CyberChefとは?
CyberChef(サイバーシェフ) ― 通称「サイバー界のスイスアーミーナイフ」― は、入力データを一連の手順(レシピ)に基づいて変換・操作できるウェブベースのユーティリティです。
サイバーセキュリティアナリストや研究者、セキュリティ愛好家など、幅広い層に利用されています。
各手順(ステップ)は「オペレーション(操作)」として定義され、入力に対して処理を行い、その結果を出力として生成します。
このツールは英国の情報機関 GCHQ(Government Communications Headquarters) によって開発され、その後オープンソース化され、現在は GitHub 上で公開されています。
CyberChefが対応する主な処理分野
-
暗号化(Encryption)
-
エンコード(Encoding)
-
ネットワーク関連処理(Networking)
-
データ抽出(Data Extraction)
-
圧縮/展開(Compression)
 |
| CyberChefで利用できる主要なオペレーションカテゴリ |
代表的なCyberChefの操作例
-
Base64のエンコード/デコード
-
16進(Hex)形式との相互変換
-
正規表現の適用
-
文字列の操作
-
ドメイン名の抽出
-
IPアドレスの抽出
本記事では、CyberChefの概要、代表的な機能、および実際に「レシピ」を使った処理の流れを紹介します。
CyberChefの使い方
CyberChefのWebツールは、アナリストが操作する5つの主要セクションで構成されています。
-
Operations(オペレーション)
-
Recipe(レシピ)
-
Input(入力)
-
Output(出力)
-
Bake(実行)
各セクションの概要
CyberChefのWeb UIはこれらのセクションに分かれています。
左側のナビゲーションバーには利用可能なすべての「オペレーション(操作)」が表示されます。
中央の「レシピ」エリアには、入力データに対して実行される一連の操作がまとめられます。
右上の「入力」エリアには解析対象のデータを配置し、
右下の「出力」エリアには処理後の結果が表示されます。
そして下部の「Bake」ボタンを押すことで、レシピが実行されます。
 |
| CyberChefのWeb UIを構成する5つのセクション |
Operations(オペレーション)
左側にあるオペレーションリストには、CyberChefがサポートしているすべての操作が並んでいます。
任意の操作をダブルクリックするか、ドラッグ&ドロップで「レシピ」セクションに追加できます。
Recipe(レシピ)
レシピセクションには、追加した操作が順番に積み重なって表示されます。
各操作は前の結果に対して処理を行うため、複数のオペレーションを組み合わせることで高度なデータ変換が可能になります。
このセクションには、レシピの保存および読み込みボタンがあり、作成したレシピを他の環境で再利用できます。
レシピは JSON形式 または Chef形式 のどちらかで保存でき、共有リンクも生成可能です。
 |
| CyberChefのレシピ保存ダイアログ |
保存済みのレシピは、他のCyberChefインスタンスに読み込むことで、手動で各オペレーションを再設定することなく再現できます。
Operation Control(操作制御)
各オペレーションの右上には、無効化(Disable) と ブレークポイント(Breakpoint) の切り替えボタンがあります。
 |
| 各オペレーションの右上にある制御ボタン |
-
無効化:レシピ実行時にその操作をスキップします。
-
ブレークポイント:指定箇所で実行を一時停止します。
ブレークポイントは、どの操作で入力がどのように変化するかを段階的に確認する際に有効です。
Input(入力)
「入力」セクションでは、解析したいファイルをアップロードするか、テキストを直接貼り付けて使用します。
複数の入力を用意して、同じレシピで処理することも可能です。
Output(出力)
「出力」セクションには、すべてのオペレーションを実行した後の結果が表示されます。
結果はファイルとして保存することも、クリップボードにコピーすることもできます。
特に、shellcode のようなバイナリデータを扱う場合には、
ファイルとして保存して Speakeasy や BlobRunner といった解析ツールでさらに分析するのが便利です。
Bake(実行)
「Bake」セクションでは、レシピを実行して入力データに変換処理を適用します。
「Auto Bake」機能を有効にしておくと、操作を追加・変更するたびに自動的にレシピが実行されます。
便利なオペレーション(Useful Operations)
CyberChefには、アナリストが頻繁に利用する便利なオペレーションがいくつかあります。
 |
| 日常的に利用する代表的なオペレーション |
🔮 Magic(マジック)
「Magic」オペレーションは、入力データの内容を解析し、どのオペレーションを使用すればよいかをCyberChefが自動で提案してくれる機能です。
入力されたコードやデータの特徴をもとに、最適と思われる操作を推奨します。
この機能は、分析の方向性に迷ったときに特に役立ちます。
推奨結果を参考にすることで、次に取るべきアクションのヒントや新たな発見につながることがあります。
✂️ Subsection(サブセクション)
「Subsection」オペレーションは、入力データの一部だけを選択して、次のオペレーションをその部分に限定して実行する機能です。
これにより、入力全体を変更することなく、特定の部分だけに処理を適用できます。
サブセクションは正規表現(Regex)を用いて、どの範囲のデータを対象にするかを指定します。
 |
| Base64でエンコードされたデータ(15文字以上)を抽出し、部分的にデコードを行う例 |
たとえば、「Balada InjectorのスクリプトからIoCを抽出する」セクション(後述)では、
