Open4ヶ月前にコメント追加15

CompTIA PenTest+ 学習メモ

ペネトレーションテスト

参考文献

※ 2025-04-30 時点

 CompTIA PenTest+ 認定資格 試験出題範囲※ 試験番号：PT0-002
https://www.comptia.jp/pdf/CompTIA PenTest+ PT0-002 Exam Objectives (7.0)_JA.pdf

1.0 計画とスコープ

 ガバナンス、リスク、コンプライアンスの概念を比較対照することができる。

 🔐 規制コンプライアンスの考慮事項

 ✅ Payment Card Industry データセキュリティ基準（PCI DSS）

概要: クレジットカード情報を保護するための国際的なセキュリティ標準。

対象: クレジットカードを扱う全ての企業。

要件例: ファイアウォールの使用、カード情報の暗号化、アクセス制御の導入など。

 ✅ 一般データ保護規則（GDPR: General Data Protection Regulation）

概要: EU（欧州連合）内の個人データ保護法。

特徴: 同意の取得、データ主体の権利、データ漏洩通知の義務など。

対象: EU域内の個人に関するデータを扱う全世界の企業。

 🌍 ロケーション制限

 ✅ 国ごとの制限
各国によって異なる法律があり、データの保存・送信に制約がある（例：データローカライゼーション）。

 ✅ ツールの制限
特定の国ではセキュリティツールの使用や輸出が制限されていることがある（例：暗号技術に関する規制）。

 ✅ 現地の法律
サイバー攻撃の実施やツールの所持が違法とされる国もある。現地の法規制に注意が必要。

 ✅ 現地行政当局の要件
認可・許可制、報告義務など、ペンテストを実施するには現地機関の承認が必要な場合がある。

 ✅ プライバシー要件
住民や従業員の個人データを扱う際の法的・倫理的配慮が求められる（例：通知義務、同意取得など）。

 ⚖️ 法的概念

 ✅ サービスレベルアグリーメント（SLA: Service Level Agreement）
クライアントとベンダー間の合意書。サービス提供内容や品質、応答時間などを定義する。

 ✅ 機密性（Confidentiality）
情報を許可された者のみに開示する原則。第三者への漏洩を防ぐための管理策が必要。

 ✅ 作業範囲記述書（SOW: Statement of Work）
プロジェクトの作業内容・範囲・期間・成果物などを明記する文書。

 ✅ 秘密保持契約（NDA: Non-Disclosure Agreement）
契約当事者間で情報の漏洩を防ぐために結ばれる法的合意。

 ✅ マスターサービス契約書（MSA: Master Service Agreement）
包括的な契約で、個別のSOWや業務委託の土台となる基本契約。期間、責任、価格などを定義。

 🎯 攻撃許可

攻撃許可（Rules of Engagement）: ペンテストで実施できる行動範囲を定義した文書。
許可された攻撃手法
時間帯
影響を避ける対象システム
緊急時の連絡手段 など

 1.2 スコープ、組織/顧客要件の重要性
 標準および手法
 MITRE ATT&CKMITRE ATT&CKは、実際の攻撃者の戦術・技術・手順（TTPs）をマッピングしたフレームワークです。ペネトレーションテスターがリアルな脅威アクターの行動を模倣するために参照する重要なリソースとなります。攻撃者の行動パターンを体系化することで、効果的な防御戦略の構築に役立ちます。

 Open Web Application Security Project (OWASP)OWASPはウェブアプリケーションセキュリティに特化した非営利団体で、「OWASP Top 10」などのリソースを提供しています。ウェブアプリケーションの最も重要な脆弱性とその対策についての情報を提供し、ペネトレーションテストの際の重要なチェックリストとなります。

 National Institute of Standards and Technology (NIST)NISTはアメリカ国立標準技術研究所で、様々なセキュリティフレームワークやガイドラインを提供しています。特にSP 800シリーズはセキュリティに関する重要な参考文献であり、ペネトレーションテストの計画や実行の際の基準となります。

 Open-source Security Testing Methodology Manual (OSSTMM)OSTMMは、セキュリティテストの包括的な手法を提供するマニュアルです。実際の運用環境におけるセキュリティテストのプロセスを標準化し、一貫性のある結果を得るためのフレームワークを提供します。

 Penetration Testing Execution Standard (PTES)PTESはペネトレーションテストの実施に関する標準的な手法を提供します。情報収集から報告書作成までの7つのフェーズを定義しており、包括的なペネトレーションテストの実施に役立ちます。

 Information Systems Security Assessment Framework (ISSAF)ISSAFはシステムのセキュリティ評価を行うための構造化されたフレームワークです。計画、評価、報告、改善の各フェーズを網羅し、組織のセキュリティ状態を包括的に評価するための指針を提供します。

 エンゲージメント・ルール
 時間帯ペネトレーションテストを実施する時間帯の制約です。業務時間内のみ、または業務時間外のみテストを行う、などの制限があります。適切な時間帯の設定は、ビジネスへの影響を最小限に抑えつつ、効果的なテストを行うために重要です。

 許可/禁止されているテストのタイプクライアントが許可または禁止している特定のテスト手法や攻撃手法を指します。DoS攻撃の禁止、ソーシャルエンジニアリングの制限、実際のエクスプロイトの実行可否などが含まれます。これらの制約はテスト範囲を明確にし、意図しない損害を防止します。

 その他の制限特定のシステムやデータに対するテスト制限、使用可能なツールの制約、報告書の形式要件など、その他のエンゲージメントに関する制約事項です。こうした制限はテストの範囲と方法を明確にし、法的・倫理的な問題を回避するために重要です。

 環境に関する考慮事項
 ネットワークテスト対象のネットワークインフラストラクチャに関する考慮事項です。ネットワークトポロジ、セグメンテーション、ファイアウォール、IDS/IPSの存在、VPN接続などの情報が含まれます。ネットワーク環境の理解はテスト戦略策定の基礎となります。

 アプリケーションテスト対象のアプリケーションに関する考慮事項です。ウェブアプリケーション、モバイルアプリ、APIなどの種類、使用している技術スタック、認証メカニズムなどの情報が含まれます。アプリケーションの特性に応じたテスト手法の選択が必要です。

 クラウドクラウド環境に関する考慮事項です。AWS、Azure、GCPなどのプラットフォーム、IaaS/PaaS/SaaSのサービスモデル、クラウド固有のセキュリティ設定などが含まれます。クラウド環境では従来とは異なるセキュリティモデルとテスト手法が必要になります。

 対象リスト/スコープ内のアセット
 ワイヤレスネットワークテスト対象となるワイヤレスネットワークです。Wi-Fi、Bluetooth、ZigBeeなどの無線通信技術、アクセスポイント、認証方式などが含まれます。ワイヤレスネットワークは独自の脆弱性を持つため、専用のテスト手法が必要です。

 インターネットプロトコル(IP)スキームテスト対象のIPアドレス範囲やサブネットに関する情報です。組織のIPアドレス割り当て、ネットワークセグメンテーション、ルーティング設定などが含まれます。IPスキームの理解はスコープ内のシステムを正確に識別するために重要です。

 ドメインテスト対象となるドメイン名です。組織が所有または使用しているドメイン名、サブドメイン、関連するDNS設定などが含まれます。ドメイン情報はウェブベースの攻撃経路を特定するために重要です。

 アプリケーションプログラミングインタフェース(API)APIはアプリケーション間の通信を可能にするインターフェースです。RESTful API、SOAP API、GraphQL APIなどの種類、認証メカニズム、エンドポイント情報などが含まれます。APIは多くの現代的なアプリケーションの重要な構成要素であり、独自のセキュリティテスト手法が必要です。

 物理的な場所テスト対象の物理的な施設やロケーションです。オフィスビル、データセンター、リモート拠点などが含まれます。物理的セキュリティのテストでは、施設へのアクセス制御、監視システム、セキュリティ対策などが評価されます。

 ドメインネームシステム(DNS)DNSインフラストラクチャに関する情報です。DNSサーバー、ゾーン設定、レコードタイプなどが含まれます。DNSは組織のネットワークインフラの重要な部分であり、情報漏洩や攻撃経路となる可能性があります。

 外部ターゲットと内部ターゲット外部から到達可能なシステム（ウェブサーバー、メールサーバーなど）と内部ネットワーク上のシステム（内部アプリケーション、データベースなど）の区別です。外部と内部では異なるセキュリティモデルと攻撃手法が適用されます。

 当事者でのホストと第三者でのホスト組織が直接管理するシステム（当事者ホスト）と、サードパーティによって管理されるシステム（第三者ホスト）の区別です。第三者ホストのテストには追加の許可や制限が必要となる場合があります。

 エンゲージメントスコープの検証
 クライアントへの質問/契約の見直しテスト範囲や制約を明確にするためのクライアントとのコミュニケーションです。スコープ、制限事項、期待される成果物などを確認し、誤解を防止します。明確な契約条件はエンゲージメントの成功に不可欠です。

 時間管理テスト活動のスケジュールと時間配分です。各フェーズに適切な時間を割り当て、期限内に効果的なテストを完了させるための計画が含まれます。時間管理はリソースの効率的な活用と期限の遵守に重要です。

