はじめに

「サイバー攻撃から企業システムを守る！　OSINT実践ガイド」を読んだので、2章で紹介されていたツールのまとめ。

1章 OSINTの基礎
2章 OSINT必携ツールの使い方
3章 OSINT情報の可視化
4章 グローバルでのOSINT活用事例

2章で紹介されていたツールまとめ

リンクが変わっていたり、廃止になっていたりしたので、後で見返しやすいように記録。
※2026年2月時点

1. 一部文面は「OSINT実践ガイド」より引用 ↩︎

その他

所要時間

1～4章までを23時間48分で読了。
各サービスを実際に利用したり、規約の確認をしたり、メモを取ったりしながらだと時間がかかる。

著作権について

本記事は「サイバー攻撃から企業システムを守る！ OSINT実践ガイド」を参考に、
紹介されているツールを整理したものです。

表中の「ユースケース」「サービス名」は書籍の目次構成に基づいています。
「用途」については書籍の表現を必要最小限の範囲で引用しています。
「備考」および「URL」は、2026年2月時点で筆者が確認・検証の上記載しています。

本記事は書籍の内容を代替するものではありません。

awkコマンドとは

awk（オーク）はテキストを1行ずつ読みながら、1行をくつかの列（フィールド）に分けて読む・抜き出す・加工するためのコマンド。
たとえば、ログの「3列目だけ取りたい」時にawkが便利。

awkの基本構文

awk の基本構文は以下。

awk 'パターン { アクション }' ファイル名

パターン＝どんな行を選ぶか
アクション＝その行で何をするか

ざっくり言うと 「ファイルの中で、〇〇な行があったら、△△をする」。

awkの基本をサンプルから覚える

サンプル

サンプルとして使用するファイルの内容。
各行は「名前・年齢・都市・職業」の4つのフィールドで構成されている。

# sample.txt
Alice   25  Tokyo     Engineer
Bob     30  Osaka     Manager
Charlie 28  Nagoya    Designer
David   35  Fukuoka   Engineer
Eve     22  Tokyo     Intern

サンプルファイルの分解

タブやスペースごとに awk が自動で以下表のように読み込んでくれる。

実際に動かしてみる

行全体を表示

print で出力し、$0 でその行全体（すべてのフィールド）を指定。

$ awk '{print $0}' sample.txt

ファイル全体を見たいなら cat でいい気がするので、実務では使わないかも。

# sample.txt
Alice   25  Tokyo     Engineer
Bob     30  Osaka     Manager
Charlie 28  Nagoya    Designer
David   35  Fukuoka   Engineer
Eve     22  Tokyo     Intern

1列目（名前）だけ表示

$1 で名前フィールドを出力。

$ awk '{print $1}' sample.txt

これだけだとコメント（#）まで出力されてしまうので、実務ではもう少し条件を絞った方がよさそう。

#
Alice
Bob
Charlie
David
Eve

コメント（#）を除外

! = ～でない、/文字列/ = 正規表現の始まりと終わりを示す囲み記号、^ = 先頭行 の意味。
先頭行がコメント（#）でない名前フィールドを出力。

$ awk '!/^#/ {print $1}' sample.txt

コメント（#）が除外され、名前のフィールドだけが出力される。

Alice
Bob
Charlie
David
Eve

名前と都市を表示

$1 で名前フィールド、$3 で都市フィールドを指定。

$ awk '{print $1, $3}' sample.txt

それぞれのフィールドが正しく抽出されている。

# 
Alice Tokyo
Bob Osaka
Charlie Nagoya
David Fukuoka
Eve Tokyo

Tokyo に住んでいる人だけ表示

$3 を == で Tokyo 指定。

$ awk '$3 == "Tokyo" {print $0}' sample.txt

Tokyo に住んでいる人だけが抽出される。

Alice   25  Tokyo     Engineer
Eve     22  Tokyo     Intern

年齢が30歳以上の人だけ表示

$2 >= 30 で指定。ついでにコメントも && でつなげて除外しておく。

$ awk '!/^#/ && $2 >= 30 {print $1, $2}' sample.txt

30歳以上の人だけが抽出される。

Bob 30
David 35

Engineerの人数を数える

$4 == “Engineer” で エンジニアを指定、{count++} で条件が真なら count を 1 増やす、END {print count} でファイルを全部読み終わったあとに出力。

