【初心者OK】ペネトレーションテストとは?自分のサーバを安全に攻撃する全手順

解析

「自分のサーバがハッカーに狙われたらどうなるの?」そんな不安を持つすべての方へ。ペネトレーションテスト(侵入テスト)とは、攻撃者の視点から自分のシステムを合法的に”疑似攻撃”して、脆弱性を事前に発見するセキュリティ手法です。本記事では、ITの知識がほぼゼロの初心者でも理解できるよう、ペネトレーションテストの仕組み・法律・手順・ツールをすべて解説します。

目次

  1. ペネトレーションテストとは何か?わかりやすく解説
  2. なぜペネトレーションテストが必要なのか?リアルな被害事例
  3. 【超重要】合法と違法の境界線:やってはいけないこと
  4. ペネトレーションテストの全体的な流れ(5ステップ)
  5. 実際に使われるツール10選:初心者向け解説
  6. Kali Linuxで始める:環境構築の手順
  7. 脆弱性の種類と発見方法:具体例で解説
  8. 発見した脆弱性への対策方法
  9. プロのペネトレーションテスターになるには?資格・キャリア
  10. まとめ:今日からできる第一歩

① ペネトレーションテストとは何か?わかりやすく解説

ペネトレーションテスト(Penetration Test)、略して「ペンテスト」とは、情報システムやネットワーク、Webアプリケーションに対して、本物の攻撃者(ハッカー)と同じ手法を使って侵入を試み、セキュリティ上の欠陥(脆弱性)を発見するテストのことです。

「ペネトレーション(Penetration)」は英語で「侵入・貫通」という意味です。つまり「侵入テスト」=「攻撃者に成りきって、突破できるか試してみる」テストです。

泥棒を雇って自分の家のカギを試す

よく使われるたとえ話があります。「本当に自分の家が安全かどうか確かめるために、プロの泥棒に頼んで侵入できるか試してもらう」イメージです。そして泥棒(=ペンテスター)は侵入に成功した場合、「この窓の鍵が弱い」「裏口のドアが古い」という報告書を出してくれます。家主(=システム管理者)はその報告を見て、穴をふさぎます。

項目 ペネトレーションテスト 本物のサイバー攻撃
目的 脆弱性の発見・改善 情報窃取・破壊・金銭詐取
許可 システム所有者の明示的な許可あり 許可なし(犯罪行為)
結果の扱い 報告書として所有者に提出 悪用・売却・公開
法的地位 合法(条件あり) 違法(不正アクセス禁止法など)

ペネトレーションテストと脆弱性スキャンの違い

混同されやすい用語に「脆弱性スキャン」があります。両者の違いは以下の通りです。

項目 脆弱性スキャン ペネトレーションテスト
自動化の度合い 主に自動ツール 手動+ツール
深さ 表面的な弱点リストアップ 実際に侵入を試みる
結果 「この脆弱性が存在する」 「この脆弱性を使って実際にここまで侵入できた」
時間・コスト 短時間・安価 時間・コストがかかる

ペネトレーションテストは単に「穴を見つける」だけでなく、「その穴を実際に通り抜けて、どこまで被害が及ぶか」を検証するより高度な手法です。

② なぜペネトレーションテストが必要なのか?リアルな被害事例

「うちは小さいサーバだから大丈夫」と思っていませんか?実は規模に関係なく、サーバやWebサービスは常に攻撃のターゲットになっています。

世界のサイバー攻撃の現実

  • IBMの「Cost of a Data Breach Report 2023」によると、データ侵害1件の平均被害額は約450万ドル(約6億5,000万円)に達します。
  • Verizonの「2023 Data Breach Investigations Report」では、Webアプリケーション攻撃が侵害の26%を占めると報告されています。
  • 日本の警察庁「令和5年上半期サイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェア被害件数は高止まりが続いており、中小企業も多数被害を受けています。