 戦略テストアプローチの全体的な計画です。目標、方法論、優先順位、リソース配分などが含まれます。効果的な戦略はテストの効率性と有効性を最大化します。

 未知の環境と既知の環境のテストテスター自身が詳細を知らない環境（ブラックボックステスト）と、事前に情報を得ている環境（ホワイトボックステスト）のテスト手法の違いです。それぞれのアプローチには異なる技術と考慮事項が必要となります。

 1.3 与えられたシナリオに基づいて、プロフェッショナリズムと完全性を維持することによって、倫理的ハッキングマインドセットを実証することができる。
 ペネトレーションテストチームのバックグラウンドチェックペネトレーションテストチームのメンバーは、クライアント組織の最も機密性の高いシステムやデータにアクセスする可能性があるため、適切なバックグラウンドチェックが不可欠です。これには以下が含まれます：

犯罪歴の確認: 過去の犯罪記録、特にサイバー犯罪の有無

資格と経験の検証: セキュリティ関連の資格や職歴の確認

人格評価: 倫理観や誠実さの評価

セキュリティクリアランス: 政府機関や重要インフラのテストでは特に重要
バックグラウンドチェックは、テスト実施者の信頼性を確保し、クライアントに対してセキュリティリスクを最小限に抑えるために実施されます。

 特定の活動範囲を遵守ペネトレーションテストでは、事前に合意された活動範囲（スコープ）を厳守することが倫理的に不可欠です：

明確な境界設定: テスト対象システムと対象外システムの明確な区別

合意された方法論の遵守: 承認された手法やツールのみを使用

エスカレーション手順の遵守: 予期せぬ状況に遭遇した場合の適切な報告手順

時間的制約の尊重: 指定された時間帯でのみテストを実施
スコープ外の活動は、意図しないシステム障害やビジネス中断を引き起こす可能性があり、法的・倫理的問題に発展する恐れがあります。

 犯罪行為の特定倫理的ハッカーは、テスト中に発見された犯罪行為や不正行為を適切に特定し、報告する責任があります：

不正アクセスの痕跡: 許可されていない第三者による侵入の形跡

マルウェアの存在: システム内の悪意あるコードの発見

データ漏洩の証拠: 機密情報の不正な流出の兆候

コンプライアンス違反: 法規制への不適合
これらの発見は、単なる技術的脆弱性を超え、組織のセキュリティに対する現実的な脅威を表します。適切な報告と対応の推奨が重要です。

 侵害/犯罪行為の迅速な報告深刻なセキュリティ侵害や犯罪行為の発見時には、通常のレポートサイクルを待たず、迅速に報告する必要があります：

即時通知プロセス: 重大な脆弱性発見時の緊急連絡手順

エスカレーションパス: 適切な決定権者への報告経路

証拠の保全: 法的調査に備えた証拠の適切な収集と保管

機密保持: 報告内容の適切な機密管理
迅速な報告は、組織が速やかに対応し、被害を最小限に抑えるために不可欠です。

 特定の活動に対するツールの使用制限ペネトレーションテストで使用されるツールには、潜在的に破壊的な能力を持つものが多くあるため、その使用には制限が必要です：

承認されたツールリスト: 事前に合意されたツールのみを使用

強度の調整: 実環境への影響を考慮したツール設定の調整

状況に応じた判断: 特定のツールが環境に与える影響の評価

ログ記録: 使用したすべてのツールとアクションの詳細な記録
適切なツール使用の制限は、テスト中の意図しないシステム障害やデータ損失を防止します。

 対象範囲に基づいて侵入を制限テストの対象範囲（スコープ）は侵入活動の境界を定義するものであり、これを超えないことが倫理的に重要です：

ターゲット指定の厳守: 合意されたIPアドレス範囲やシステムのみを対象とする

深度の制限: 合意された侵入深度を超えない（例：データ閲覧のみで削除は行わない）

横展開の制限: 権限昇格や他システムへの侵入の制限を遵守

DoS攻撃の回避: サービス拒否につながる可能性のあるテストの制限
スコープ外の侵入は、不必要なビジネスリスクを生じさせ、法的問題に発展する可能性があります。

 データ/情報の機密性を維持テスト中にアクセスした情報は、高度に機密性が高い場合が多く、適切な保護が必要です：

データ取り扱いポリシー: 機密データの適切な処理と保存

暗号化の使用: 収集したデータの保護

必要最小限のデータ収集: 必要な証拠のみを収集し、過剰なデータ収集を避ける

テスト完了後のデータ破棄: 不要になったデータの安全な消去
クライアントデータの機密性維持は、信頼関係の基盤であり、法的要件でもあります。

 専門家へのリスク
 料金/罰金ペネトレーションテスト実施者が直面する可能性のある財務的リスクには以下があります：

契約違反による罰金: スコープ外活動による契約違反の罰則

損害賠償: テスト中のシステム障害やデータ損失に対する賠償責任

サイバー保険: テスト実施者の責任をカバーする専門保険の必要性

報酬の不払いリスク: 不適切なテスト実施による報酬の未払い
これらのリスクを軽減するため、明確な契約条件と適切な保険が重要です。

 刑事告発倫理的ガイドラインを逸脱した場合、テスト実施者は刑事責任に問われる可能性があります：

不正アクセス禁止法違反: 承認されていないシステムへのアクセス

データ保護法違反: 個人情報の不適切な取り扱い

営業秘密侵害: 機密情報の漏洩や不正使用

サイバー犯罪法: 悪意のあるコード使用やシステム妨害
刑事告発のリスクを避けるため、常に明確な書面による承認のもとでテストを実施し、法的境界を理解することが重要です。
これらの要素を理解し遵守することで、ペネトレーションテスターは専門的かつ倫理的にテストを実施し、クライアントとの信頼関係を構築しながら効果的なセキュリティ評価を提供することができます。

2.0 情報収集と脆弱性のスキャン

 2.1 与えられたシナリオに基づいて、パッシブな偵察を実施することができる。
 DNS検索DNS（Domain Name System）検索は、ターゲット組織のドメイン情報を収集するための非侵入的な手法です。以下の情報を得ることができます：

ドメイン登録情報: WHOISデータベースを通じて所有者、連絡先、登録日、有効期限などの情報を取得

DNSレコード: Aレコード（IPアドレス）、MXレコード（メールサーバー）、NSレコード（ネームサーバー）、TXTレコード（SPF, DKIM設定）などの情報

サブドメイン列挙: 組織が運用する可能性のある追加ドメインの発見

ゾーン転送: 設定ミスがある場合、DNSゾーン全体の情報を取得可能
主なツールとしては、dig, nslookup, host, dnsenum, dnsreconなどがあります。

 技術担当者の特定組織の技術担当者を特定することで、ソーシャルエンジニアリングの標的や技術スタックに関する洞察を得ることができます：

ドメイン登録情報: 技術担当者の連絡先がWHOISに記載されている場合がある

LinkedInなどの専門SNS: IT/セキュリティ部門のスタッフを特定可能

企業ウェブサイト: 「私たちのチーム」ページなどで技術リーダーが紹介されている場合がある

カンファレンス発表者: 技術カンファレンスでの発表者一覧から技術スタッフを特定
この情報は標的型攻撃の計画や、組織が使用している可能性のある技術スタックの推測に役立ちます。

 管理者の連絡先システム管理者やネットワーク管理者の連絡先情報は、ソーシャルエンジニアリング攻撃や権限を持つアカウントの特定に役立ちます：

ドメイン登録情報: 管理担当者の連絡先

SSL証明書: 証明書の申請者情報

エラーページ: カスタムエラーページに管理者連絡先が記載されている場合がある

ヘルプデスク情報: 公開されているサポート情報から管理者連絡先を推測
これらの情報は、フィッシング攻撃の標的選定や、権限昇格の際の有用なアカウント特定に活用されます。

