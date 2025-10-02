

世界中のホワイトハッカーが集う「DEF CON（デフコン）」でGMOイエラエが優勝（写真：GMOイエラエ提供）

【写真】DEF CON 33 Cloud Village CTF世界1位を獲得したGMOイエラエチーム

サイバーセキュリティの世界において、その名を知らぬ者はいないと言われる世界最大級のハッキングイベント「DEF CON（デフコン）」。毎年夏、世界中からトップクラスのホワイトハッカーやセキュリティ研究者たちがラスベガスに集結し、その技術と知識を競い合うハッカーの夏祭りだ。



サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

2025年8月7日から10日にかけて開催された第33回大会「DEF CON 33」において、日本から参加したGMOサイバーセキュリティ byイエラエの「GMOイエラエ」チームが、またしても快挙を成し遂げた。

彼らが挑んだのは、70以上ある競技のうちの1つで、クラウドセキュリティに特化した「Cloud Village CTF」。世界中の強豪チームが集うこの競技で、GMOイエラエは参加した2023年、2024年に続き、見事3年連続での世界1位を獲得したのだ。

クラウド分野で優勝した意義

CTF（Capture The Flag）とは、ホワイトハッカーたちが身に付けたセキュリティ技術を駆使して、隠された「フラグ（答え）」を見つけ出し、得点を競う競技だ。とくにDEF CONで開催されるCTFは、その規模と難易度から世界的な注目を集めている。

GMOイエラエが参戦した「Cloud Village」は、DEF CON内に設置される多様なテーマ別エリア（ビレッジ）の1つであり、クラウド環境の脆弱性や設定不備を突く高度な技術が求められる。現代のITインフラにおいてクラウドの重要性が増す中、この分野での勝利は、彼らの技術力が世界トップレベルにあることを示している。

38時間にも及ぶ過酷な頭脳戦を制し、全27問を完全制覇するという圧倒的な結果を残したGMOイエラエ。今回は、現地で激闘を繰り広げたメンバーである渡部裕氏と小田切祥氏、養田篤也氏、水野沙理衣氏の4人に3連覇達成までの軌跡について聞いた。



DEF CON 33 Cloud Village CTF世界1位を獲得したGMOイエラエチーム。左から水野氏、小田切氏、養田氏、渡部氏（写真：GMOイエラエ提供）

世界最高峰の舞台を目指し続ける理由

同社の前身であるイエラエセキュリティは、2011年に脆弱性診断専門会社として設立された。設立当初から、CTFで培った技術やノウハウが、ペネトレーションテスト（侵入テスト）などの実業務に直結するという信念が、組織のDNAとして組み込まれている。

2022年にGMOインターネットグループに参画後、2023年には脆弱性研究調査チームとしてGMOイエラエの名の元に、国際的なCTFへの挑戦はさらに本格化した。

「CTFでは、実際の業務に近い課題が出されます。そのため、CTFに積極的に参加することによって、エンジニアが育つというメリットがあります」と高度診断部高度診断課の養田氏は語った。CTFは技術研鑽の場として重要な位置付けとなっているのだ。

DEF CONを選んだのはもちろん世界最大級のイベントだからだが、そもそもクラウドのみを題材としたCTFがあまり開催されていないという。そのため、GMOイエラエの業務との親和性が高く、かつ世界的な権威を持つこの大会は、彼らにとって最適な舞台だった。

「GMOイエラエは技術力でアピールしている一方で、2022年当時は、わかりやすい外部の成績が古いものばかりでした。過去の栄光にすがるのではなく、最新の技術力で実力を証明したほうがいいのではないか、ということでCTFに挑戦し始めました」とチームのキャプテン的な役割を担った高度診断部高度診断課のシニアエンジニアである渡部氏は当時を振り返った。

今回の挑戦には、現地参加の4名と日本からのオンライン参加メンバーを合わせ、10名が参加した。高度診断課だけでなく、クラウドセキュリティ課の小田切氏やオフェンシブセキュリティ部ペネトレーションテスト課の水野氏も集結している。