「穴を放置」した場合の典型的な被害シナリオ

  1. 情報漏洩:顧客の個人情報・クレジットカード番号が盗まれ、企業は賠償責任と信用失墜に直面する。
  2. ランサムウェア感染:サーバのデータが暗号化され、「復号したければ身代金を払え」と脅迫される。
  3. Webサイト改ざん:サイトがマルウェア配布の踏み台にされ、訪問者のPCにウイルスが拡散する。
  4. DDoS攻撃の踏み台:自分のサーバが他のサービスへの攻撃に利用され、共犯と見なされる可能性も。
⚠ 注意

「攻撃される前に自分で試す」ペネトレーションテストは、こうした被害を未然に防ぐための最も効果的な手段のひとつです。特にEC(通販)サイトや会員制サービスを運営している場合は、定期的な実施が強く推奨されます。

③ 【超重要】合法と違法の境界線:やってはいけないこと

ペネトレーションテストを始める前に、最初に必ず理解しなければならないのが法律です。ここを誤ると、善意でやっていても犯罪者になります。

日本の関連法律

法律名 概要 違反した場合
不正アクセス禁止法(1999年制定) 他人のコンピュータへの不正アクセスを禁止 3年以下の懲役または100万円以下の罰金
不正競争防止法 営業秘密の取得・使用・開示を禁止 10年以下の懲役または2,000万円以下の罰金
刑法(電子計算機損壊等業務妨害罪) コンピュータの機能を妨害する行為を禁止 5年以下の懲役または100万円以下の罰金
個人情報保護法 不正に個人情報を取得・提供することを禁止 1年以下の懲役または100万円以下の罰金
🚨 重要

ペネトレーションテストは、必ず自分が所有・管理するシステム、または書面で許可を得たシステムに対してのみ実施してください。他人のサーバやサービスに無断でアクセスすることは、「善意のテスト」であっても不正アクセス禁止法違反となり逮捕・起訴される可能性があります。「脆弱性を発見して教えてあげようとした」という意図は、法律上の免責理由にはなりません。

合法的にペネトレーションテストを行うための3原則

  1. 明示的な書面による許可:テスト対象のシステム所有者から、テスト範囲・期間・手法を明記した書面(スコープ合意書)を必ず取得する。
  2. テスト範囲の厳守:許可されたIPアドレス・ドメイン・システムのみを対象とし、範囲外のシステムには絶対に触れない。
  3. 取得した情報の守秘:テストで得た情報(パスワード・個人情報など)を第三者に漏らしたり、目的外に使用したりしない。
✅ 対策済み確認

自分が所有・契約しているVPS(仮想専用サーバ)やクラウドインスタンス(AWS, GCP, Azureなど)は基本的に自分のものなので、原則として自由にテストできます。ただし、AWSなどのクラウドサービスは利用規約でペネトレーションテストのルールを定めているため、事前にプロバイダのポリシーを確認し、必要に応じて申請を行ってください(AWSはVulnerability Disclosure Policyあり)。

④ ペネトレーションテストの全体的な流れ(5ステップ)

ペネトレーションテストは、場当たり的に攻撃するのではなく、体系化された手順に従って進めます。プロのペンテスターが使う標準的な5ステップを解説します。

STEP 1:偵察(Reconnaissance / 情報収集)

攻撃者が最初に行うのは「ターゲットの情報収集」です。直接システムに触れることなく、外から見える情報を集めます。

  • パッシブ偵察:対象システムに直接アクセスせず、公開情報(WHOIS・DNSレコード・SNS・Webアーカイブなど)から情報を収集する。
  • アクティブ偵察:対象サーバに軽いリクエストを送り(ポートスキャンなど)、開いているポートやOSの種類を特定する。

使用ツール例:Nmap、Shodan、theHarvester、WHOIS

STEP 2:スキャン(Scanning / 脆弱性スキャン)