 クラウドとセルフホスト組織がクラウドサービスを利用しているか、独自にインフラを運用しているかを判断することが重要です：

IPアドレス範囲: クラウドプロバイダ（AWS, Azure, GCP）の特定IPアドレス範囲

HTTPヘッダー: クラウドサービスを示すサーバー情報

URLs/エンドポイント: クラウドストレージ（S3バケットなど）へのリンク

証明書情報: クラウドサービスが発行した証明書の特徴
クラウド環境とセルフホスト環境では異なる脆弱性や攻撃手法が有効となるため、この区別は重要です。

 ソーシャルメディアスクレイピング組織や従業員のソーシャルメディアプロファイルから情報を収集する手法です：

 主要な連絡先/職責
LinkedIn: 従業員の役職、所属部署、技術スキルの特定

Twitter/X: 企業や従業員のアカウントから内部情報の漏洩を検出

Facebook: 従業員間のつながりや組織構造の把握

企業ブログ: 技術スタックやインフラに関する情報

 求人情報/技術スタック
求人サイト: 技術職の募集から使用技術やインフラ構成を推測

LinkedIn求人: 必要なスキルセットから使用技術を特定

採用情報ページ: 技術環境の詳細が記載されている場合がある

Glassdoorなどの口コミ: 元従業員からの情報漏洩
これらの情報は、ターゲット組織の内部構造理解やソーシャルエンジニアリング攻撃の計画に活用されます。

 暗号に関連する欠陥
 Secure Sockets Layer（SSL）認定書SSL/TLS証明書の分析から以下の情報を収集できます：

証明書発行者: 自己署名か認証局発行か

共通名（CN）: サブドメインなどの追加情報

有効期限: 期限切れ証明書はセキュリティ意識の低さを示す可能性

暗号強度: 弱い暗号アルゴリズムの使用

証明書の透明性ログ: 過去に発行された証明書から追加のドメイン情報

 失効証明書の失効状態から以下の情報を得られます：

失効した証明書: セキュリティインシデントの可能性

CRL（証明書失効リスト）: 適切に管理されていない可能性

OCSPステープリング: 最新のセキュリティ機能の採用状況
暗号関連の欠陥は、中間者攻撃や暗号化通信の解読などの攻撃経路につながる可能性があります。

 企業の評判/セキュリティ態勢組織のセキュリティに対する姿勢や過去のインシデント履歴を調査します：

セキュリティ侵害の履歴: 過去のデータ漏洩やセキュリティインシデント

セキュリティ認証: ISO 27001やSOC 2などの認証取得状況

セキュリティヘッダ: HTTPレスポンスヘッダからセキュリティ対策の実装状況を確認

バグバウンティプログラム: セキュリティ研究者との協力姿勢
これらの情報は、組織のセキュリティ成熟度を評価し、効果的な侵入経路を特定するのに役立ちます。

 データ
 パスワードダンプ過去のデータ漏洩から得られたパスワード情報です：

漏洩データベース: HaveIBeenPwnedなどのサービスで確認

ダークウェブ上の漏洩データ: 特定組織のメールドメインに関連するリーク

再利用パスワード: 複数サービスで同じパスワードが使われる傾向

パスワードパターン: 組織内で使用されるパスワードの命名規則

 ファイルのメタデータ公開されているドキュメントから抽出できる付加情報です：

作成者情報: ユーザー名、メールアドレス

ソフトウェアバージョン: 使用されているアプリケーションとバージョン

タイムスタンプ: 作成・編集日時

コメント/変更履歴: 非公開情報が含まれている可能性

 戦略的サーチエンジン分析/列挙検索エンジンを活用した情報収集手法です：

Google Dorks: 特殊な検索構文を使った機密情報の発見

ファイルタイプ検索: 特定の文書形式（PDF, DOC, XLSなど）の検索

サイト内検索: 特定ドメイン内の情報検索

キャッシュページ: 削除されたコンテンツの確認

 Webサイトアーカイブ/キャッシング過去のウェブコンテンツを調査する手法です：

Wayback Machine: 過去のウェブサイトバージョンの閲覧

Google Cache: 検索エンジンのキャッシュバージョン

アーカイブサイト: archive.todayなどのサービス

変更履歴の分析: セキュリティ対策の変更やインフラ更新の履歴

 パブリックソースコードのリポジトリ公開されているソースコードから情報を収集します：

GitHub/GitLab: 組織のパブリックリポジトリ

コード漏洩: APIキーやパスワードの不適切な公開

コミット履歴: 開発者情報や内部システム詳細

構成ファイル: インフラ設定やデプロイメントスクリプト
これらのデータソースは、組織の内部構造や潜在的な脆弱性を非侵入的に特定するのに役立ちます。

 オープンソースインテリジェンス（OSINT）公開情報から収集される情報インテリジェンスです：

 ツールOSINTを効率的に実施するためのツール群：

Shodan: インターネット接続デバイスのスキャナー。ポート、バナー、地理位置情報などを収集

Recon-NG: 自動化されたOSINTフレームワーク

TheHarvester: Eメールアドレス、サブドメイン、ホスト名の収集

Maltego: データの視覚化と関連付け

FOCA: ドキュメントメタデータ抽出

 ソース情報収集の主要な情報源：

共通脆弱性タイプ一覧（CWE）: 脆弱性のカテゴリと分類

共通脆弱性識別子（CVE）: 特定の脆弱性の一意の識別子と詳細情報
OSINT活動は、ターゲット組織の攻撃対象領域（アタックサーフェス）を包括的に理解し、最も効果的な侵入経路を特定するための基盤となります。
パッシブな偵察は、ターゲットシステムに直接アクセスせずに情報を収集するため、検出されるリスクが低く、ペネトレーションテストの初期フェーズで重要な役割を果たします。

 2.2 与えられたシナリオに基づいて、アクティブな偵察を実施することができる。アクティブな偵察は、ターゲットシステムと直接的に相互作用を行い、より詳細な情報を収集する技術です。パッシブな偵察と異なり、ターゲットシステムに痕跡を残す可能性があります。

 列挙列挙はターゲットシステムから具体的な情報を体系的に収集するプロセスです：

 ホスト
定義: ネットワーク上のデバイスを特定し、その詳細を収集すること

手法:

ping掃引: ICMPエコー要求を送信して生存ホストを特定

ARP掃引: ローカルネットワーク上のデバイスを発見

OS検出: TTL値やTCP/IPスタックの挙動からOSを推測

ツール: Nmap, Angry IP Scanner, fping

重要性: ネットワーク上の攻撃対象となり得るデバイスの特定

 サービス
定義: ホスト上で実行されているアプリケーションやプロトコルの識別

手法:

ポートスキャン: TCP/UDPポートの開放状態を確認

バージョン検出: サービスのバナー情報から詳細を把握

脆弱性推測: 検出されたサービスとバージョンから既知の脆弱性を推測

ツール: Nmap (-sVオプション), Netcat, Amap

重要性: 攻撃可能なエントリーポイントの特定

 ドメイン
定義: ターゲット組織のドメイン構造や名前空間の探索

手法:

ゾーン転送試行: DNSサーバーからのゾーン情報取得

辞書攻撃: 一般的なサブドメイン名を試行

ブルートフォース: あらゆる可能な組み合わせを試行

ツール: dnsenum, dnsrecon, Sublist3r

重要性: 組織の構造理解とウェブアプリケーションの発見

 ユーザー
定義: 有効なユーザーアカウントの特定

手法:

SMTPユーザー列挙: VRFYやEXPNコマンドを利用

SMB/NFS列挙: 共有リソースのアクセス権検査

LDAP検索: ディレクトリサービスの照会

ツール: Enum4linux, LDAPdomaindump, SMTPscan

重要性: 認証攻撃の標的となるアカウントの特定

 Uniform resource locators (URL)
定義: ウェブリソースのパスとエンドポイントの探索

手法:

ディレクトリブルートフォース: 一般的なディレクトリ名を試行

ファイル拡張子検査: 様々なファイルタイプの存在確認

パラメータ探索: URLパラメータの発見と操作

ツール: DirBuster, gobuster, ffuf

重要性: 隠されたウェブリソースや管理インターフェースの発見

 Webサイトの偵察ウェブアプリケーションに特化した調査技術です：

 Webサイトのクローリング
定義: ウェブサイト全体を自動的に巡回して構造を把握する

手法:

自動リンク追跡: サイト内の全リンクを辿る

サイトマップ作成: サイト構造の可視化

コンテンツタイプの分類: 各リソースの種類を特定

ツール: Scrapy, HTTrack, wget (ミラーモード)

重要性: サイト全体の構造把握と隠れたコンテンツの発見

 ウェブサイトのスクレイピング
定義: ウェブページから特定の情報を抽出する

手法:

HTMLパース: DOMから特定要素を抽出

JavaScript解析: 動的コンテンツの分析

APIエンドポイント特定: バックエンドとの通信を特定

ツール: BeautifulSoup, Selenium, Puppeteer

重要性: 機密情報や内部構造の把握

 ウェブリンクの手動検査
定義: サイト内のリンクを手動で検査して追加情報を得る

手法:

開発者ツール利用: ネットワークリクエストの分析

コメント検査: HTMLコメント内の情報確認

JavaScript分析: クライアントサイドコードの検査

ツール: ブラウザの開発者ツール、Burp Suite

重要性: 自動化ツールでは見落とされる情報の発見

 robots.txt
定義: ウェブクローラ向けのアクセス制御ファイルを分析

手法:

禁止ディレクトリの特定: クローラーに制限されているパスを特定

隠しコンテンツ発見: 検索エンジンから隠されたリソースの発見

サイトマップ参照: XML形式のサイトマップURLの取得

重要性: 管理者が意図的に隠しているリソースの発見

 パケットの作成ネットワークトラフィックを手動で生成して応答を分析する技術です：

 Scapy
定義: カスタムパケットを作成・送信・解析するためのPythonライブラリ

機能:

パケット操作: 任意のパケット構造の作成

プロトコル実装: 低レベルプロトコルの操作

応答解析: 受信パケットの詳細分析

用途:

防御回避: 標準的でないパケット形式でスキャン

フレーム偽装: 送信元情報などの改ざん

プロトコル検査: プロトコル実装の弱点探索

重要性: 高度なネットワーク調査と防御システムのテスト

 防御検出セキュリティ防御機構の存在と種類を特定する技術です：

 ロードバランサーの検出
定義: 複数のサーバー間でトラフィックを分散する装置の特定

手法:

TTL分析: 異なるサーバーからの応答のTTL値の差異

応答ヘッダー分析: サーバー識別子や特殊ヘッダーの検出

時間差分析: 応答時間のパターン分析

重要性: 実際のサーバーインフラの規模と構成の把握

 Webアプリケーションファイアウォール(WAF)検出
定義: ウェブトラフィックを保護するセキュリティ装置の特定

手法:

シグネチャテスト: 既知の攻撃パターンに対する応答観察

ヘッダー分析: WAF特有のレスポンスヘッダー検出

ブロックページ分析: 特徴的なブロックページの識別

ツール: wafw00f, identYwaf

重要性: 攻撃手法の適応とWAF回避戦略の策定

 アンチウイルス
定義: マルウェア対策ソフトウェアの存在と特性の把握

手法:

テストファイル反応: EICAROSなどのテストファイルへの反応

ヒューリスティック検出: 特定の動作パターンに対する反応

シグネチャ検出回避: 既知のマルウェアシグネチャの変形

重要性: ペイロード配信方法の適応と検出回避

 ファイアウォール
定義: ネットワークトラフィックをフィルタリングする装置の特定

手法:

ACLマッピング: 許可/拒否されるポートとプロトコルの把握

ステートフル検査: 接続状態による動作の違い

パケットフラグメンテーション: 分割パケットの処理分析

ツール: hping3, firewalk, nmap (--scanflags)

重要性: ネットワーク境界の把握と侵入経路の特定

 トークン認証と認可に使用されるトークンの分析です：

 スコープ
定義: トークンが許可するアクセス範囲と権限の分析

手法:

JWT分析: JWTの内容デコードと検証

OAuth検査: 付与されたスコープの調査

権限テスト: トークンで実行可能な操作の確認

重要性: 認可バイパスや権限昇格の可能性の評価

 発行
定義: トークン発行プロセスとパラメータの分析

手法:

発行条件確認: トークン取得に必要な条件

有効期間分析: トークンの寿命設定

署名アルゴリズム検査: 使用される暗号アルゴリズム

重要性: トークン偽造や再利用の可能性評価

 失効
定義: トークンの無効化メカニズムの分析

手法:

失効リスト確認: トークン失効リスト（CRL）の使用確認

失効後の挙動: 無効化後のシステム応答

再利用テスト: 失効したトークンの再利用試行

重要性: セッション固定攻撃や認証バイパスの可能性評価

 ウォードライビング物理的に移動しながら無線ネットワークを探索する技術です：

定義: 車などで移動しながら無線ネットワークを探索・マッピング

手法:

信号強度マッピング: 位置情報と信号強度の記録

暗号化タイプ識別: WEP/WPA/WPA2などの分類

隠れたSSID発見: ブロードキャストしていないネットワークの検出

ツール: Kismet, Wigle WiFi, Aircrack-ng

重要性: 物理的なセキュリティ境界の把握と無線侵入経路の特定

 ネットワークトラフィックネットワーク通信の傍受と分析に関する技術です：

 APIリクエストおよび応答をキャプチャ
定義: アプリケーションプログラミングインターフェース通信の傍受

手法:

プロキシ設定: クライアント-サーバー間の通信を中継

TLS復号: 暗号化通信の内容確認

リクエスト/レスポンス分析: API動作とデータ構造の把握

ツール: Burp Suite, mitmproxy, Charles Proxy

重要性: APIの脆弱性発見と内部処理の理解

 スニッフィング
定義: ネットワーク上のパケットを傍受して内容を分析

手法:

プロミスキャスモード: すべてのパケットを捕捉

ARPスプーフィング: トラフィックのリダイレクト

パケット解析: プロトコル別の内容確認

ツール: Wireshark, tcpdump, Ettercap

重要性: 平文認証情報や機密データの漏洩検出

 クラウドアセットディスカバリークラウド環境における資産の発見と列挙です：

定義: クラウド環境（AWS, Azure, GCPなど）のリソースの探索

手法:

バケット列挙: S3, Blob Storageなどの検索

サブドメイン分析: クラウドホスティングパターンの検出

メタデータ分析: クラウド特有のメタデータエンドポイント調査

ツール: S3Scanner, CloudSploit, ScoutSuite

重要性: 誤って公開されているクラウドリソースの発見

 サードパーティーがホストするサービス組織が利用する外部サービスの調査です：

定義: 組織が依存するサードパーティサービスの特定と分析

手法:

外部統合確認: API連携やデータ共有の検出

依存関係マッピング: 外部サービスへの依存関係の把握

共有認証分析: シングルサインオンなどの認証連携

重要性: サプライチェーン攻撃の可能性評価と攻撃経路の拡大

 検出回避偵察活動の検知を避けるための技術です：

定義: セキュリティ監視システムに検出されずに情報収集を行う技術

手法:

低速スキャン: 長時間にわたる低頻度のスキャン

分散プローブ: 複数のソースからの調査

正規トラフィック模倣: 正常な利用パターンの模倣

ノイズ削減: 最小限の必要なプローブのみを実行

ツール: Nmap (--timing), Metasploit (evasion options)

重要性: 偵察活動の秘匿性確保と防御側の警戒レベル評価
アクティブな偵察は、ペネトレーションテストのより侵入的な段階であり、ターゲットシステムとの直接的な相互作用を通じて、パッシブな偵察では得られない詳細情報を収集します。これにより、実際の攻撃フェーズのための重要な基盤が形成されます。

 2.3 与えられたシナリオに基づいて、偵察の結果を分析することができる。偵察活動で収集したデータは、整理・分析することで価値ある情報に変換する必要があります。この項目では、収集した様々な種類のデータを解釈し、次のステップのための洞察を得る能力を評価します。

 フィンガープリンティングフィンガープリンティングとは、システムやネットワークの特性を識別して「指紋」のように固有の特徴を把握する技術です。

 オペレーティングシステム(OS)
定義: ターゲットシステムで稼働しているOSとそのバージョンを特定する技術

分析ポイント:

TTL値の分析: Windows(128)、Linux/Unix(64)、ネットワーク機器(255)などの特徴的なTTL値

TCPスタックの挙動: TCPウィンドウサイズ、オプション、初期シーケンス番号などの特性

ICMP応答パターン: エラーメッセージやエコー応答の形式

バナー情報: サービスが提供するバージョン情報

活用方法: 特定されたOSに対する既知の脆弱性やエクスプロイトを特定

 ネットワーク
定義: ネットワークトポロジーや経路、アーキテクチャを把握する技術

分析ポイント:

ネットワークセグメント: IPアドレス範囲とサブネット構造

ルーティング情報: トレースルート結果からの経路情報

ゲートウェイとファイアウォール: トラフィック制御ポイントの特定

VLAN構成: ネットワークセグメンテーションの把握

活用方法: ネットワーク内の移動経路や分離されたセグメント間の越境戦略の策定

 ネットワーク機器
定義: ルーター、スイッチ、ファイアウォールなどの機器の種類とバージョンを特定

分析ポイント:

SNMP情報: システム説明やモデル名

管理インターフェース: デバイス特有の管理画面

応答ヘッダー: 特定ベンダー固有の特徴

デフォルト設定: 出荷時設定のパターン

活用方法: 特定デバイスの既知の脆弱性や設定ミスを狙った攻撃経路の選定

 ソフトウェア
定義: ターゲットシステム上で実行されているアプリケーションやサービスの特定

分析ポイント:

バナー情報: サービス起動時や接続時に表示される情報

レスポンスパターン: 特定のリクエストに対する応答の特徴

エラーメッセージ: 固有のエラー形式やメッセージ

HTTPヘッダー: Server, X-Powered-By などの情報

活用方法: 特定アプリケーションの既知の脆弱性や構成ミスの特定

 以下により入手した情報の分析：
 DNS検索
分析ポイント:

ドメイン構造: 組織の部署や機能を反映した命名パターン

サブドメインの関係: 開発、テスト、ステージング環境の識別

MXレコード: メールサーバーインフラの把握

TXTレコード: SPF, DKIM設定からのメールセキュリティポリシー

CNAME記録: サードパーティサービスとの統合

意義:
ターゲット組織の技術インフラ全体の把握
潜在的なアタックサーフェスの特定
メールスプーフィングなどの可能性評価

活用例:
開発/テスト環境の特定と標的化（運用環境より脆弱である可能性）
メールフィルタリングバイパスの可能性評価

 Webサイトのクローリング
分析ポイント:

サイト構造分析: ディレクトリ階層とコンテンツ構成

隠しページと機能: robots.txtで制限されたコンテンツ

古いコンテンツ: 更新されていない可能性のあるセクション

技術スタック識別: 使用フレームワークやCMS

コメントと開発情報: ソースコード内の開発者コメント

意義:
ウェブアプリケーションの全体像把握
管理インターフェースや非公開機能の発見
アプリケーションロジックの理解

活用例:
認証バイパスターゲットの特定
機能間の整合性チェックポイントの特定

 ネットワークトラフィックネットワーク通信データの分析により、通信パターンやプロトコルの使用状況を把握します。

 アドレス解決プロトコル(ARP)トラフィック
分析ポイント:

ARPテーブル: IPアドレスとMACアドレスのマッピング

グラチュイタスARP: 自動的に送信されるARP通知

ARPリクエスト/応答パターン: 通信の初期化パターン

意義:
ローカルネットワークトポロジの把握
中間者攻撃の可能性評価
VLANホッピングなどの攻撃可能性の判断

活用例:
ARPスプーフィングによるトラフィック傍受の計画
ネットワークセグメントの境界識別

 Nmapスキャン
分析ポイント:

ポート状態の解釈: open, closed, filtered の状態理解

サービス識別: 検出されたサービスとバージョン情報

OS検出結果: 推測されたOSの確度評価

スクリプト実行結果: NSE（Nmap Scripting Engine）の出力解析

意義:
システムの詳細な露出面（アタックサーフェス）の把握
セキュリティ設定の評価（ファイアウォールやフィルタリング）
標的となるサービスの優先順位付け

活用例:
脆弱なサービスの特定と脆弱性スキャンの焦点設定
ファイアウォールバイパス戦略の策定

 Webログ
分析ポイント:

アクセスパターン: 訪問頻度の高いページやリソース

エラーレスポンス: 404, 403, 500などのステータスコード

ユーザーエージェント: クライアントブラウザやツール情報

リファラー: アクセス元ページの分析

認証試行: ログイン成功と失敗のパターン

意義:
ウェブアプリケーションの動作理解
エラー処理メカニズムの特定
認証システムの挙動把握

活用例:
エラーメッセージからの情報漏洩発見
ブルートフォース攻撃に対する防御メカニズムの評価

 総合的な分析アプローチ偵察データの分析においては、個別のデータポイントを単独で評価するのではなく、複数のソースからの情報を組み合わせて総合的な分析を行うことが重要です：
相関分析: 異なるソースから得られた情報の相互検証と関連付け
例: NmapスキャンでWebサーバーを検出 → Webログ分析で認証メカニズムを特定
パターン認識: 繰り返される設定や命名規則の特定
例: ドメイン命名規則からの内部システム推測
ギャップ分析: 検出できなかった情報や不明点の特定
例: フィルタリングされたポートの背後にある可能性のあるサービス
時系列分析: 時間経過による変化や更新パターンの特定
例: 定期的なメンテナンス時間の推測
優先順位付け: 発見された潜在的な脆弱ポイントの重要度評価
例: 露出度とビジネス重要度に基づく標的の選定
偵察結果の適切な分析は、次の侵入フェーズの効率と成功率を大きく左右します。収集した情報から意味のあるパターンやインサイトを導き出し、最も効果的な攻撃経路を特定することが求められます。

 2.4 与えられたシナリオに基づいて、脆弱性スキャンを実行することができる。脆弱性スキャンは、ターゲットシステムやネットワークにおける既知の脆弱性を自動的に検出するプロセスです。この段階は偵察フェーズと実際の侵入テストの間の重要な橋渡しとなります。

 脆弱性スキャンの考慮事項
 スキャンを実行する時間
定義: スキャン実行のタイミングとスケジューリングに関する考慮事項

重要な考慮点:

業務時間内 vs 業務時間外: トラフィックの少ない時間帯を選ぶことでシステムへの影響を最小化

メンテナンス期間との調整: 定期メンテナンス中はシステム停止の誤判定を避ける

変更管理との連携: システム更新直後にスキャンすることで新たな脆弱性を早期検出

期間の長さ: 大規模スキャンは分割して実行し、システム負荷を分散

ベストプラクティス: クライアントと事前に合意した時間枠内で実施し、緊急時の連絡体制を確立

 プロトコル
定義: スキャン対象のネットワークプロトコルとサービスに関する考慮事項

重要な考慮点:

TCP vs UDP: UDPベースのサービスはTCPと異なるアプローチが必要

アプリケーション層プロトコル: HTTP、FTP、SMTPなど各プロトコル固有の脆弱性

暗号化プロトコル: SSL/TLSバージョンと設定の検証

プロプライエタリプロトコル: 標準外プロトコルに対する特殊なスキャン手法

ベストプラクティス: 対象環境で使用されている全プロトコルを特定し、適切なスキャンモジュールを選択

 ネットワークトポロジー
定義: ネットワーク構成に応じたスキャン戦略の適応

重要な考慮点:

複数セグメント: 異なるネットワークセグメントごとに個別スキャン

ファイアウォール/NAT: ネットワーク境界がスキャン結果に与える影響の考慮

ルーティング考慮: 複雑なルーティング環境での到達性の確認

VPN/リモートアクセス: 外部からのアクセスポイントの特定とスキャン

ベストプラクティス: ネットワーク図を参照し、全セグメントをカバーする複数のスキャンポイントを設定

 帯域幅の限界
定義: スキャン活動によるネットワーク帯域の消費に関する制約

重要な考慮点:

ネットワーク容量: 利用可能な帯域幅に基づくスキャン強度の調整

WAN接続: リモートサイト間の低速リンクへの配慮

帯域制限: スキャンツールのスロットリング設定

並行スキャン: 同時実行スキャンの数とその影響

ベストプラクティス: ネットワーク使用率をモニタリングしながらスキャン速度を調整し、ビジネス運用への影響を最小化

 クエリスロットリング
定義: スキャンリクエストのペース配分を制御する技術

重要な考慮点:

リクエスト間隔: リクエスト間の遅延設定

同時接続数: 並行して開かれる接続の最大数

パケットレート: 秒あたりのパケット数の制限

緩和戦略: サービス拒否状態を防ぐための調整

ベストプラクティス: 段階的にスキャン強度を上げ、異常な応答遅延が見られた場合はスロットリングを強化

 フラジールシステム
定義: 高負荷や特定のスキャン手法に対して不安定になりやすいシステム

重要な考慮点:

レガシーシステム: 古いOSや更新されていないソフトウェア

組込みシステム: IoTデバイスや産業制御システム(ICS/SCADA)

カスタムアプリケーション: 非標準プロトコルや応答処理

正常稼働重視システム: 高可用性が要求される医療機器や通信インフラ

ベストプラクティス: フラジールシステムに対しては低侵襲スキャンを使用し、必要に応じて手動検証を併用

 非従来型アセット
定義: 標準的なIT環境とは異なる特殊なシステムやデバイス

重要な考慮点:

IoTデバイス: センサー、カメラ、スマートデバイス

産業制御システム: PLC、SCADA、DCSなど

仮想化インフラ: ハイパーバイザーやコンテナ環境

クラウドリソース: PaaS、SaaSなどのマネージドサービス

ベストプラクティス: アセットタイプに応じた専用のスキャンツールと手法を選択し、環境固有のリスクを考慮

 特定したターゲットの脆弱性をスキャン
定義: 偵察フェーズで特定された特定のシステムやサービスに対する集中的な脆弱性検査

アプローチ:

ターゲット選定基準: 事業上の重要度、露出度、潜在的影響度に基づく優先順位付け

スコープ定義: IPアドレス範囲、ドメイン、特定サービスなどの明確化

深度設定: 非侵入的検出のみか、検証試行を含めるか

資格情報の使用: 認証ありスキャンと認証なしスキャンの併用

ベストプラクティス: 高リスク/高価値ターゲットに優先的にリソースを割り当て、詳細なスキャン設定を適用

 検出回避のためのスキャン設定を設定
定義: セキュリティ監視システムに検出されにくいスキャン方法の構成

アプローチ:

タイミング調整: スキャンの速度を遅くし、長期間に分散

ソース分散: 複数のIPアドレスからのスキャン

パケット改変: 標準的なスキャンパターンを変更

ノイズ低減: 必要最小限のプローブのみを実行

ベストプラクティス: ペネトレーションテストの目的に応じて適切な検出回避レベルを設定し、クライアントの検出能力を評価

 スキャン方法
 ステルススキャン
定義: TCP接続を完了せずにポートの状態を判断する技術

種類:

SYNスキャン: SYNパケットを送信後、応答に基づいてポート状態を判断し、完全な接続は確立しない

FINスキャン: FINパケットへの応答パターンから閉じたポートと開いたポートを区別

NULLスキャン: フラグなしのパケットを送信し、応答パターンを分析

XMASスキャン: FIN, PSH, URGフラグを全て設定したパケットを送信

使用例: IDS/IPSシステムを回避しながらポートスキャンを実施する場合

 Transmission Control Protocol (TCP)接続スキャン
定義: 完全なTCP 3-wayハンドシェイクを確立してポート状態を確認する方法

特徴:

高い精度: 実際の接続を確立するため結果の信頼性が高い

検出されやすい: ログに接続記録が残りやすい

追加情報: バナー情報などのサービス詳細を取得可能

使用例: より詳細なサービス情報が必要な場合や、ステルススキャンが技術的に不可能な環境

 クレデンシャルとノンクレデンシャル
定義: 認証情報を使用するスキャンと使用しないスキャンの区別

クレデンシャルスキャン:

内部チェック: ログイン後にシステム内部から詳細な脆弱性を確認

構成チェック: セキュリティ設定の詳細な評価

パッチ検証: 正確なソフトウェアバージョンと更新状態の確認

ノンクレデンシャルスキャン:

外部視点: 認証されていない攻撃者の視点からの評価

初期アクセス: 認証前の攻撃経路の探索

公開脆弱性: 外部から検出可能な脆弱点の特定

ベストプラクティス: 両方のアプローチを組み合わせて包括的な評価を行う

 Nmap業界標準のネットワークスキャンツールであり、ポート検出から高度な脆弱性スキャンまで幅広い機能を提供します。

 Nmap Scripting Engine (NSE)スクリプト
定義: Nmapの機能を拡張するLuaベースのスクリプト

カテゴリ:

discovery: ホストやサービスの検出

version: サービスやアプリケーションのバージョン特定

vuln: 脆弱性検出

exploit: 簡易的なエクスプロイト実行

brute: ブルートフォース攻撃

auth: 認証情報のテスト

使用例: nmap --script=vuln 192.168.1.1 で対象ホストの既知の脆弱性をチェック

 共通オプション-A
機能: アグレッシブスキャン（複数のスキャンタイプを組み合わせた包括的なスキャン）

含まれる機能: OS検出、バージョン検出、スクリプトスキャン、traceroute

使用例: nmap -A 192.168.1.0/24

注意点: 非常に目立つスキャンで、検出されやすい
-sV
機能: バージョン検出（開いているポートで実行されているサービスとそのバージョンを特定）

使用例: nmap -sV 192.168.1.1

詳細度レベル: --version-intensity オプションで0-9のレベル指定可能

用途: 特定バージョンの既知脆弱性を探るための基礎情報収集
-sT
機能: TCP接続スキャン（完全なTCP接続を確立してポート状態を確認）

使用例: nmap -sT 192.168.1.1

特徴: 非特権ユーザーでも実行可能、検出されやすい、高い信頼性
-Pn
機能: ホスト検出をスキップし、全ターゲットがオンラインと仮定

使用例: nmap -Pn 192.168.1.1

用途: ICMP応答をブロックするファイアウォール環境でのスキャン

注意点: 非効率になる可能性（オフラインホストも含めてスキャン）
-O
機能: OS検出（ターゲットの稼働OSをフィンガープリントで特定）

使用例: nmap -O 192.168.1.1

前提条件: 少なくとも一つの開いたポートと一つの閉じたポートが必要

精度: 確率的な結果（類似度パーセンテージ）
-sU
機能: UDPスキャン（UDPポートの開閉状態を確認）

使用例: nmap -sU 192.168.1.1

特徴: 遅い、管理者権限が必要、UDPサービス（DNS, SNMP, DHCPなど）の検出に重要

効率化: --top-ports オプションで一般的なポートのみをスキャン
-sS
機能: SYNスキャン（TCP SYNパケットを送信して「半開き」接続によるステルススキャン）

使用例: nmap -sS 192.168.1.1

特徴: 比較的検出されにくい、高速、管理者権限が必要

デフォルト: 管理者権限実行時のデフォルトスキャンタイプ
-T 1-5
機能: タイミングテンプレート（スキャンの速度を制御）

レベル:

T1 (sneaky): 非常に遅く、IDS回避向け

T2 (polite): 低速、低帯域消費

T3 (normal): デフォルト、バランス型

T4 (aggressive): 高速、高帯域、信頼性のある高速ネットワーク向け

T5 (insane): 非常に高速、精度より速度優先

使用例: nmap -T2 192.168.1.0/24
-script=vuln
機能: 脆弱性検出スクリプトのみを実行

使用例: nmap --script=vuln 192.168.1.1

特徴: 既知の脆弱性に対する非侵入的チェックを実施

注意点: デフォルトでは積極的にエクスプロイトは実行しない
-p
機能: スキャン対象ポートの指定

使用例:

nmap -p 80,443,8080 192.168.1.1 (特定ポート)

nmap -p 1-1000 192.168.1.1 (ポート範囲)

nmap -p- 192.168.1.1 (全ポート)

最適化: 対象環境に応じた効率的なポート選択が重要

 自動化を促進する脆弱性テストツール
定義: 脆弱性スキャンプロセスを自動化するための専用ツール

主要ツール:

OpenVAS: オープンソースの脆弱性スキャナー、包括的な脆弱性テスト

Nexpose/InsightVM: Rapid7のエンタープライズ級脆弱性管理ソリューション

Nessus: Tenableの業界標準脆弱性スキャナー

Qualys: クラウドベースの脆弱性管理プラットフォーム

Burp Suite: ウェブアプリケーション向けの統合テストプラットフォーム

OWASP ZAP: オープンソースのウェブアプリケーション脆弱性スキャナー

自動化の利点:
一貫性のある反復可能なテスト
広範囲のスキャンの効率化
継続的なモニタリングの実現
標準化された報告形式

自動化の限界:
誤検出/偽陽性の可能性
ビジネスコンテキストの理解不足
複雑な脆弱性の見落とし
カスタムアプリケーションへの適用限界

脆弱性スキャンは、ターゲット環境の体系的な弱点評価の基盤を提供します。自動化ツールは効率的にシステム全体をカバーできますが、高度なペネトレーションテストには、スキャン結果の専門的な解釈と手動検証が不可欠です。

3.0 攻撃とエクスプロイト

 3.1 与えられたシナリオに基づいて、攻撃ベクターを調査し、ネットワーク攻撃を実施することができる。ネットワーク攻撃はペネトレーションテストの中核的要素であり、ターゲットネットワークへの侵入経路を特定し、実際に侵入を試みるプロセスです。

 可用性の負荷テスト
定義: システムやネットワークの負荷耐性を検証するためのテスト

目的:
システムの処理能力の限界を特定
ボトルネックの発見
復旧メカニズムの検証
スケーラビリティの評価


方法:
高トラフィック生成
同時接続数の増加
リソース集約的なリクエストの発行


注意点:
DoS攻撃との違いは目的と承認の有無
実施前の明確な範囲と条件の設定
運用環境での実施は慎重に
バックアップ計画と復旧手順の準備


 エクスプロイトのリソース
 Exploit-DBhttps://www.exploit-db.com/

定義: 公開されている脆弱性とエクスプロイトコードの集積リポジトリ

特徴:
Offensive Securityが維持管理
詳細な脆弱性情報と実行可能なエクスプロイトコード
脆弱性のカテゴリ分類（ウェブアプリ、リモート、ローカル等）
CVE参照と対応


ツール: searchsploit（Exploit-DBのコマンドラインインターフェース）

用途:
特定のソフトウェアやバージョンに対する既知の脆弱性検索
エクスプロイト手法の学習
ペネトレーションテスト用のコード取得


 Packet Stormhttps://packetstorm.news/

定義: セキュリティツール、エクスプロイト、文書などのリソース集

特徴:
長期間維持されている信頼性の高いリソース
広範なセキュリティ関連ツールのアーカイブ
詳細な説明とドキュメント
コミュニティ寄稿


用途:
専門的なネットワークツールの取得
レガシーシステムのエクスプロイト検索
セキュリティ関連の研究資料


 攻撃
 ARPポイズニング
定義: ARPプロトコルの脆弱性を利用し、ネットワークトラフィックを傍受・改ざんする攻撃

動作原理:
攻撃者が偽のARP応答を送信
ターゲットのARPテーブルが不正に更新される
ネットワークトラフィックが攻撃者を経由


用途:
中間者攻撃の基盤技術
ネットワークスニッフィング
トラフィック改ざん


ツール: Ettercap, Arpspoof, Bettercap

対策:
静的ARPエントリ
DHCP snooping
Dynamic ARP Inspection (DAI)


 エクスプロイトの連鎖
定義: 複数の脆弱性を順次利用してシステム侵害を進める手法

プロセス:
初期アクセスのエクスプロイト
権限昇格
横方向移動
永続化


特徴:
攻撃の各段階で異なるエクスプロイトを利用
高度な攻撃者の典型的な手法
複数のセキュリティレイヤーを突破


例:
ウェブサーバー脆弱性 → ローカル権限昇格 → 内部ネットワーク侵入


重要性:
単一の脆弱性だけでなく連鎖的な脆弱性の把握
実際の攻撃シナリオの模倣


 パスワード攻撃パスワードスプレー
定義: 多数のアカウントに対して少数の一般的なパスワードを試行する攻撃

特徴:
アカウントロックアウトを回避
同時に多くのユーザーをターゲット
一定時間間隔を空けて実行


効果的な理由:
多くの組織で一般的なパスワードが頻繁に使用される
「Season+Year」や「Company+123」などのパターン


ツール: Hydra, Metasploit, PowerShell Empire

対策:
強力なパスワードポリシー
多要素認証
異常ログイン検出

ハッシュの解読
定義: 取得したパスワードハッシュから元のパスワードを復元する技術

手法:
ブルートフォース: すべての可能な組み合わせを試行
辞書攻撃: 既知の単語や一般的なパスワードリストを使用
レインボーテーブル: 事前計算されたハッシュテーブルを利用
ルールベース: パターン変換（例: 「password」→「P@ssw0rd」）