GMOイエラエの現地参加メンバー。手前右側から渡部氏、水野氏、養田氏、小田切氏（写真：GMOイエラエ提供）

過去問の分析、自動化ツールの開発も

世界トップクラスの競技で勝利を収めるためには、個々の高い技術力はもちろんのこと、周到な準備が必要となる。

Cloud Village CTFは、クラウドサービスの設定不備からフォレンジック（デジタル鑑識）、CI/CD（継続的インテグレーション／継続的デリバリー：ソフトウェア開発のテストや公開を自動化する仕組み）まで、幅広いジャンルの問題が出題されるのが特徴だ。3連覇を目指すチームの基本戦略は、過去問の徹底的な分析だった。

「参加できそうなメンバー全員が過去に出題された問題の傾向を分析して、今年出そうなパターンを予測し、準備をしました」（養田氏）。

今回が現地初参加となる養田氏や水野氏も、入念な予習で大会の勘所を掴んでいった。

「クラウドセキュリティ課ではオリジナルのCTFを作成して、それをみんなで解いて、答え合わせをしたり、最新のクラウドのテクニックや攻撃の手法を調査したりしていました」（小田切氏）。

CTFはスピードも重要になるため、効率化の準備も怠らない。小田切氏が注力したのは自動化ツールの開発だった。

「基本的にはクラウドのCTFでは、クラウドの認証情報が与えられて、そこから使えるリソースを調べて、何ができるのかを考えます。そのためのリソース列挙の処理を自動化するツールを開発しました」（小田切氏）

日本時間8月6日、メンバーたちは決戦の地ラスベガスへ旅立った。現地到着は8月7日。会場近くのホテルを拠点に、いよいよDEF CON 33が始まる。

現地初参加の水野氏は「ホテルに入ったらすぐカジノでびっくりしました」と。街の雰囲気に驚きつつも、時差や環境への適応が求められる。3回目の参加となる渡部氏は、経験者としてのアドバイスを事前に共有していた。

「いつもと違う環境になるうえ、すごく暑いので体調に気をつける必要があります。例えば目を保護するためにサングラスが必要になるとか、現地で必要なものを買えるお店などの情報を共有しました」（渡部氏）

決戦前夜、メンバーたちはDEF CON本戦に参加する他のメンバーも含めたGMOイエラエのエンジニア全員で夕食を共にしたそう。そして翌8月8日午前10時、38時間に及ぶ長い戦いが始まった。



DEF CON 33は「ラスベガス・コンベンションセンター」で開催された（写真：GMOイエラエ提供）

意外だった出題傾向と「現地限定」ミッション

競技が開始すると、経験のある小田切氏と渡部氏は今年の出題傾向に変化を感じ取った。

Cloud Village CTFとは言え、完全にクラウド関連の問題だけでは課題のバリエーションが作りづらくなっているのではないか、という運営側の意図も推測されるが、参加者にとっては対応力が試される展開となった。

「去年までは、本当にクラウドに関連する課題だけだったのですが、今年は、クラウドとは異なる傾向の問題が出てきました。ほかにも、会場に行かないと解けない問題が、今年初めて出ました」（渡部氏）

意外だったのは、「バイナリーエクスプロイテーション」と呼ばれる分野の問題が出題されたことだ。これは、C言語などで書かれたプログラムのメモリ管理の不備を突き、サーバーへの侵入を試みるといったもので、クラウドの設定不備を扱うのとは根本的に異なる技術領域だ。

クラウド中心に準備を進めてきたメンバーにとっては、「それが出るんだ」という驚きがあった。そして、もう1つの大きな変化である会場限定問題で活躍したのが水野氏だった。競技中盤、いくつかの問題が追加で公開された。その中の1つに、特定のWebサイトへのアクセスが求められる問題があったが、現地の会場のWi-Fiからでなければアクセスできない仕様になっていたのだ。

この時、たまたま情報収集のために会場を訪れていた水野氏が、このミッションに挑むことになった。

水野氏が現地からアクセスし、Webの脆弱性を突いて突破口を開くと、次に現れたクラウド環境はリモートからでも接続可能だったため、すかさずホテルで待機していた小田切氏が解析を引き継いだ。小田切氏の解析により、ある謎のフレーズが得られた。しかし、それはフラグではない。

「会場に来させているのだから、現場に何かあるのではないか？」とチームからアドバイスを受けた水野氏は、会場内を探索。すると、Cloud Villageのエリア内に、怪しげな黒い小さなテントを発見。その中に入ると、ホームアシスタントと呼ばれるデバイスが設置されていた。