収集した情報を元に、脆弱性スキャンツールを使って弱点を自動検出します。

  • どのポートが開いているか(TCP/UDP)
  • どのサービスが動いているか(HTTPサーバの種類、バージョンなど)
  • 既知の脆弱性(CVE)が存在するか

使用ツール例:Nessus、OpenVAS、Nikto(Webサーバ用)

STEP 3:エクスプロイト(Exploitation / 侵入の試み)

発見した脆弱性を実際に「突いて」、本当に侵入できるかを検証します。これがペネトレーションテストの核心部分です。

  • SQLインジェクションでDBの情報を取り出せるか
  • 古いApacheのバージョンの既知の脆弱性で管理者権限を取れるか
  • デフォルトパスワードのまま放置されたサービスがないか

使用ツール例:Metasploit Framework、SQLmap、Burp Suite

STEP 4:権限昇格・横断移動(Post-Exploitation)

初期侵入に成功した後、攻撃者は「もっと重要なシステムへのアクセス権を得ようとする」行動を取ります。ペンテスターもこれを再現します。

  • 一般ユーザー権限から管理者(root/Administrator)権限への昇格
  • 侵入したマシンを踏み台にして、隣のシステムへの横断移動
  • パスワードハッシュの取得・クラック

STEP 5:報告書作成(Reporting)

テスト結果を文書化し、システムオーナーに報告します。プロのペネトレーションテストにおいて、報告書は最終成果物です。

報告書に含める内容:

  • 発見された脆弱性の一覧と深刻度(CVSS スコア)
  • 実際の侵入経路の詳細
  • ビジネスへの影響評価
  • 優先度付きの修正推奨策
  • エグゼクティブサマリー(技術者以外でも読める概要)
✅ 対策済み確認

この5ステップは、PTES(Penetration Testing Execution Standard)やOWASP Testing Guideなど、国際標準に基づいた手順です。初心者はまずSTEP 1〜2(情報収集・スキャン)から始め、安全な練習環境(後述のVulnHub・HackTheBoxなど)で学習を進めることを推奨します。

⑤ 実際に使われるツール10選:初心者向け解説

ペネトレーションテストには多くのツールが使われます。初心者がまず知っておくべき代表的なツールを解説します。すべてオープンソースまたは無料で利用可能なものです。

ツール名 主な用途 難易度
Nmap ポートスキャン・ネットワーク探索 ★☆☆(初心者向け)
Metasploit Framework 脆弱性の実証・エクスプロイト ★★☆(中級)
Burp Suite(Community版) Webアプリケーションの脆弱性診断 ★★☆(中級)
Nikto Webサーバのスキャン ★☆☆(初心者向け)
SQLmap SQLインジェクション自動検出 ★★☆(中級)
Wireshark ネットワークパケット解析 ★★☆(中級)
John the Ripper パスワードクラッキング(テスト用) ★★☆(中級)
Aircrack-ng Wi-Fiセキュリティテスト ★★★(上級)
OpenVAS(Greenbone) 脆弱性スキャン(総合) ★★☆(中級)
OWASP ZAP WebアプリのSQLi・XSS検出 ★☆☆(初心者向け)

ツール① Nmap(Network Mapper)

ペネトレーションテストの「最初の一歩」として最もよく使われるツールです。1997年にGordon Lyon氏が開発し、現在も世界中のセキュリティエンジニアに使われています。

できること:

  • 指定したIPアドレスのどのポートが「開いている」かスキャン
  • 動いているサービスの種類(HTTP, SSH, FTPなど)を特定
  • OSの種類(Windows/Linux)を推測

ツール② Metasploit Framework

Rapid7社が開発する世界最大のオープンソース・エクスプロイトフレームワークです。2,000種類以上のエクスプロイト(攻撃コード)が含まれており、CTF(セキュリティ競技)や企業のペネトレーションテストで広く使われています。

