ホワイトハッカーへの道 / Want to Be an Ethical Hacker? Here's Where to Begin


Want to Be an Ethical Hacker? Here's Where to Begin:

サイバーセキュリティのスキル不足はピークレベルに達しており、大規模なサイバー攻撃が迫る中、この分野では50万人以上の求人が出ています。その結果、企業はサイバーセキュリティを強化するために、「ホワイトハッカー」を活用するようになっています。このホワイトハッカーは、バグや脆弱性を積極的に発見することで生計を立てている経験豊富なプロフェッショナルです。

では、このホワイトハッカーはどのようにして始めるのでしょうか。

従来の技術職の仕事に縛られることなく、彼らはオンラインリソースを活用して独学し、他のハッカーを観察し、既存のプロフェッショナルから戦術を学ぶことができるのです。これらのリソースを活用することで、初心者ハッカーはサイバーセキュリティの領域で特定の情熱を見出し、最終的にホワイトハッカーの専門家として自分の足跡を残すことができます。

初心者はここを見るべし

ハッキングの世界に足を踏み入れたばかりの初心者は、基本的な資料を活用し、用語やベストプラクティス、脆弱性報告など、組織で求められる知識を身につける必要があります。

  • Nahamsecの「Resources for Beginner Bug Bounty Hunters」では、ハッキングを学ぶためのリソースの索引を提供しています。

  • Codingoのウェブサイト上の検索機能は、ハッカーの検索可能な公開コンテンツの膨大なスタックをインデックス化しています。

  • S0cm0nkeyの「Security Reference Guide」も、サイバーセキュリティのリソースの宝庫です。

  • InfosecWriteupsは、CTFやバグバウンティなどのサイバーセキュリティ関連の書き込みを大量に掲載しているMediumの出版物です。

自分で手を動かして学ぶ

時には、学ぶための最良の方法は、実行することです。以下のラボは、ハッカーが様々なタイプの倫理的ハッキングを実際に体験する機会を提供します。

  • Pentesterlab:ハッキングの方法を学ぶためのハンズオンアプローチ。

  • Portswigger Labs: Webアプリケーションのセキュリティラボの巨大なセットで、完全に無料です。

  • Tryhackme: サイバーセキュリティのトレーニングプラットフォームと対戦型ハッキングゲームで、基礎のためのプレセキュリティ、攻撃的なペンテスト、サイバーディフェンスの3つのストリームから選択できます。

  • Hackthebox: 世界的に有名なCTF(Capture The Flag)ゲーム。トレーニング用の "トラック "も提供されている。

  • Kontra:アプリケーション・セキュリティについて開発者に教えるために設計された、一連のホストラボを提供するオンラインプラットフォーム。

  • Hacker101.com:バグバウンティプラットフォームHackeroneによって作られた、Webセキュリティのためのオンライントレーニングプラットフォームです。

  • Vulnhub:仮想マシンの脆弱性を利用した「チャレンジボックス」をアップロードすることができるプラットフォーム。目標は、様々な脆弱性を悪用して、これらのマシンのルート/システムレベルのアクセス権を得ることです。

専門家(プロ)から学ぶ

ホワイトハッカーはしばしばプロの発見を共有することに熱心で、初心者は彼らをよくフォローする必要があります。プロがどのようにバグバウンティ作業に取り組んでいるかを理解することは、 新米ハッカーが効果的に習慣を形成するのに役立ちます。(注意: これらのリソースの中には、かなり長い間更新されていないものもありますが、古い資料でも非常に有益な場合があります!)

  • Hackerone Hacktivity:Hackeroneプラットフォームで公開された脆弱性のストリームを無制限に利用できます。

  • Crowdstream:クラウドストリーム。HackeroneのHacktivityに相当するBugcrowd。

  • Pentesterland:初心者のハッカー向けに、バグバウンティの書き込みやリソースの大規模な精選リストを提供する。

  • D0nut's blog: たくさんの逸品が混在しています。

  • Intigriti's Medium Publication:多くの素晴らしいバグバウンティコンテンツで満たされています。

  • Secjuice:CTFの記事、チュートリアル、方法論など、サイバーセキュリティに関する記事を掲載する非営利の出版物です。

  • Detectify Labs: 著名なハッカーによるサイバーセキュリティの研究を大量に掲載。


動画で学ぶ

既存のハッカーを観察するためのもう一つの素晴らしいリソースは、YouTubeのコンテンツです。多くの著名なハッカーは、知識共有のために自分の仕事に関するコンテンツを投稿します。新しいハッカーは、キャリア、新しい発見、企業の報奨金プログラムとの連携方法について理解することができます。

  • Liveoverflow:サイバーセキュリティに関するYouTubeの伝説的存在で、さまざまなトピックについて300本以上のビデオを公開しています。

  • John Hammond:CTFウォークスルー、プログラミングチュートリアル、インタビュー、ダークウェブ、マルウェア解析など、あらゆるトピックをカバーするチャンネルです。
  • Nahamsec: 毎週日曜日に「Recon Sundays」を配信しており、偵察の様子をライブで配信したり、ゲストを招いたりしている。

  • STÖK: 主にバグバウンティに関連するビデオを制作しています。ハッカーにインタビューしたり、ハッキングイベントをライブで記録したり、「Bug Bounty Thursdays」という業界ニュースを毎週発表している。

  • Farah Hawa: 複雑なトピックを基本に落とし込んで、理解できるように説明する。様々なバグクラス、ハッキングのプロセス、キャリアについて説明しています。

  • Codingo: ツール、ハッキングプロセス、リコンなど、バグバウンティに特化したビデオを制作しています。

  • PwnFunction: 主にWebアプリケーションのハッキングにフォーカスしています。

  • Ippsec: HackTheBoxのチャレンジボックスのウォークスルーを作成し、プロフェッショナルの肩越しに見ているようなシミュレーションを行う。

  • InsiderPhD: ハッキング、バグバウンティ、機械学習などに関するビデオを制作しています。

  • Hakluke:そして最後に、私です! 説明ビデオ、バグバウンティレポートの説明、キャリア、マインドセットビデオなど。