$ awk '$4 == "Engineer" {count++} END {print count}' sample.txt

きちんとカウントされている。

2

平均年齢を計算

{sum += $2; count++} で 2 列目（年齢）の値を合計し、行数を 1 増やす。
END {print sum/count} でファイルをすべて読み終えたあとに平均を出力する。
※今回はカウント処理を行うため、コメント（#）のスキップが必須。

; は改行と同じ意味。

$ awk '!/^#/ {sum += $2; count++} END {print sum/count}' sample.txt

平均年齢が出力される。

28

このコマンドの動きは以下の通り。

都市ごとの人数を集計

{city[$3]++} で 3 列目（都市名）をキーとしてカウントする。
END { … } はファイルをすべて読み終えたあとに 1 回だけ実行される処理。
for (c in city) ですべての都市（キー）を順に処理し、
print c, city[c] で都市名と人数を出力する。
※今回はカウントをしているのでコメントのスキップは必須。

$ awk '!/^#/ {city[$3]++} END {for (c in city) print c, city[c]}' sample.txt 

都市ごとの人数が出力される。

Osaka 1
Fukuoka 1
Nagoya 1
Tokyo 2

このコマンドの動きは以下の通り。

疑問に思ったこと

文章ベースのファイルにはawkコマンドは使えないのか

たとえば、

Aliceは東京で働いています。
Bobは大阪に住んでいます。
Charlieは28歳です。

という文章ファイルがあった場合、awk の使いどころがあるのか気になった。

awk の動きとしては「スペースやタブで明確に区切られていない」文章だと、

$1 Aliceは東京で働いています。
$1 Bobは大阪に住んでいます。
$1 Charlieは28歳です。

となり、すべて $1 になるのでフィールド分けができず、awk の長所は活かせない。

一応、grep のように抽出することは可能。

$ awk '/東京/ {print $0}' sample_text.txt
Aliceは東京で働いています。

$ awk '/[0-9]+歳/ {print $0}' sample_text.txt
Charlieは28歳です。

行番号を付けることもできる。

$ awk '{print NR, $0}' sample_text.txt
1 Aliceは東京で働いています。
2 Bobは大阪に住んでいます。
3 Charlieは28歳です。

結論としては、awk でも文章ファイルの操作はある程度できるけど、本来の用途とは離れており、わざわざ awk で文章ファイルを操作する必要はなさそう。

はじめに

Pyramid of Painの備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Pyramid Of Pain Learn what is the Pyramid of Pain and how to utilize this model to determine the level of difficulty it will cause for an adversary to change the indicators ass…

Pyramid of Pain

Task 1　Introduction

Pyramid of Pain（ピラミッド・オブ・ペイン）

サイバー脅威ハンティングやインシデント対応で使われる有名な概念図。
下から上にいくほど、攻撃者にとって回避が難しく、防御側にとって価値が高い指標。
IoCの種類ごとに攻撃者への“痛み”の度合いを示すモデル。

• ハッシュ値（Hash Values）
  マルウェアファイルのハッシュ（MD5/SHA1など）。
  攻撃者はファイルを少し変更すればハッシュは簡単に変えられるため、防御効果は低い。
  
  
• IPアドレス（IP Addresses）
  攻撃元やC2サーバーのIP。
  攻撃者はプロキシやVPNを変えればすぐ別のIPが使える。
  
  
• ドメイン名（Domain Names）
  マルウェア通信に使われるドメイン。
  取得し直すのに多少コストがかかるが、比較的簡単に回避可能。
  
  
• ネットワーク/ホストアーティファクト（Network/Host Artifacts）
  特徴的な通信パターン、レジストリキー、ファイル名など。
  攻撃者は修正できるが、調整には労力がかかる。
  
  
• ツール（Tools）
  攻撃に使うマルウェアやフレームワーク（例：Mimikatz、Cobalt Strike）。
  独自に開発したツールを封じられると、再開発や入手に時間がかかるため痛手。
  