⚠ 注意

Metasploitは非常に強力なツールです。許可を得た自分のシステムまたは練習環境(VulnHubなどの意図的に脆弱なVM)以外には絶対に使用しないでください。誤った使用は不正アクセス禁止法違反になります。

ツール③ Burp Suite

PortSwigger社が開発するWebアプリケーション専門のセキュリティテストプラットフォームです。無料のCommunity版でも、HTTPリクエストの傍受・改ざん、Webスキャナー機能などが利用できます。OWASP Top 10の診断に最適です。

⑥ Kali Linuxで始める:環境構築の手順

Kali Linuxは、Offensive Security社が開発するペネトレーションテスト専用のLinuxディストリビューションです。Nmap、Metasploit、Burp Suite、Wiresharkなど600以上のセキュリティツールがあらかじめインストールされています。

初心者におすすめの環境構築方法

方法A:VirtualBox(仮想マシン)でKali Linuxを動かす ←初心者最推奨

  1. VirtualBox(無料)を公式サイト(virtualbox.org)からダウンロード・インストール
  2. Kali Linux公式サイト(kali.org)から「Virtual Machines」用のイメージ(OVAファイル)をダウンロード
  3. VirtualBoxにOVAファイルをインポートして起動
  4. デフォルトのユーザー名:kali / パスワード:kaliでログイン

方法B:WSL2(Windows Subsystem for Linux)でKaliを使う

Windows 10/11ユーザーは、Microsoft Storeから「Kali Linux」アプリをインストールするだけで、WindowsからKaliのコマンドラインを利用できます。GUIは別途設定が必要ですが、コマンドラインツールは手軽に使えます。

練習用の安全な環境:意図的に脆弱なサーバ

自分のVPS以外で安全に練習する方法として、「意図的に脆弱に設計された練習用サーバ」があります。

サービス名 特徴 料金
HackTheBox(HTB) 世界最大のCTFプラットフォーム。リアルなシナリオで学べる 基本無料(Pro月額$14~)
TryHackMe ガイド付きで初心者でも始めやすい。日本語コンテンツも一部あり 基本無料(Premium月額$14)
VulnHub 脆弱なVMをダウンロードしてローカルで練習 完全無料
DVWA(Damn Vulnerable Web App) Webアプリ脆弱性の学習専用。自分のPCにインストールして使う 完全無料(オープンソース)
✅ 対策済み確認

初心者にはTryHackMeが最もおすすめです。各問題に丁寧な解説(Walkthrough)がついており、「ペネトレーションテストって何をするのか」を手を動かしながら学べます。まず無料プランで試してみましょう。

⑦ 脆弱性の種類と発見方法:具体例で解説

ペネトレーションテストで発見できる脆弱性は数多くありますが、初心者がまず知っておくべき代表的なものを解説します。

OWASP Top 10とは

OWASP(Open Web Application Security Project)は、Webセキュリティの標準化を目指す非営利団体です。「OWASP Top 10」は、世界中のWebアプリケーションで最もよく見られる脆弱性トップ10をまとめたリストで、セキュリティの業界標準として世界中で参照されています(最新版:OWASP Top 10:2021)。

代表的な脆弱性①:SQLインジェクション

ユーザーの入力フォームに悪意ある「SQL文」を埋め込んで、データベースを不正に操作する攻撃です。ログインフォームに以下のような文字を入力するだけで認証を突破できるケースがあります。

例:ユーザー名欄に ' OR '1'='1 と入力

これにより、「パスワードが何であれ常に真」になるSQL文が生成され、認証が突破されます。

発見方法:SQLmap、Burp Suiteで自動スキャン

対策:プリペアドステートメント(バインド変数)の使用、入力値のエスケープ処理

代表的な脆弱性②:クロスサイトスクリプティング(XSS)

攻撃者がWebページに悪意あるJavaScriptを埋め込み、サイトを訪問したユーザーのブラウザで実行させる攻撃です。クッキー情報の盗難、フィッシングページへのリダイレクトなどに悪用されます。

