敵対的シミュレーションの現場では、ツールの選択と結果の読み解きに時間がかかります。オープンソースのレッドチーム基盤「VIPER」は、LLMエージェントとMCPサーバーを標準搭載し、この負担を下げる設計になっています。
この記事では、VIPERの概要とLLM連携の仕組み、商用C2ツールとの違いを整理します。
この記事でわかること
- VIPERが解決する課題と基本構成
- Pentest Agent・MCPサーバー・各種AIエージェントの役割
- v3.1.11で追加されたClaude Code連携
- 料金体系とCobalt Strikeなどとの比較
敵対的シミュレーションの課題とVIPERの位置づけ
敵対的シミュレーション(Adversary Simulation)とは、実際の攻撃者の手法を模倣して組織の防御体制を検証する活動です。ペネトレーションテストでは、偵察から権限昇格、横展開まで複数フェーズをまたぎます。各フェーズでツールのパラメータ設定や出力の解釈が必要になり、人手の負荷が積み上がります。
VIPERは、FunnyWolf氏が開発するオープンソースのレッドチーム基盤です。GitHubの説明では「Adversary simulation and Red teaming platform with AI」と位置づけられています。Docker上で動作し、Metasploit Frameworkのエクスプロイト機能に加え、100超のポストエクスプロイトモジュールを備えています。対応OSはWindows、Linux、macOSです。
公式ドキュメントでは、VIPERを「敵対的シミュレーションとレッドチーム作戦に必要なツールと機能を統合したプラットフォーム」と定義しています。MITRE ATT&CKフレームワークの全フェーズをカバーする設計で、初期侵入から横展開まで一連の攻撃シミュレーションを扱えます。
LLMエージェントが担う役割
VIPER v3.1.2(2025年4月)のリリースノートでは、「業界初のLLMエージェント統合レッドチーム基盤」として、Pentest AgentとMCPサーバーの追加が発表されました。開発者は「現時点のLLMとエンジニアリングでは完全自動化は理想にとどまる」としつつ、パラメータ入力・結果分析・次の手の提案にはエージェントが有効だと述べています。
Pentest Agent
Pentest Agentは自然言語で侵入テスト用ツールを呼び出すエージェントです。公式ドキュメントによると、対応ツールはnmap、subfinder、nuclei、wafw00f、whois、ipgeoです。
pentestgpt.aiとの比較表では、VIPER側がローカル環境での無制限実行、全ツール利用、任意モデルの選択に対応している点が示されています。pentestgpt.aiの無料版は1日2回・ツール5分制限・GPT-4のみという制約があります。
Awareness Training AgentとAnalysis Agent
v3.1.6(2025年)で、Awareness Training AgentとAnalysis Agentが追加されました。前者はフィッシングメールの文面やプリテキストの生成に使い、セキュリティ意識向上訓練のコンテンツ作成を支援します。後者はツール出力の要約や、複数ホスト・セッションにまたがる結果の相関分析を担います。
AI Agent Summary(v3.1.9)
v3.1.9ではAI Agent Summary機能が追加され、セッション情報の整理が強化されました。
MCPサーバーで外部AIクライアントと接続
MCP(Model Context Protocol)は、AIアシスタントが外部ツールを呼び出すための標準プロトコルです。VIPERは独立したMCPサーバーを内蔵し、CursorやClaude DesktopなどのMCP対応クライアントから操作できます。
公式ドキュメントに掲載されているMCPツールは、大きく3グループに分かれます。
VIPER基盤管理: セッション一覧取得、ホスト情報の参照、ルーティング設定の照会、meterpreterコマンドの実行など
ネットワークセキュリティ: nmapによるポートスキャン、subfinderによるサブドメイン列挙、nucleiによる脆弱性スキャン、wafw00fによるWAF検出、whois照会
通信: メール送信API
MCPサーバーはDockerコンテナ内でpython3.12 /root/viper/Worker/mcpserver.pyを実行して起動します。起動後、SSE形式のURLが出力され、クライアント側の設定ファイルに登録して使います。
v3.1.11のClaude Code連携
最新版v3.1.11(2026年3月31日リリース)では、Claude Codeプラグイン「viper-redteam」が追加されました。Claude Codeのプラグイン市場からhttps://github.com/FunnyWolf/viper-pluginsを追加し、環境変数VIPER_MCP_SSE_URLにMCPサーバーのURLを設定することで、Claude Code上からVIPERのMCPツールを直接呼び出せます。
開発者ノートでは、MCPがAPIとして機能を公開し、Skillがそれらを組み合わせる構造だと説明されています。内部ネットワーク侵入ではSessionがホスト上でコマンドを実行する橋渡しになるため、Session機能をMCP経由でSkillから呼び出す設計が「AI駆動の内部ネットワーク侵入の基盤」と位置づけられています。今後もMCP APIの追加が予告されています。
同バージョンでは、MCPサーバーのdocstring圧縮によるコンテキスト消費の削減とバグ修正も行われています。
プラットフォーム全体の機能
LLM連携以外にも、VIPERはレッドチーム運用に必要な機能を幅広く備えています。
- 100超のビルトインモジュール: MITRE ATT&CKの各段階をカバー
- マルチプラットフォーム対応: Windows、Linux、macOS向けインプラント
- 自動オーケストレーション: セッションイベントやスケジュールに基づく24時間監視と通知(DingTalk、Server Chanなど)
- Pythonカスタムモジュール: 専用機能の追加が可能
- 防御回避・匿名化: ハンドラーファイアウォール、多段プロキシ、ピボットグラフなど
インストールは公式のワンライナー(bash <(curl -fsSL https://viperrtp.com/install.sh))か、Docker Composeでの手動セットアップに対応しています。動作要件は空きメモリ2GB、ディスク5GB、Linuxカーネル5.x以上です。
料金と商用ツールとの比較
VIPERのコミュニティ版は無料で利用できます。公式の比較表では、Cobalt Strike(年間12,600ドル/ユーザー)、NightHawk(年間10,000ドル/ユーザー)、BruteRatel(年間3,000ドル/ユーザー)と並べられています。
| 機能 | VIPER | Cobalt Strike | NightHawk | BruteRatel |
|---|---|---|---|---|
| 対応OS | Win/Linux/macOS | Windows | Windows | Windows |
| LLMエージェント | あり | なし | なし | なし |
| カスタム拡張 | Python | CNA | なし | なし |
| 自動オーケストレーション | あり | なし | あり | なし |
| 価格 | 無料 | 有料 | 有料 | 有料 |
商用C2ツールがWindows中心に特化するのに対し、VIPERはマルチOS対応に加え、LLMエージェントとMCPサーバーを標準装備している点が大きな差です。プロフェッショナル版の詳細は公式サイトの料金ページで確認できます。
活用の前提と注意点
VIPERは攻撃シミュレーション用のツールであり、許可されたセキュリティ評価の範囲内でのみ使用する必要があります。無断での侵入テストは法律違反になります。
LLMエージェントは補助役にとどまり、完全自動化のペネトレーションテストを代替するものではありません。開発者自身がv3.1.2のリリースノートでその限界を認めています。最終判断は人間のオペレーターが行う前提で設計されています。
敵対的シミュレーションの現場でツール操作と結果分析の効率を上げたいチームにとって、VIPERはLLM連携を無料で試せる選択肢です。MCPとClaude Codeの連携は、既存のAI開発環境とレッドチーム基盤を橋渡しする方向性を示しています。