  
• TTPs（Tactics, Techniques, and Procedures：戦術・技術・手順）
  攻撃者の行動様式そのもの。MITRE ATT&CKで定義されるような「どんな手口で侵入・横展開・窃取するか」という戦略的パターン。
  ここを把握して防御すると、攻撃者は根本的に戦術を変えざるを得ないため、最も「痛い」。

Task 2　Hash Values (Trivial)

ハッシュ検索ツール

• VIRUSTOTAL
  世界中のセキュリティベンダーの検知結果を集約し、ハッシュ値を入力すると、そのファイルが既知のマルウェアかどうか即座に確認できる。
  
  
• Metadefender Cloud – OPSWAT
  マルチスキャンエンジンを利用し、ファイルの安全性や改ざん有無を検証できる。

セキュリティ研究レポート

• The DFIR Report
  実際の攻撃事例に基づき、どのようなマルウェアがどの環境で使われたのかを詳細に解説。
  
  
• Trellix Research
  セキュリティベンダーによる最新の脅威動向や解析記事が公開されている。

Task 3　IP Address (Easy)

• Fast Flux（ファストフラックス）
  サイバー攻撃者がDNSを悪用して、自分たちのサーバ（フィッシングサイト、マルウェア配布サイト、C2サーバなど）を隠したり、耐障害性を高めたりする技術。

Task 4　Domain Names (Simple)

• Punycode（ピュニコード）攻撃
  国際化ドメイン名（IDN）を悪用したフィッシング攻撃の一種。
  
  ・Punycodeとは
  　ASCIIで記述できないUnicode文字（漢字やキリル文字など非ASCII文字）をASCII互換文字列に変換する方式。
  
  ・国際化ドメイン名（IDN）とは
  　世界中の利用者向けに、漢字・ひらがな・キリル文字（ロシア語）、ギリシャ文字などをドメインに使えるようにした仕組みが 国際化ドメイン名（IDN）。
  
  ・攻撃の仕組み
  　攻撃者は見た目が正規サイトと同じに見えるドメインを登録できる。
  　
  　例：
  　本物： apple.com
  　偽サイト： аррӏе.com （キリル文字の「а」「р」「ӏ」「е」を使用）
  
  　人間の目には「apple.com」に見えるが、実際は別のドメイン。
  　ブラウザのアドレスバーでは apple.com と表示される場合もあり、ユーザーが気づきにくい。
  
  
• URL短縮サービス
  長いURL（Webアドレス）を短く変換してくれるサービス。
  本当の遷移先が見えないため、フィッシング詐欺やマルウェア配布に悪用されることがある。
  信頼できない短縮URLは直接クリックせず、「プレビュー機能」や展開ツールを使って遷移先を確認すると安全。
  
  攻撃者は通常、以下のURL短縮サービスを利用して悪意のあるリンクを生成。
  ※Pyramid of Pain　Task 4Domain Names (Simple)　より引用

• bit.ly
• goo.gl
• ow.ly
• s.id
• smarturl.it
• tiny.pl
• tinyurl.com
• x.co

　　・短縮URLサービスの公式プレビュー機能
　　　TinyURL → https://preview.tinyurl.com/xxxx
　　　bit.ly → 短縮URLの末尾に「+」を付けるとプレビュー画面が表示されます。
　　　例： https://bit.ly/3xyzabc に「+」をつけて https://bit.ly/3xyzabc+
　　
　　・専用の展開サービス
　　　CheckShortURL
　　　Unshorten.me

• Any.run
  マルウェア解析サンドボックスサービス。
  後述のTask5にてAny.run解析レポートの内容について簡易的に紹介。

Task 5　Host Artifacts (Annoying)

• Any.run解析レポートの簡易解説
  
  ・General Info（基本情報）
  　サンプルファイル名、ハッシュ値（MD5, SHA1, SHA256）、実行環境などが記載されている。
  
  ・Behavior Activities（挙動）
  　Malicious（悪意あり）、Suspicious（不審）、Info（情報レベル）。
  
  ・Malware configuration（マルウェアの設定情報）
  　マルウェアが内部に持つ設定パラメータ。
  　マルウェアの「行動方針」や「攻撃先」「通信手段」などが書かれている。
  