発見方法:OWASP ZAP、Burp Suiteでスキャン。手動では <script>alert(1)</script> などを入力フィールドに入力してテスト。

対策:出力時のHTMLエスケープ処理、Content Security Policy(CSP)の設定

代表的な脆弱性③:認証の不備

弱いパスワード、デフォルトの認証情報の放置、多要素認証(MFA)の未設定などが挙げられます。

発見方法:Hydra(ブルートフォースツール)によるパスワード試行テスト、手動チェック

対策:強力なパスワードポリシーの設定、MFA(二要素認証)の導入、ログイン失敗時のアカウントロック

代表的な脆弱性④:セキュリティの設定ミス(Security Misconfiguration)

OWASP Top 10の中で最も発生頻度が高いカテゴリです。具体例:

  • デフォルトの管理者パスワードを変更していない(admin/admin, root/rootなど)
  • 不要なポートが開きっぱなし(例:データベースポート3306が外部に公開されている)
  • エラーメッセージにシステム情報が詳細に表示される
  • ディレクトリリスティングが有効(Webサーバのファイル一覧が見える)

発見方法:Nmap(ポートスキャン)、Nikto(Webサーバスキャン)、手動確認

対策:不要なポートのファイアウォール閉塞、デフォルトパスワードの変更、定期的な設定レビュー

代表的な脆弱性⑤:古いソフトウェア(Outdated Components)

WordPress、Apache、OpenSSLなど、古いバージョンには既知の脆弱性(CVE)が存在します。攻撃者はこれを狙います。

発見方法:WPScan(WordPress専用スキャナ)、Nessus、OpenVAS

対策:ソフトウェアの定期的なアップデート、CVE情報の購読(NVD、JVNなど)

⑧ 発見した脆弱性への対策方法

テストで脆弱性が見つかったら、適切に修正します。修正は「重大度(CVSS スコア)」の高いものから優先的に対応します。

CVSSスコアとは

CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を0.0〜10.0のスコアで数値化する国際標準規格です。

スコア範囲 深刻度 対応優先度
9.0〜10.0 緊急(Critical) 即時対応(24時間以内)
7.0〜8.9 重要(High) 速やかに対応(1週間以内)
4.0〜6.9 警告(Medium) 計画的に対応(1ヶ月以内)
0.1〜3.9 注意(Low) リスク許容またはスケジュール対応

修正後の再テスト(リテスト)も忘れずに

脆弱性を修正したら、必ず「修正が正しく機能しているか」を再テストします。修正したつもりがミスで別の穴を開けてしまうこともあるからです。これをリテスト(Retest)と呼びます。

WordPressサイトの具体的な対策チェックリスト

  • ✅ WordPress本体・プラグイン・テーマを常に最新バージョンに保つ
  • ✅ 管理画面(/wp-admin)へのアクセスをIPアドレスで制限する
  • ✅ 管理者アカウントのユーザー名を「admin」から変更する
  • ✅ 強力なパスワード(16文字以上・英数字記号混在)を設定する
  • ✅ 二要素認証(2FA)プラグイン(Google Authenticatorなど)を導入する
  • ✅ セキュリティプラグイン(Wordfence, SiteGuard WP Plugin等)を導入する
  • ✅ SSL/HTTPS化(Let’s Encryptで無料取得可能)を徹底する
  • ✅ 定期的なバックアップを自動化する(UpdraftPlusなど)
  • ✅ PHPのバージョンを最新の安定版に保つ
  • ✅ サーバのエラーログを定期的に確認する
✅ 対策済み確認

WordPressサイトのセキュリティ強化で最も費用対効果が高いのは「自動更新の有効化」「強力なパスワード+2FAの設定」「Wordfenceなどのセキュリティプラグインの導入」の3点です。これだけで多くの一般的な攻撃は防ぐことができます。