「そこにそのフレーズを言ったらQRコードが出てきて、そのQRコードを読み込んだらフラグが得られました」（水野氏）

現地での機動力と、リモートでの高度な解析技術が見事に融合した連携プレーだ。

38時間にわたる競技中、チームは柔軟な協力体制で問題に取り組んだ。手が空いているメンバーが解かれていない問題に取り組み、Discord（チャットツール）で情報共有しながら協力して進めたのだ。

途中で手放す時も、そこまででわかっていることを書き残したり、それらを見て解決策を思いついた人が続きを引き継いだりして、リアルタイムで情報を共有し、全員で協力してゴールを目指した。

順調に問題を解き進めていたチームだが、思わぬ形で体力を削られる展開も待っていた。初日の夜10時頃から、メンバー総出で取り組んでいた難問が解けずに残っていたのだ。渡部氏、小田切氏、養田氏の3名は、ホテルで完全に徹夜状態でこの問題に取り組み続けた。

「問題に不備があったみたいで、結局次の日の朝に直ったんですよ」と養田氏。運営側のミスが原因であり、修正されるとすぐに解くことができたが、疲労は蓄積していた。しかし、全問制覇という目標が実現できそうな状況になっていたので、チームは手を止めなかった。



38時間もの長丁場なので、基本的にホテルでチャレンジを続けた（写真：GMOイエラエ提供）

競技中には、さまざまな印象深い問題があった。養田氏が取り組んだのは、500MBもの圧縮されたログファイルを解析するフォレンジック問題だ。膨大なデータの中から攻撃の痕跡を見つけ出す、根気と洞察力が求められる作業だ。

「ログを全部解析して、どういう攻撃をされたのかを解析しました。そして、その攻撃者と同じ内容を辿ってみて、最終的に攻撃されたものを復元できるとフラグが手に入るような問題でした」（養田氏）

想定外だったバイナリーエクスプロイテーションの問題では、GMOイエラエの層の厚さが発揮された。実は、GMOイエラエからは、Cloud Villageとは別に、世界最高峰とされる「DEF CON CTF本戦」にも別チームのメンバーが参加していた。渡部氏がこの問題に悩んでいると、本戦参加メンバーが来たので見てもらったところ、サクッと解いて戻っていったという。

専門分野が異なるトップエンジニアが多数在籍し、シームレスに協力できる体制が構築されていることが、この難局を乗り切るカギとなった。ちなみに、DEF CON CTF本戦に出たチーム「Blue Water」は世界2位を獲得している。

そして、競技終了までまだ時間のある2日目の午前10時頃、ついに全27問の完答を達成。最終的な合計ポイントは1万9880ポイント。運営に追加の問題がないことを確認し、この時点でGMOイエラエの優勝が確定した。

さらなる高みを目指して新たな分野への挑戦も

Cloud Village CTF 3連覇という快挙を成し遂げたGMOイエラエ。大会終了後、Cloud Villageのクロージングノートでは副賞としてPS5が贈呈され、さらにDEF CON全体のアワードセレモニーでは、巨大な会場のステージに立ち、その栄誉が称えられた。CTFで圧倒的な強さを見せつけた彼らだが、その視線はすでに未来を見据えている。

現地初参加でビレッジ全体の視察も担った養田氏は、「来年は本当にクラウドCTFに注力し、自分も力になれたらなと考えております」と意気込みを語った。

同じく初参加の水野氏も、「会場を回ってみて結構ほかにも面白そうなビレッジがあったので、今年行った経験をもとに、来年はまた別のCTFでもいい報告ができるようにしたいと思っています」と新たな分野への挑戦も視野に入れている。

経験者の強さを示した小田切氏は「来年はクラウド課だけでチャレンジするか、もしくはGMOイエラエの技術力の高い人たちがいなくても優勝できるようにしたいです」と新たな挑戦への意欲を見せた。

チームを牽引した渡部氏は、さらなる高みを目指す決意を新たにする。

「チームとして、より格の高い大会でも成果を出していきたいと思っています。自分自身も技術を磨いて、レベルの高い大会でもちゃんと貢献できるように、頑張っていきます」（渡部氏）

サイバー攻撃が高度化・複雑化する現代において、彼らホワイトハッカーの役割はますます重要になっている。CTFという競技を通じて磨かれた世界トップレベルの技術は、実社会におけるサイバーセキュリティの最前線で活かされていくだろう。チームGMOイエラエの挑戦は、これからも続いていく。

（柳谷 智宣 ： ITライター）