【前編】「DEF CON 33」 CTFの舞台裏|「Takumi byGMO」が証明したAIの実戦力

世界最大級のセキュリティカンファレンス「DEF CON 」。
今年もGMOインターネットグループからは、「DEF CON CTF Finals」、「AppSec Village CTF」、「Hardware Hacking Village」、「Cloud Village CTF」、といった4種類の国際ハッキングコンテスト(以下、CTF)に、GMOサイバーセキュリティ byイエラエ・GMO Flatt Securityから出場し、世界の舞台で技術力を証明しました。
本インタビューでは、前編でGMO Flatt Securityが挑んだ“人とAIのそれぞれの戦い方”に焦点をあて、後編ではGMOサイバーセキュリティ byイエラエの「GMOイエラエ」/「Blue Water」チームによる視点の異なる挑戦を紹介します。
勝利の鍵となった技術、連携、実務への還元まで──リアルな挑戦の舞台裏をお届けします。

はじめに

2025年8月、アメリカ・ラスベガスで開催された「DEF CON 33」は、世界中のセキュリティエンジニアや研究者が集う一大イベントです。

その中でも、アプリケーションセキュリティに特化したCTFである「AppSec Village CTF」に、GMO Flatt Securityから梅内・滝上の2名と、AIエージェント「Takumi byGMO」(操作者:米内)が個人エントリーで挑みました。

人間とAI、それぞれが異なる視点とスキルで同じ競技に参加するという、新たなチャレンジ。

本インタビュー記事では、実務にも通じる課題をどう乗り越えたのか──GMO Flatt Securityのメンバーの声から紐解いていきます。

インタビュー参加者紹介

米内 貴志|GMO Flatt Security 取締役 CTO 

2019年に入社。2021年6月にCTOに就任以後、同社にて製品セキュリティに関するソリューションの研究開発を牽引する。その他、サイバーセキュリティ国際会議「CODE BLUE 2024」レビューボード、サイバーセキュリティ競技「International Cybersecurity Challenge 2023」アジア代表チームキャプテン等を歴任。著書に『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』(2021年、ラムダノート社)等。

梅内 翼|GMO Flatt Security セキュリティエンジニア

GMO Flatt Security ソフトウェアエンジニア。Webアプリケーションや Firebase 等のセキュリティ診断、セキュリティ診断プラットフォームの開発、漫画・ドラマ『トリリオンゲーム』の技術監修等に携わった後、ソフトウェアエンジニアとして 「Shisho Cloud byGMO」 の Web アプリケーションセキュリティ診断機能の開発に従事。セキュリティ・キャンプ全国大会2019 修了。著書に『詳解セキュリティコンテスト CTFで学ぶ脆弱性攻略の技術』(マイナビ出版)がある。

滝上 耕平|GMO Flatt Security セキュリティエンジニア

GMO Flatt Security セキュリティエンジニア。2025年3月に奈良先端科学技術大学院大学を卒業し、2025年4月に新卒入社。現在はWebアプリケーション等のセキュリティ診断に従事。

「DEF CON 33」とは?

「DEF CON 33」は、世界中のホワイトハッカーや研究者が集う、世界最大級のセキュリティカンファレンスです。
毎年8月にアメリカ・ラスベガスで開催され、サイバーセキュリティに関する情報交換やハッキング技術の発表、CTFと呼ばれるサイバーセキュリティの技術を競うコンテストなどが行われ、サイバーセキュリティ業界内で最も重要で影響力のあるイベントの一つとされています。

<開催概要>

  • 日程:2025年8月7日〜10日
  • 会場:Las Vegas Convention Center West Hall
  • 参加者:数万人規模
  • 主な内容:CTF(本戦・Village)、50以上の専門ブース、技術展示、講演など
  • 公式サイト:https://defcon.org/

「DEF CON 33」CTF出場の背景と参加体制

Q. 今回、「DEF CON 33」のVillageで行われるCTFに出場された背景を教えてください。

米内

昨年の「AppSec Village CTF」優勝が一つの区切りとなり、「今年も出ようか」という流れになりました。特に梅内の2連覇を支援したい気持ちもあり、自分たちの実力を改めて試したいという思いがあったんです。

Q. チームではなく個人で出場されたとのことですが、どのような体制でしたか?

米内

はい、今回は全員が個人エントリーで参加しました。現地参加は滝上、オンライン参加は梅内、そしてAIエージェント「Takumi byGMO」は私が操作者として参加しました。つまり、人間とAIが別々に戦うという独特な形でした。

Q. 出場前の準備にはどのようなことをされましたか?

梅内

 AIエージェント関連のコードは更新されていたので、それをどう活用するかが鍵でした。個人参加でしたが、GMO Flatt Securityのメンバー同士で共有しながら準備を進めました。

滝上

 私は入社3~4ヶ月目のタイミングで参加しましたが、業務に近しい内容だったこともあり、初参加でも安心して踏み出せました。現地の雰囲気は想像以上に刺激的で、得るものが非常に多い経験でした。

