「Blue Team Labs Online」入門 - みんなで挑むログ解析バトル

Blue Team Labs Online 入門 ‒ みんなで挑む P3NFEST 2026 Spring, 2026.03.07 プリンシパルセキュリティアナリスト 林 憲明 @v_avenger

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 自己紹介 ディフェンダーの必要性 若年層はレッドチームに強い憧れ ブルーチームにはあまり関⼼を持たない 現場で必要なのは状況に応じて 役割を変化できるヒーロー 林 憲明 情報処理安全確保⽀援⼠ 第008235号 ⾼知⼯業⾼等専⾨学校 実務家教員 ©2026 Noriaki Hayashi 実際に手を動かし、痕跡をたどる経験の 獲得は困難であり、後押しが求められる 障壁を取り除き「優秀な実務家を安定的 に輩出すること」が私のライフワーク

Blue Team Labs Online入門 – みんなで挑むログ解析バトル あなたの技術を「価値」に変える倫理観 • 社会を守る力として使う • 影響力を自覚する • 「正義」は免罪符ではない • 建設的な貢献 技術は困っている⼈を助け、安全を守るためにある 技術の進歩と社会的責任を常に考え、法の範囲内で能⼒を発揮する たとえ善意でも、許可無きハッキングは処罰対象となり、社会的信⽤を失う 他者と対話し、知識を共有することで、より良い未来を作る第⼀歩になる ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 本日の進行に関する注意 • BTLO「Foxy」「MiddleMayhem」はActiveな課題です • 感想はX、Qiita/Zenn、note、ブログなどへ投稿 （ハッシュタグ：#P3NFEST） 攻略⽅法の直接的な外部公開はNGです。インターネットへの投稿はご配慮を。 写真や画⾯キャプチャなどの投稿も⼤歓迎！参加者の写りこみには配慮をお願 いいたします。林憲明はフリー素材 ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 今日は 何をする ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル タイムスケジュール（目安） 12:30 – 12:45（15分間）：冒頭説明 12:45 – 14:20（95分間）：モクモク会 14:20 – 14:30（10分間）：まとめ・Q&A 14:30 – 15:00（30分間）：休憩&ブース訪問 15:00 -：講演パート ※モクモク会中、休憩・水分補給を行ってください。 ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 本日のゴール設定 • まずは、BTLOへログイン • Activeなインベスティゲーションへの挑戦 • 競技会（CTF）形式の挑戦 • ログ解析・OSINT（公開情報検索）の基礎を習得 本番環境に影響を与えない。失敗は学びの機会！ ポイント獲得を⽬指しましょう。 競技会で使われているスコアボード（CTFd）の操作⽅法に慣れましょう。 Linux CUI（grep/awk/find/xargs）のほか、 Gnumeric（表計算ソフト）も使⽤。 腕におぼえあれば、Splunkに挑戦してください。 ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル まずは、プラットフォームへアクセス https://blueteamlabs.online/

• https://blueteamlabs.online/

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 本番環境を壊さずに、リアルな演習ができる BTLO（無料学習サービス） 出典. BTLO Foxy 仮想環境のデスクトップ ブラウザーベースの 仮想環境 Amazon EC2インスタンス 防御 ©2026 Noriaki Hayashi マインドの獲得

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 次は、スコアサーバーへアクセス

Blue Team Labs Online入門 – みんなで挑むログ解析バトル スコアサーバーの使い方 • • • ©2026 Noriaki Hayashi ヒントは上から順に開く 閲覧にはCostが必要（獲得ポイ ントのマイナス対象）な項⽬も ある 獲得ポイントは問題の難易度が ⾼いほど⾼得点

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 初心者向け vs 上級者向け ヒントを参照してサクサク進行 ノーヒント [Log][OSINT]カテゴリから 5〜10ptの13問が出題 [Log] のQ番号が低いものを順に挑戦して いきましょう。そして[OSINT]カテゴリへ [Web][Splunk]カテゴリから 5〜20ptの10問が出題 Q番号の低いものを順に。躓いたらQを スキップする戦術も重要。 ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル スコアボードで参加者の進行状況を確認 • • • ©2026 Noriaki Hayashi [スコアボード]で参加者の進⾏ 状況を確認することが可能 持ち点（160pt）を使ってヒン トを参照し、ポイントを獲得し ていく ノーヒントで全問クリアすれば 最⼤410pt獲得することが可能