ツール: Hashcat, John the Ripper, Ophcrack

対策:
強力なハッシュアルゴリズム（bcrypt, Argon2等）
ソルト（salt）とペッパー（pepper）の使用
反復回数の増加

ブルートフォース攻撃
定義: すべての可能な組み合わせを系統的に試行してパスワードを突破する手法

特徴:
計算コストが非常に高い
パスワード長が増えると指数関数的に時間がかかる
短いパスワードに対しては効果的


種類:
オンラインブルートフォース: 実際のサービスに対して行う
オフラインブルートフォース: 取得したハッシュに対して行う


ツール: THC-Hydra, Medusa, Patator

対策:
アカウントロックアウトポリシー
ログイン試行の遅延
CAPTCHA

辞書攻撃
定義: 一般的なパスワードや単語のリストを用いた効率的なパスワード解読手法

特徴:
ブルートフォースより効率的
カスタム辞書による成功率向上
組織特有の単語やフレーズの使用


辞書の種類:
一般的なパスワードリスト（RockYou等）
ドメイン固有辞書（企業名、製品名等）
漏洩パスワードデータベース


ツール: CeWL（カスタム辞書生成）, John the Ripper

対策:
辞書に含まれない複雑なパスワード
パスフレーズの使用


 On-Path攻撃（旧称：中間者攻撃）
定義: 通信経路上に介入し、情報の傍受や改ざんを行う攻撃

手法:
ARPポイズニング/スプーフィング
DNSスプーフィング
SSL/TLS証明書偽装
Wi-Fiスプーフィング


影響:
機密情報の漏洩
通信内容の改ざん
認証情報の窃取
セッションハイジャック


ツール: Ettercap, Bettercap, MITMf, Wireshark

対策:
証明書ピン留め
HTTPS/HSTS
DNSSECの実装
公開鍵基盤(PKI)の適切な管理


 Kerberoasting
定義: Active Directoryのケルベロス認証を標的とした攻撃手法

動作原理:
サービスプリンシパル名(SPN)に関連付けられたサービスチケットを要求
サービスアカウントのパスワードハッシュを含むTGSチケットを取得
オフラインでハッシュ解読を実施


特徴:
正規のチケット要求を利用（検出困難）
ドメイン参加アカウントのみで実行可能
特権エスカレーションに利用


ツール: Impacket, Rubeus, PowerSploit

対策:
強力なサービスアカウントパスワード
最小権限の原則
特権アカウント監視


 DNSキャッシュポイズニング
定義: DNSサーバーのキャッシュに不正なレコードを挿入する攻撃

手法:
DNSリゾルバに偽の応答を送信
キャッシュに偽のIPアドレスとドメイン名の対応を保存
ユーザーをフィッシングサイトや悪意あるサーバーにリダイレクト


影響:
大規模なユーザー影響（1サーバーで多数の被害者）
フィッシング攻撃の自動化
通信の傍受


ツール: DNSspoof, Ettercap, DNSCHEF

対策:
DNSSEC実装
ランダムなトランザクションID
DNSキャッシュの有効期限管理


 仮想ローカルエリアネットワーク(VLAN)
定義: レイヤー2ネットワークを論理的に分割するテクノロジー

VLAN関連の攻撃:

VLAN ホッピング: 異なるVLAN間を不正に移動
スイッチスプーフィング: 攻撃者がトランクポートをエミュレート
ダブルタギング: 二重のVLANタグを使用して通信を操作


VLANタグストリッピング: VLANタグを除去して制限を回避

ネイティブVLAN悪用: タグなしフレームの特別な処理を悪用


ツール: Yersinia, VLANpwn, Scapy

対策:
未使用ポートの無効化
トランクポートの制限
ネイティブVLANのセキュア設定
動的VLANの適切な構成


 ネットワークアクセスコントロール(NAC)バイパス
定義: ネットワークに接続するデバイスを制限・制御する仕組みを回避する技術

バイパス手法:

MACスプーフィング: 許可されたデバイスのMACアドレスを複製

DHCP応答操作: NACスキャン前にIPアドレスを取得

ポートミラーリング悪用: 監視ポートを通じたアクセス

既存接続のピギーバック: 認証済みデバイスの接続を利用


ツール: macchanger, Responder, NetworkMiner

対策:
802.1X実装
デバイス認証の多層化
継続的なネットワークモニタリング
エンドポイント整合性チェック


 メディアアクセスコントロール(MAC)スプーフィング
定義: ネットワークインターフェースのMACアドレスを偽装する技術

目的:
MACフィルタリングの回避
認証済みデバイスの詐称
追跡回避
NACバイパス


手法:
オペレーティングシステムの機能による変更
専用ツールの使用
ネットワークドライバの直接操作


ツール: macchanger, ifconfig/ip command, Technitium MAC Address Changer

検出方法:
ベンダープレフィックスの不一致
DHCPフィンガープリントの不整合
OSフィンガープリントとMACの矛盾


 リンクローカルマルチキャスト名前解決(LLMNR)/NetBIOSネームサービス(NBT-NS)ポイズニング
定義: Windows環境でのフォールバック名前解決プロトコルを悪用した攻撃

動作原理:
DNSが失敗すると、WindowsはLLMNRとNBT-NSにフォールバック
攻撃者が名前解決要求に不正に応答
クライアントが認証情報を攻撃者に送信


影響:
NTLMハッシュの取得
パスワードスプレー攻撃の基盤
内部ネットワークの偵察


ツール: Responder, Inveigh, Metasploit

対策:
LLMNR/NBT-NSの無効化
SMB署名の強制
DNSの適切な構成
ネットワークセグメンテーション


 New Technology LAN Manager(NTLM)リレー攻撃
定義: 傍受したNTLM認証情報を別のサーバーにリレーして不正アクセスを得る攻撃

攻撃プロセス:
LLMNR/NBT-NSポイズニングで認証要求を傍受
傍受した認証情報を別のサービスに転送（リレー）
攻撃者が被害者のコンテキストでアクションを実行


バリエーション:
SMBリレー
HTTPSリレー
LDAP/LDAPSリレー


ツール: ntlmrelayx, MultiRelay, Metasploit

対策:
SMB署名の強制
EPA（拡張保護認証）の有効化
NTLMv2の使用とNTLMv1の無効化
Kerberos認証の優先使用


 ツール
 Metasploit
定義: 包括的なペネトレーションテストフレームワーク

主要コンポーネント:

MSFconsole: 主要インターフェース

エクスプロイト: 既知の脆弱性を悪用するモジュール

ペイロード: 侵入後に実行されるコード

ポストエクスプロイト: 侵入後の活動を支援するモジュール

Meterpreter: 高度な侵入後シェル


機能:
脆弱性スキャン
エクスプロイト実行
権限昇格
侵入後の拡張


使用例:
msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.1.10
exploit


 Netcat
定義: 「ネットワークのスイスアーミーナイフ」とも呼ばれる汎用ネットワークユーティリティ

機能:
TCPおよびUDPポートのリッスン
ポートスキャン
ファイル転送
バックドアシェル（リバースシェル/バインドシェル）
バナーグラビング


使用例:
リスニングポート作成: nc -lvp 4444
接続テスト: nc -v 192.168.1.10 80
バナーグラビング: echo "" | nc -v 192.168.1.10 80
ファイル転送: nc -lvp 4444 > received_file


バリエーション: nc, ncat, netcat, socat

 Nmap
定義: 最も広く使用されているネットワークスキャン・探索ツール

主要機能:
ホスト発見
ポートスキャン
サービスバージョン検出
OS検出
スクリプト実行（NSE）


ネットワーク攻撃における用途:
攻撃ベクトルの特定
サービス脆弱性の推測
スキャン結果からの攻撃計画
NSEスクリプトによる軽度の攻撃テスト


使用例:
基本スキャン: nmap 192.168.1.0/24
詳細スキャン: nmap -sV -sC -O -p- 192.168.1.10
特定脆弱性のチェック: nmap --script vuln 192.168.1.10

ネットワーク攻撃の実行は、ペネトレーションテストにおいて最も技術的な側面の一つです。適切な許可と明確に定義された範囲内で実施することが不可欠であり、目標はシステムやネットワークのセキュリティを改善するための具体的な洞察を提供することです。これらの技術の理解は、防御側の視点からも非常に価値があり、セキュリティ対策の有効性を評価するのに役立ちます。

 3.2 与えられたシナリオに基づいて、攻撃ベクターを調査し、ワイヤレス攻撃を実施することができる。ワイヤレスネットワークは利便性を提供する一方で、物理的な接続が不要なため、特有の攻撃ベクターが生まれます。以下に、CompTIA PenTest+ 試験で出題される可能性のあるワイヤレス攻撃手法を詳しく解説します。

 攻撃方法
 スニッフィング
定義: ワイヤレスネットワーク上のデータパケットを傍受・監視する技術

手法:

パッシブスニッフィング: モニターモードでトラフィックを単に収集するのみ

アクティブスニッフィング: ネットワークに干渉してトラフィックを誘導

目的: 認証情報、機密データ、ネットワーク情報の収集

ツール: Wireshark, Kismet, Airodump-ng

対策: 強力な暗号化(WPA3)、VPN使用、HTTPS通信

 データの変更
定義: 傍受したデータパケットを改変して再送信する攻撃

手法:

ビットフリッピング攻撃: 暗号化されたデータの特定ビットを変更

パケット再構築: パケットを解析し、内容を変更して再構築

目的: 情報改ざん、認証回避、リダイレクト

ツール: Ettercap, Bettercap, Scapy

対策: パケット整合性検証、強力な暗号化、証明書ピンニング

 データの破損
定義: ワイヤレスネットワークのデータを意図的に破壊・妨害する攻撃

手法:

チェックサム変更: パケットのチェックサムを改変して破損を誘発

フレーム操作: 802.11フレームの重要フィールド改変

目的: サービス拒否、通信妨害、セキュリティメカニズム回避

ツール: MDK3, Scapy

対策: パケット整合性検証、侵入検知システム、異常トラフィック監視

 リレー攻撃
定義: 攻撃者が複数のシステム間で通信を中継して中間者として介入する攻撃

手法:

認証リレー: 認証情報を別のサービスへ転送

近接リレー: 物理的に離れた端末間での通信仲介（特にNFC）

目的: 認証バイパス、不正アクセス、機密情報窃取

ツール: Mana Toolkit, wpa_supplicant

対策: 相互認証、タイムスタンプ検証、セッションバインディング

 スプーフィング
定義: 正規のデバイスやアクセスポイントになりすます攻撃

手法:

MACアドレススプーフィング: 許可されたMACアドレスの偽装

Evil Twinアタック: 正規APと同じSSIDを持つ偽APの作成

目的: 不正アクセス獲得、中間者攻撃の準備

ツール: Airbase-ng, hostapd, macchanger

対策: 802.1X認証、MAC+暗号化の併用、無線IDS

 認証解除
定義: 正規ユーザーのワイヤレス接続を強制的に切断する攻撃

手法:

認証解除フレーム送信: 802.11フレームの脆弱性を悪用

連続的認証解除: 再接続を妨げるための持続的攻撃

目的: 再認証プロセスの傍受、Evil Twin誘導、DoS攻撃

ツール: Aireplay-ng, MDK3

対策: 802.11w(管理フレーム保護)、不正AP検出

 ジャミング
定義: 無線信号を妨害して通信を遮断する攻撃

手法:

ノイズ生成: 特定周波数帯での高出力ノイズ送信

選択的ジャミング: 特定のチャネルのみを標的とする

目的: サービス拒否、通信妨害、セキュリティシステム無効化

ツール: Jammers (注: 多くの国で違法)

対策: 複数周波数の利用、電波監視、物理的セキュリティ

 ハンドシェイクのキャプチャ
定義: Wi-Fi認証時に交換される4-wayハンドシェイクを傍受する攻撃

手法:

パッシブキャプチャ: 通常の認証プロセスの監視

強制再認証: 認証解除攻撃で強制的にハンドシェイク再実行

目的: オフラインパスワード解析、ネットワークへの不正アクセス

ツール: Airodump-ng, Wireshark

対策: 強力なパスフレーズ、WPA3、802.11w

 On-Path
定義: ワイヤレス通信経路に介入し、データ傍受や改ざんを行う攻撃

手法:

ARP偽装: ARPテーブル改ざんによるトラフィック誘導

DNSスプーフィング: DNS応答偽装によるリダイレクト

目的: 情報窃取、通信改ざん、認証情報取得

ツール: Bettercap, Ettercap, MITMf

対策: HTTPS使用、証明書検証、VPN

 攻撃
 イビルツイン
定義: 正規アクセスポイントと同一のSSIDを持つ偽のアクセスポイントを設置する攻撃

手法:

クローンAP作成: SSIDや他の設定を模倣

強力な信号出力: 正規APより強い信号で接続を誘導

目的: 中間者攻撃、認証情報窃取、トラフィック傍受

ツール: Airbase-ng, WiFi Pineapple

対策: 企業では802.1X認証、個人ではVPN使用、接続APの検証

 キャプティブポータル
定義: ネットワーク接続時に認証やログインを要求する偽装ウェブページを表示する攻撃

手法:

偽ログインページ: 正規サービスを模倣したフィッシングページ

DNS操作: すべてのDNSリクエストを攻撃者のサーバーに誘導

目的: 認証情報窃取、マルウェア配布、ユーザー監視

ツール: WiFi Pineapple, Wifiphisher

対策: HTTPS検証、VPN使用、公共Wi-Fi利用時の注意

 ブルージャッキング
定義: 未承認のBluetoothメッセージを近くのデバイスに送信する技術

手法:

非ペアリング送信: ペアリングなしでメッセージ送信

電話帳エントリ送信: 連絡先として保存を促す

目的: スパム送信、フィッシング、プライバシー侵害

影響: 一般的に低リスク（データ盗難は困難）

対策: Bluetooth検出可能モードをオフに、未知デバイスからのメッセージ拒否

 ブルースナーフィング
定義: Bluetooth接続を悪用して未承認のデータアクセスを行う攻撃

手法:

OBEXプッシュ悪用: ファイル転送プロトコルの脆弱性を利用

サービス検出悪用: 公開サービスへの不正アクセス

目的: データ窃取、連絡先・メッセージ・写真の取得

ツール: BlueSnarfer, Bluesnarfer

対策: 不要時はBluetoothをオフに、ペアリング時の検証強化

 Radio-frequency identification (RFID)クローニング
定義: RFIDタグから情報を読み取り複製する攻撃

手法:

パッシブスキャニング: タグ情報の非接触読み取り

タグエミュレーション: 読み取った情報で偽タグを作成

目的: アクセス制御バイパス、個人識別情報窃取、支払いシステム詐欺

ツール: Proxmark3, ACR122U-A9

対策: 暗号化対応RFIDの使用、多要素認証、シールド使用

 Bluetooth Low Energy (BLE)攻撃
定義: IoTデバイスで一般的なBLE通信を標的とする攻撃

手法:

スニッフィング: BLE広告パケットの傍受

スプーフィング: デバイスIDの偽装と不正接続

リプレイ攻撃: 記録した通信の再生

目的: デバイス制御、情報窃取、プライバシー侵害

ツール: GATTacker, BTLEjack

対策: BLEペアリング最新プロトコル、アプリ認証、定期的キー更新

 アンプ攻撃[近距離無線通信(NFC)]
定義: NFCの通信距離を人為的に拡張して遠隔からアクセスを試みる攻撃

手法:

アンテナ拡張: 高性能アンテナで読み取り範囲を拡大

リレー攻撃: NFCデバイス間でのリアルタイム信号中継

目的: 非接触型決済詐欺、アクセスカード複製、情報窃取

ツール: NFCProxy, RFID拡張アンテナ

対策: RFシールドウォレット、トランザクション時間制限、位置検証

 WiFi protected setup (WPS) PIN攻撃
定義: WPSの脆弱性を悪用してWi-Fiネットワークに不正アクセスする攻撃

手法:

外部レジストラ攻撃: 8桁PINをオンラインブルートフォース

オフラインPIN解析: PINの検証応答からパターン特定

目的: Wi-Fiパスワード取得、ネットワーク侵入

ツール: Reaver, Bully, Aircrack-ng

対策: WPSの無効化、新しいルーターでのピクセルコピー法利用

 ツール
 Aircrack-ngスイート
定義: ワイヤレスネットワークセキュリティ評価のための包括的なツールセット

主要コンポーネント:

airmon-ng: ワイヤレスインターフェースをモニターモードに設定

airodump-ng: ワイヤレスパケットキャプチャと分析

aireplay-ng: パケット注入とリプレイ攻撃

aircrack-ng: WEP/WPAキー解読

用途: ハンドシェイクキャプチャ、辞書攻撃、ネットワーク列挙

ペンテスト価値: ワイヤレスセキュリティの包括的評価が可能

 増幅アンテナ
定義: ワイヤレス信号を増強し、遠距離からの攻撃を可能にする装置

種類:

指向性アンテナ: 特定方向の信号を強化（Yagi、パラボラ）

オムニアンテナ: 全方向の信号を増幅

用途: 遠距離からのスキャン、アクセスポイント検出、接続維持

ペンテスト価値: 物理的境界を超えたワイヤレスセキュリティ評価

法的考慮: 国や地域により規制対象となる場合がある

 ワイヤレス攻撃の実施におけるベストプラクティス範囲と許可の明確化
攻撃対象のワイヤレスネットワークが明確に許可されていることを確認
特に公共エリアでの電波干渉に関する法的制約を理解
段階的アプローチ
パッシブ偵察から開始（スキャン、信号強度マッピング）
特定されたターゲットに対して特化した攻撃を計画
影響の最小化
DoS攻撃は業務に影響するため、実施時間と範囲を制限
クリティカルシステムへの接続時には特に注意
詳細な文書化
使用したツール、手法、発見した脆弱性の詳細を記録
緩和策と推奨事項を具体的に文書化
エビデンスの保管
キャプチャしたパケット、ハンドシェイク、発見したSSIDのリストを保存
ネットワーク設定の問題点をスクリーンショットで証明