⑨ プロのペネトレーションテスターになるには?資格・キャリア

ペネトレーションテストに興味を持ち、これをキャリアにしたいと考える方も増えています。日本でもサイバーセキュリティ人材の需要は急増しており、経済産業省は2030年までに約80万人のセキュリティ人材が不足すると試算しています(IPA「情報セキュリティ10大脅威2024」より)。

取得を目指すべき主要資格

資格名 発行機関 難易度 特徴
CompTIA Security+ CompTIA ★★☆ セキュリティ全般の基礎。入門として最適。
CEH(Certified Ethical Hacker) EC-Council ★★★ 倫理的ハッキングの国際標準資格。
OSCP(Offensive Security Certified Professional) Offensive Security ★★★★ 実技試験あり。世界最高水準のペンテスト資格。
情報処理安全確保支援士(登録セキスペ) IPA(日本) ★★★ 日本唯一の国家資格。企業からの評価が高い。
eJPT(eLearnSecurity Junior Penetration Tester) INE/eLearnSecurity ★★☆ 実技形式。初心者からペンテスターを目指す入門資格。

初心者の学習ロードマップ

  1. 月1〜2:ネットワーク基礎・Linux基礎を学ぶ(TryHackMe「Pre-Security Path」)
  2. 月3〜4:Nmap・Metasploitの基本操作をTryHackMeで習得
  3. 月5〜6:DVWA・VulnHubで実践的な脆弱性診断を体験
  4. 月7〜9:HackTheBoxに挑戦・CTFコンテスト参加
  5. 月10〜12:CompTIA Security+またはeJPT取得を目指す

日本国内での学習コミュニティ

  • SecHack365(国立研究開発法人情報通信研究機構 NICT):若手セキュリティ人材育成プログラム
  • CTF for ビギナーズ:日本語のCTF入門イベント
  • SECCON CTF:日本最大規模のCTFコンテスト

⑩ まとめ:今日からできる第一歩

ペネトレーションテストは、サイバー攻撃から自分のシステムを守るための最も実践的な手段です。本記事の内容をおさらいします。

  • ペネトレーションテストとは、攻撃者の手法を使って自分のシステムを合法的に検査すること
  • 必ず自分のシステムまたは書面による許可を得たシステムに対してのみ実施すること
  • 5ステップ(偵察→スキャン→エクスプロイト→後処理→報告)の流れで進める
  • まずはTryHackMe・DVWAなどの安全な練習環境から始める
  • WordPressサイトは「自動更新+2FA+セキュリティプラグイン」だけで大幅にセキュリティが向上する
🚨 重要

ペネトレーションテストの知識・技術は、使い方を誤ると犯罪になります。本記事の内容は、あくまで自分のシステムを守るための防衛的な学習を目的としています。他者のシステムへの無断アクセスは、どんな理由があっても不正アクセス禁止法違反となります。常に「合法の範囲内で」「許可を得て」学習・実施してください。

サイバーセキュリティの世界は奥が深く、勉強すればするほど「まだまだ知らないことがある」と気づかされます。しかし初めの一歩は小さくていい。今日のあなたにできる第一歩は、TryHackMeに無料登録して、最初のルームをクリアすることです。その体験が、セキュリティエンジニアへの扉を開きます。

参考資料・信頼できる情報源

  • OWASP(Open Web Application Security Project):https://owasp.org
  • IPA(情報処理推進機構)「情報セキュリティ10大脅威」:https://www.ipa.go.jp
  • PTES(Penetration Testing Execution Standard):http://www.pentest-standard.org
  • NVD(National Vulnerability Database):https://nvd.nist.gov
  • 警察庁「令和5年上半期サイバー空間をめぐる脅威の情勢等について」
  • IBM「Cost of a Data Breach Report 2023」
  • Verizon「2023 Data Breach Investigations Report」

コメント