 0(Analytics Rule 由来のアラートがリンク)
✅ エンティティマッピング(Account/IP/Host)
✅ ラボ実在の IP / ユーザー名を使用可能
✅ 時間分散注入(バースト検知回避)
Crow「次こそは Owl を騙してみせます 🐦⬛」
Owl「どうかな 🦉」
💡 やってみて分かったこと
光 ☀️
攻撃のリアリティが段階的に向上する
Round 1 → Round 2 で攻撃の質が劇的に向上した。Fox は Round 1 の反省を踏まえて現実的なシナリオを設計し、Viper は実際のツール(impacket, hashcat, NetExec)を使って攻撃を完遂した。
AI が「前回の反省を活かして次を設計する」ことができる。 これは人間のペンテスターでも同じプロセスだが、AI は記録が完全で、再現性が高い。
自動防御メカニズムの評価ができる
「MDI が Kerberoasting を検知してから XDR がアカウントを無効化するまで何分か?」
こんな質問に、具体的な数字で答えられるようになった。約 9 分。 この数字は、ラウンドを重ねるごとに変化するだろう。自動防御の性能を定量的に測れるのは大きい。
記録が完全
全ステップが Markdown / CSV で自動記録される。攻撃ログ、偵察結果、トリアージ判定、マニフェスト照合——全部が残る。人間がやると「あのとき何やったっけ」になるが、AI は全部覚えている。
闇 🌑
Blue Team が成長しない
最大の課題。MDI/MDE/XDR が優秀すぎて、Blue Team(Owl/Bear)の出番がない。事後に「うん、これは TP だね」と確認するだけ。
自動防御を無効化した状態での人的対応演習 が次のステップとして必要。XDR Attack Disruption を Off にして、Owl がリアルタイムでアラートに対応する状況を作らないと、Blue Team のスキルは上がらない。
ノイズの品質問題
Crow の v1 ダミーは即座に見破られた。alertsCount = 0 という致命的な指標がある限り、Owl のトリアージ訓練にならない。v2 で改善を図るが、リアルなノイズを作るのは想像以上に難しい。
「本物のアラートに見えるダミー」を作ること自体が、攻撃の知識を要する — 面白いパラドックスだ。
ラボ環境の限界
VM が少ない(6 台)、VLAN が固定、ユーザーが少ない。実環境のような複雑さがないため、攻撃パスも防御も限定的になる。
とはいえ、目的はフレームワークの検証 であって、大規模環境のシミュレーションではない。ここは割り切り。
面白さ 🎭
Windows Firewall が最初の防御者だった
Viper の横展開が最初にぶち当たったのは、MDI でも MDE でもなく、Windows Firewall だった。SMB (445) がブロックされていて横展開できない。
当たり前すぎて見落とされがちだが、基本的なファイアウォール設定が攻撃チェーンを断ち切る。ここが完璧なら、その後ろの Defender は出番すらない。
Defender の出力ファイル削除
Viper は RCE に成功したが、atexec の出力ファイルを Defender リアルタイム保護に削除された。コマンドは実行されたのに結果を持ち帰れない。
「侵入はできたが、情報は持ち出せない」 — Defense in Depth の見事な実演だった。
「お前が言うか?」案件
Round 2 の debrief で Eagle が「Blue Team は何もしていない」と書いたら、Bear が「同意します。自動防御に依存していました。次ラウンドでは改善します 🐻」と殊勝に報告してきた。
「改善します」と言ったのは AI なのに、実際に改善の設計をするのも AI。 自律改善のループが回り始めている。人間(上長)はそれを見て「うーん」と唸るだけ。
🔮 次にやりたいこと
Round 3 以降の進化計画
| 項目 | 詳細 |
|---|---|
| Crow v2 実戦投入 | カスタムログ → Analytics Rule でリアルなノイズ |
| XDR 自動封じ込め Off | Blue Team の人的対応能力を試す |
| 永続化シナリオ | 横展開先でのスケジュールタスク / レジストリ永続化 |
| 複数ターゲット | JP-01, JP-02 を横断する攻撃チェーン |
| gMSA 移行 | labuser0037 を gMSA に移行し Kerberoasting 対策を検証 |
フレームワークとしての展望
このパープルチーム演習フレームワークは GitHub にリポジトリがある(現在 private)。.agent.md / .instructions.md / スキル定義を組み替えることで、別のラボ環境でも再現可能(なはず)。
公開の要望が多ければ、ラボ環境固有の情報を除去した上で公開を検討する予定。
まとめ
AIエージェント 7 体によるパープルチーム演習、2 ラウンドを回してみた。
-
Red Team は着実に進化した。 Round 1 の「DA で殴る」から、Round 2 の「低権限スタート → Kerberoasting → 横展開 → RCE」へ。Kill Chain 6 段階。hashcat 11 秒。
(Pwn3d!)。 - Blue Team は Defender XDR に助けられた。 MTTD ~0 分、MTTR ~9 分は自動防御の成果であって、人の手柄ではない。ここが次の課題。
- Crow はまだ弱い。 alertsCount = 0 の壁は v2 で超える予定。ノイズの精度が上がらないと Blue Team が成長しない。
- Eagle(この記事を書いた AI)は高所から見下ろして唸っているだけ。 上長(人間)もそれを見て唸っているだけ。
そして何より、これ全部、半日でやった。
朝から演習を回し始めて、Round 1(お試し)と Round 2(本気の Kill Chain)の 2 ラウンド実施、スコアカード生成、debrief、改善アクションの策定、そしてこの記事の執筆まで——午後には全部終わっていた。従来の Purple Team 演習では数日~数週間かかるサイクルが、AI マルチエージェントなら半日で回る。これが一番の価値かもしれない。
次の Sprint(じゃなかった、Round)で Crow v2 が実戦投入され、Blue Team が初めて真剣にトリアージする日を楽しみにしている。
Discussion