社内の支援制度を活用し、CTF出場者の滝上さんを含む若手メンバーが「DEF CON 33」現地に参加した際の集合写真。

悔しさも収穫も。「AppSec Village CTF」3位入賞で見えたもの

Q. 90人規模の「AppSec Village CTF」で3位入賞という好成績でしたが、この結果をどう受け止めていますか?

梅内

1位を狙っていたので悔しさはあります。1日目は業務に近い問題でペース良く進みましたが、2日目以降、なじみのない言語やフレームワークの問題が増えて順位を落としてしまったのが響いたと思います。

米内

梅内のスピードは素晴らしかったです。1日目の問題はすべてクリアしていましたし、AIを活用するなど効率的でした。「まさに化け物だな」と思うほどでした。

梅内

でも、起きたら6位に下がっていてびっくりしました(笑)。2日目で問題数が増えたのが要因だと思います。

1位を狙っていただけに悔しさもありつつ、前向きに振り返る梅内さん

Q. 「AppSec Village CTF」の難易度や問題の傾向はいかがでしたか?

梅内

 普段使わない言語やフレームワークも出てきたので、得点が取りづらかった部分はあります。ただ、問題自体は実務に近い構成が多く、技術的に学びのある内容でした。

Q. 印象に残った問題があれば教えてください。

梅内

自分で修正したアプリを他プレイヤーに攻撃される問題が特に印象的でした。「直した」と思っていても、詰めが甘いと脆弱性が残ってしまう。そのリアルさがすごく面白かったです。

滝上

業務で使う「OAuth」※1の問題が出て、実務経験が活きた実感がありました。ちゃんと解けたときは安心感と達成感が両方あって、挑戦してよかったと感じました。

※1「OAuth」は複数のサービス間で連携するための仕組み

米内

「BrokenAuth.api」というタイトルの問題も異色でした。特筆すべき脆弱性があるわけではなく、どう認証機能をさらに安全にできるかを問う内容で、これはCTFとしてはユニークな形式です。非常に実務に近いと思いました。

Q. 未経験の分野や高度な技術課題に挑む上で、AIはどのように役立ちましたか?

梅内

慣れない技術に対応する難しさはありましたが、AIを使えば即座に補助が得られる場面が多かったです。

米内

今回のコンテストはAI前提で進められていた印象があります。ブロックチェーンやスマートコントラクトに関する問題など、未知の領域にもAIがあるおかげで挑戦できました。

梅内

一般的なプログラミング言語を使用したものは簡単ですが、マイナーなもの・複雑なフレームワークを用いられているものは簡単には解けないので、十分に準備していきたいですね。また、我々としても「Takumi byGMO」を開発しているところもあるので、難易度の高い複雑な脆弱性にも対応できるようなAIを開発していきたいと考えています。

滝上

まだ入社して数カ月ではありますが、現場での業務での経験が活きているなと実感しました。そうはいっても、米内・梅内には及ばない結果となったので、もっと頑張ってこれからも学習を続けていきたいですね。

会場の熱気の中、真剣にCTFへ取り組む滝上さん

米内

「AppSec Village CTF」は、脆弱性を探すだけでなく、直して提出することでようやく点が得られる仕組みになっています。我々の仕事でも、単に脆弱性を探すだけではなく、どう安全にしていくかをお客様にご支援することが求められます。このようなスキルを日々の業務の中で磨いていくことは、そのまま今回のようなCTFの挑戦にもつながっていきます。そういった意味でも、滝上には今後も業務を通じて着実に研鑽を重ねていってもらえると良いと感じています。

AIエージェント「Takumi byGMO」が見せた実戦力

Q. 今回、「Takumi byGMO」を「AppSec Village CTF」出場させた狙いや手応えについて教えてください。

米内

「DEF CON」では近年、AIと人間が技術的に競い合う場面がどんどん増えています。その流れの中で、私たちのAIエージェント「Takumi byGMO」がどこまで通用するのかを、一度確かめてみたいと思ったんです。それが、今回出場を決めた一番の理由ですね。

CTF挑戦への思いを真剣に語る米内さん

滝上

現地でも、梅内と「Takumi byGMO」が問題を解くスピードの速さはかなり目立っていて、「AppSec Village CTF」の会場内で声をかけられることもありました。

米内

実際、「Takumi byGMO」は今回、最高で2位まで食い込む活躍を見せてくれて、「見つける」力については、実戦でも十分通用するという手応えがありました。一方で、「直す」力やそのスピードにはまだ課題が残っていて、今後の改善ポイントだと感じています。

梅内

AIはこれから確実に伸びていく領域だと思いますが、やはり「発想」や「文脈理解」など、人間が得意とする部分もまだまだ多いです。これからは、お互いを補い合いながら、共に進化していく関係が理想だなと感じました。

「Takumi byGMO」とは?