Blue Team Labs Online入門 – みんなで挑むログ解析バトル Foxy シナリオを確認 1/2 インテリジェンスアナリストとして、 あなたはSOCアナリストの調査を⽀ 援し、追加の⽂脈や情報を提供する 役割を担います。 CSVファイルを開く際は、Gnumeric の使⽤を推奨します。あるいは、 exportsフォルダー内でLinuxのCLI コマンドを利⽤してください。 ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル Foxy シナリオを確認 2/2 注意 ログ解析とOSINT問題が混在 • 問題はQ1からQ16の出題 • ログ解析はQ1, 2, 6, 11, 12, 13, 14, 15の8問 • OSINT問題はQ3, 4, 5, 7, 8, 9, 10, 16の8問 • 今⽇はログ解析問題の攻略を⽬指 しましょう！ ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル ハンズオン・スタート ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 問題攻略の ヒント！ ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント0. まずはいつもの「メタデータ」を確認 $ cd Desktop/ThreatFox\ Exports/ $ ls $ file full_urls.csv $ head full_urls.csv • 「ThreatFox Exports」フォルダーにはどんなファイルが保管されて いますか。 • 保管されているそれぞれのメタデータ（ファイル形式）を確認 • ファイルの先頭（head）・末尾（tail）からログの書式を確認 ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント1. Q1は検索パターンを検討する ~/Desktop/ThreatFox Exports$ cat -n full_urls.csv | grep 45.63.126.199/dot.gif • cat ‒nオプションを指定し、⾏番号を表⽰ • grepコマンドで指定したパターンを含む⾏を表⽰ ※ここで検索すべきパターンは3台の内部ホストが接続したURL ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル

ヒント2（1/2）. Q2はすべてのCSVが調査対象
• 複数のCSVファイルから特定のパターンを含む⾏数を検索するには
どうすればよいか（複数回の実⾏？）
• 得られた結果を加算するにはどうすればよいか（電卓の使⽤？）
• grepコマンドのオプションを確認（-c: ⼀致する回数のみ表⽰,
-E: 検索に拡張正規表現をしよう, -v: パターンに位置しない⾏を表⽰）
• xargs（エックス アーグス）コマンドで標準⼊⼒から読み込んだ⽂
字列を、後続コマンドの引数として渡すことができる
• ワンライナーでの解答を⽬指そう！
• awkコマンドを使えば計算ができる！（2列⽬をすべて加算したい）
※| awk -F: '{sum += $2} END {print sum}'

©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント2（2/2）. Q2はすべてのCSVが調査対象 コマンドは常に” ThreatFox Exports”フォルダー内で実⾏ $ pwd $ find . -type f -name '*.csv' -print0 | xargs -0 grep -c 'dot.gif' $ grep -c 'dot.gif' *.csv | awk -F: '{sum += $2} END {print sum}' ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント14（1/2）. CUIでの解法を諦めました… full_urls.csv - Gnumeric =COUNTIF(J:J,"100”) 範囲 [confidence_level]列 ©2026 Noriaki Hayashi 条件 信頼度が”100”と等しい

Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント14（2/2）. CUI解法を教えてもらいました $ awk -F ', ' ' $10 ~ /100/' full_urls.csv | wc -l ●「カンマ＋半⾓スペース」で1列を区切る、形式の CSV を 想定しています。 ● 「10列⽬の⽂字列が 100 を含む⾏だけ出⼒する」の表現 ・$10 は「10番⽬の列」を指定 ・~ は「正規表現にマッチするか」の演算⼦ ・/100/ は「⽂字列 100 を含むか」という正規表現 ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル ＼おつかれさまでした！／ 是非、感想を お待ちしております！ X, Qiita/Zenn, note, ブログ ハッシュタグ #P3NFEST #StayVigilant ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル シンプルに 集中する ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 情熱をもって取り組めることを実践する 出典：『実践サイバーセキュリティ⼊⾨講座 現場に残された痕跡からハッカーの攻撃を暴け』 P. 343 Chapter 8, 図 8.1 WILL・CAN・MUSTフレームワーク ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル Q&A ©2026 Noriaki Hayashi

Blue Team Labs Online入門 – みんなで挑むログ解析バトル 『実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け』 ITエンジニア本大賞 2026 技術書部門 ベスト10 入賞！ ¥3,080 税込 376P ／ ISBN 978-4815634254 Kindle版あります。 SBクリエイティブ株式会社