Base64形式のデータ部分だけを対象にして「From Base64」オペレーションを実行し、スクリプトを正しく復号しています。
サブセクションを定義すると、その後のすべての操作はサブセクションに対してのみ適用され、「Merge」オペレーションを実行するまでその状態が維持されます。
💾 Register(レジスター)
「Register」オペレーションは、入力データの一部を変数として保存し、他のオペレーションで再利用できるようにする機能です。
保存対象のデータは正規表現を使って抽出され、後続処理の中で参照できます。
この機能は、複雑なレシピを作る際に、データの一時的な保持や条件付き処理に役立ちます。
🧩 Extract(抽出)
「Extract」オペレーション群は、入力テキストから有用な情報を自動的に検出・表示する機能です。
大量のデータの中から特定のパターンを見つけたいときに非常に有効です。
現在CyberChefでサポートされている代表的な抽出系オペレーションは以下の通りです。
| オペレーション名 | 説明 |
|---|---|
| Extract EXIF | 画像ファイル内に埋め込まれたEXIFメタデータを表示 |
| Extract URLs | テキスト内のURLを抽出(プロトコル指定が必要) |
| Extract Files | 入力データ内からファイルを抽出 |
| Extract Hashes | 文字列長からハッシュ値と推定されるデータを抽出 |
| Extract Domains | 完全修飾ドメイン名(FQDN)を抽出 |
| Extract File Paths | WindowsまたはUnix形式のファイルパスを抽出 |
| Extract IP Addresses | IPv4およびIPv6アドレスを抽出 |
追加リソースと関連ブログ
多くの研究者が、CyberChef を活用した分析手法を共有しています。
これらの資料では、Cobalt Strike などのマルウェアローダーの難読化を解除する手法や、暗号レシピを活用したコンテンツ復号化の実例などが詳しく紹介されています。
CyberChef を応用した高度な分析事例や着想を得たい場合は、以下のブログや資料が参考になります。
🔍 関連ブログ・参考資料一覧
-
Advanced CyberChef Tips: AsyncRAT Loader
(Huntress)
CyberChefを使ったAsyncRATローダー解析の応用テクニック
👉 https://www.huntress.com/blog/advanced-cyberchef-tips-asyncrat-loader -
Cobalt Strike Loader Deobfuscation Using CyberChef and Emulation (.hta files)
(Embee Research)
HTAローダーのデオブスク化とエミュレーションによる解析手順
👉 https://www.embeeresearch.io/malware-analysis-decoding-a-simple-hta-loader/ -
Advanced CyberChef Techniques for Configuration Extraction — Detailed Walkthrough and Examples
(Embee Research)
設定情報抽出に特化したCyberChefの上級テクニック
👉 https://www.embeeresearch.io/advanced-cyberchef-operations-netsupport/ -
Strings Analysis: VBA & Excel4 Maldoc
(SANS Internet Storm Center)
VBA/Excel4マルドック(悪意あるOffice文書)の文字列解析手法
👉 https://isc.sans.edu/diary/Strings+Analysis%3A+VBA+%26+Excel4+Maldoc/27872 -
Cybersecurity Zero to Hero with CyberChef
(Jonathan Glass)
CyberChefの基礎から応用までを網羅したPDF形式の講義資料
👉 https://www.osdfcon.org/presentations/2019/Jonathan-Glass_Cybersecurity-Zero-to-Hero-With-CyberChef.pdf
🎤 セキュリティカンファレンスでの紹介
CyberChef は複数のセキュリティカンファレンスでも紹介されています。
特に BSidesCharm 2022 での Marcelle Lee 氏による講演は、CyberChef のナビゲーション方法を分かりやすく解説しており、初心者に最適です。
発表資料では、実際に試せるサンプルレシピも公開されています。
この章で紹介された資料を読み進めると、CyberChef を単なるデコーダーではなく、「可視化・変換・抽出を統合した分析環境」として使いこなすための視点が得られるでしょう。
まとめ:CyberChefで“データの料理人”になろう
CyberChefは、単なるツールではなく「データを料理するためのキッチン」です。
暗号・解析・デコード・抽出といった複雑な処理を、ドラッグ&ドロップで直感的に実行できることが最大の魅力です。
今回紹介したように、
-
文字列のエンコードやデコード
-
Base64や正規表現を使った解析
-
難読化スクリプトの復号
-
URLやドメインの抽出・デファング
といった作業を組み合わせることで、マルウェア解析からログ調査、データ整形まで幅広く活用できます。
セキュリティ調査やインシデント対応の現場ではもちろん、日常的なデータ処理の効率化にも役立つツールです。
ぜひ今回のガイドを参考に、CyberChefの「レシピ」を自分なりにカスタマイズしてみてください。
きっと“分析の味”が一段と深まるはずです。