Takumi byGMO」はGMO Flatt Securityが開発した、セキュリティ業務に特化したAIエージェントです。Slack上でセキュリティレビューを依頼するように簡便に利用でき、静的解析ツール(SAST)では検出が難しい潜在的な脆弱性も高精度で検知します。既にVimなど著名OSSにおいて10件以上のゼロデイ脆弱性を報告しており、その有効性は実証済みです。OSS開発の初期段階でセキュリティレビューを実施することで、開発工数を抑えつつ、セキュリティ品質の向上に貢献します。 ユーザーは、「Takumi byGMO」をSlackワークスペースに追加すると、同僚のセキュリティエンジニアに仕事を依頼するように、ソフトウェア実装や設計のセキュリティレビューなどを受けることができます。

現地・オンライン参加の違い

Q. 現地とオンライン、参加スタイルによる違いはありましたか?

滝上

現地の熱気は圧倒的でした。運営や他の参加者との自然な交流もあり、他のVillageでは順位をリアルタイムで放送する演出もあったり、臨場感が段違いでしたね。

梅内

オンライン参加は時差との戦いでした(笑)。真夜中に問題が出されることもあり、生活リズムを維持するのが大変でした。現地参加のほうが集中できますね。

熱気にあふれる現地会場で、参加者たちは真剣な表情でCTFに臨んでいた

業務・プロダクトへの還元

Q. 今回のCTFで得た知見や学びは、どのように社内の業務・プロダクトに還元されていますか?

米内

今回のCTF参加を通じて浮き彫りになった課題をもとに、処理速度の改善や修正機能の拡充を進めており、今後は「Takumi byGMO」単独でのCTF挑戦も視野に入れています。また、得られた気づきや知見は、すでに社内プロダクトにも即時に反映しています。こうした現場での気づきをすぐに業務に反映できるこの循環が、プロダクトの成長に大きく寄与していると感じます。

滝上

今回のCTFでは、ブロックチェーンのような未経験の分野にも触れることになり、「知らない」では通用しない世界だということを強く実感しました。技術の変化は速いですし、日々の実務にどう落とし込んでいくかを考えながら、常に学び続ける姿勢が大事だと改めて感じました。

社内支援が後押しした現地参加

米内

渡航費や宿泊費、現地での環境整備など全面的なサポートのおかげで集中できました。「Takumi byGMO」が現場で評価される嬉しさもあり、「No.1の方向に進めている」と実感できる場でした。

滝上

世界規模の大会に安全に参加できる環境は本当に貴重です。個人と会社双方の成長につながる体制だと感じました。

Q. 今後、この制度にどんな支援を期待しますか?

滝上

今回の体験を活かし、継続的に制度が続くと嬉しいです。個人の成長と会社の文化醸成に寄与する取り組みだと思います。

米内

今後はAI活用が前提となるコンテストも増えると思います。AIに関する支援体制の拡充も重要ですね。

経験が育てた視野と、これからの挑戦

Q. CTFやセキュリティに関心のある方へ、経験者として伝えたいことはありますか?また、今後ご自身が挑戦していきたいことがあれば教えてください。

梅内

CTFが業務に直結するかは個人差がありますが、多様な知識に触れられる学びの場です。「Takumi byGMO」のようなAIとの共演を通じ、エンジニアとしての視野も広がりました。まずは「楽しむ」気持ちで参加してみてください。

滝上

CTFは、自分の視野や興味を広げる第一歩になります。ぜひ一度参加して、自分の可能性を発見してほしいです。

米内

AIをCTFに出場させたり、セキュリティエンジニアが世界大会に挑む支援体制を持つ会社は珍しいと思います。そのような環境があったからこそ、滝上や梅内のような挑戦が実を結ぶと考えていますし、今後もこの文化を大切に育てていきたい。セキュリティやAIに興味がある方、ぜひ一緒に挑戦しましょう。そして、よければ一緒に働きましょう!(笑)

「GMOハッキングコンテスト(CTF)参加応援プログラム」とは?

GMOインターネットグループでは、CTFに挑戦するホワイトハッカーを支援するため、「GMOハッキングコンテスト(CTF)参加応援プログラム」を実施しています。遠征費の補助や競技環境の向上、インセンティブの支給など、多方面から挑戦を後押ししています。
CTFは単なる競技ではなく、実戦に近い環境でホワイトハッカーの技術を鍛え、社会に還元する貴重な機会です。攻撃者視点で先を読み、リアルタイムに対応する力は、セキュリティ診断やプロダクト開発にも直結しています。
また、若手ホワイトハッカーが世界に挑戦し、成長することは、日本全体の技術力向上にもつながると私たちは考えています。
GMOインターネットグループは、No.1を追求するホワイトハッカーの挑戦を全力で支援します。

🌐 GMOインターネットグループのセキュリティ事業について詳しく見る

<GMO Flatt Security 採用情報>
GMO Flatt Securityでは、セキュリティの最前線でともに成長していける仲間を募集しています。
🌐 GMO Flatt Security 採用情報はこちら

ブログの著者欄

若林 里奈

GMOインターネットグループ株式会社

グループ広報部技術広報チーム所属。グループ横断の開発者向け情報発信に従事しています。

採用情報

関連記事

KEYWORD

TAG

もっとタグを見る

採用情報

SNS FOLLOW

GMOインターネットグループのSNSをフォローして最新情報をチェック