  ・Static Information（スタティック情報）
  　マルウェアファイルそのものを実行せずに解析して得られる基本的な情報。
  
  ・Video and Screenshots（ビデオとスクリーンショット）
  　マルウェアの挙動を記録・可視化した映像と画面キャプチャ。
  
  ・Processes（プロセス）
  　作成・実行されたすべてのプロセスの詳細な動きを可視化。
  
  ・Registry Activity（レジストリ操作の記録）
  　マルウェアがレジストリキーや値を「読み取り・作成・変更・削除」した履歴を時系列で記録。
  　永続化（自動起動）・構成変更・痕跡隠蔽・情報収集などの重要な行動の証拠になる。
  
  ・Files Activity（ファイルの操作履歴）
  　マルウェアがどのファイルを作ったか、変更したか、消したかを記録。
  　実際に何を「感染先に落とす（ドロップ）」かを確認できる重要な手がかり。
  
  ・Network Activity（ネットワーク通信の記録）
  　マルウェアが外部と通信した IPアドレスやドメイン名、プロトコル、ポート番号などを一覧で表示
  　C2サーバー（攻撃者の遠隔操作先）との通信、ファイルダウンロード、情報送信などの証拠を発見できる
  
  ・Debug output strings
  　実行中のマルウェアやプログラムが内部的に出力したデバッグメッセージのログを表示する。

Task 6　Network Artifacts (Annoying)

• tshark
  コマンドラインのパケット解析ツール。
  
  
• User-Agentの代表例
  IE系: MSIE、Trident
  Chrome系: Chrome/xx
  Firefox系: Firefox/xx
  Safari系: Safari/xxx（ただしChromeにも含まれるので注意）
  
  
• 設問：上記のスクリーンショットに表示されている User-Agent 文字列を使用するブラウザはどれですか? のヒント
  
  User-Agent 文字列
  Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; …)
  
  MSIE 7.0 と書かれている → 「Internet Explorer 7」に見せかけている。
  しかし、Trident/7.0 というIE互換レンダリングエンジンが使われている → これは Internet Explorer 11 が使うエンジン。
  つまり本当は Internet Explorer 11 で、互換モードを示す UA を偽装しているケース。
  
  
• なぜUser-Agentを偽装するのか
  検知回避（evasion technique）のため。
  
  ・古いInternet Explorer（IE7など）を偽装すると、大量に存在する正常なトラフィックと同じように見えるため、セキュリティ監視の目から隠れやすくなる。
  
  ・セキュリティ機器は、User-Agent の文字列に応じて検査の深さを変える場合があり、古いブラウザに特化した通信は「既知の安全なもの」として扱われ、詳細な検査をスキップすることがある。
  
  ・「IE 7.0」など人間が普通に使っていそうなものはホワイトリストに入っているケースもあり、ブロックを回避できる。

Task 7　Tools (Challenging)

• fuzzy hash
  似ているファイル同士を比較するためのハッシュ技術。
  通常のハッシュ（MD5、SHA256など）では不可能な、「類似度の比較」ができる。
  
  
• SSDEEP
  fuzzy hashの一種。
  ファイルを小さなブロック単位で比較し、類似性に基づくハッシュ（fuzzy hash）を生成。

Task 8　TTPs (Tough)

• MITRE  ATT&CK
  サイバー攻撃者が現実に使う戦術（Tactics）、技術（Techniques）、手順（Procedures）を体系的にまとめたナレッジベース。
  
  たとえば、Task5のレポートの場合、MITRE  ATT&CKに照らし合わせると
  
  – 初期アクセス：T1566.001（スピアフィッシング＋添付ファイル）
  – 実行：T1059.001（PowerShell）
  – C2通信：T1071.001（HTTPなど）
  
  などが該当する。

Task 9　Practical: The Pyramid of Pain

Pyramid of Painの演習問題。
各IoCレベル（ハッシュ値・IPアドレス・ドメインなど）の特徴を理解していれば解答可能。

Task 10　Conclusion

• Rapid7 の Advanced Persistent Threat Groups (APT Groups)
  Rapid7（ラピッドセブン）社 が公開している脅威インテリジェンス情報のまとめページ／ナレッジベース。