Kali Tools #009｜John the Ripper：パスワード強度を検証する定番ツール

※本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

今日は「John the Ripper」を紹介したいと思います。

John the Ripperはオープンソースのパスワードクラッカーで、複数のアルゴリズムを使ってパスワードをブルートフォースすることができます。様々な種類のドキュメントやアーカイブのパスワードを解除したり、様々なリソースのシンプルなユーザーパスワードを解除することができます。Johnの欠点は、ハッシュをクラックすることしかできないことです。つまり、暗号化されたファイルを直接扱うことはできません。例えばオフィス文書を開き、そこにパスワードを入力するようなことはできません。

以下の例では、JohnがすでにインストールされているKali Linuxを使って説明します。インストールは以下のコマンドで行えます。

# sudo apt install john -y

例として、暗号化されたアーカイブのパスワードをクラックする方法を見てみましょう。

ハッシュ値の抽出

まず、問題のファイルのハッシュを計算（抽出）する必要があります。zip2johnと呼ばれる補助ユーティリティーを使います。

ここで、アーカイブがあるフォルダに移動します。

# cd (ファイルパス)

zip2johnを実行し、結果（抽出したハッシュ）をTest.txtという同じフォルダに保存します。

# zip2john Test.zip > Text.txt

異なるファイル形式からハッシュを抽出する場合は、補助ユーティリティの名称が変わります。いくつか例を挙げてみましょう。

rarファイルからハッシュを抽出する場合。

# rar2john Test.rar > Text.txt

7zアーカイブからハッシュを抽出する場合。

# 7z2john.pl '/mnt/disk_d/Arch/from_kali.7z'

MS Word 2019ファイルからハッシュを抽出する場合。

# office2john.py '/mnt/disk_d/Share/Secret.docx' 2>/dev/null

Wi-Fiハッキングのためのハンドシェイクからハッシュを抽出する場合。

# wpapcap2john ~/RT-725140.pcap

キャプチャしたネットワークトラフィックからVNCハンドシェイクのハッシュを抽出する場合。

# vncpcap2john '/home/mial/VNC.pcapng'

SSHキーのハッシュを抽出する場合。

# ssh2john id_rsa > Text.txt

この抽出したText.txtファイルに対して、johnコマンドで解析を進めます。

ランニング

最も頻繁に使われるオプションとしては、--mask（パスワードを生成するためのマスク）と--wordlist（辞書ファイルの指定）が挙げられます。

辞書ファイルを用いた解析を行うには、辞書が必要です。Kali Linuxにはseclistsと呼ばれるパッケージが用意されているのでインストールします。

# sudo apt install seclists -y

/usr/share/seclists/ 配下にファイルが展開されます。

辞書攻撃を行うには、次のようなコマンドを実行します。

john --wordlist=(辞書ファイル)

辞書として、/usr/share/seclists/Passwords/rockyou.txtファイルを使う場合、コマンドは以下のようになります。

john --wordlist=/usr/share/seclists/Passwords/rockyou.txt Text.txt

実行結果の例は以下となり、pass123がパスワードであることが分かります。

# sudo john --wordlist=/usr/share/seclists/Passwords/rockyou.txt Text.txt
Using default input encoding: UTF-8
Loaded 1 password hash (PKZIP [32/64])
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
pass123          (secure_1605054835063.zip/zippy/flag.txt)
1g 0:00:00:00 DONE (2024-07-26 21:44) 8.333g/s 136533p/s 136533c/s 136533C/s 123456..christal
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

マスク攻撃を行うには、次のような形式のコマンドを使用します。

./john --mask=(マスクハッシュ)

例えば、こんな感じです。

./john --mask='?d?d?d?d?d?d' Text.txt

マスク別にパスワードを把握するためのちょっとしたメモをご紹介します。

Static Characters.

Ranges in the syntax [aouei] or [a-z]. Or both, [0-9abcdef] is the same as [0-9a-f].

Fillers that are just an abbreviated form for ranges, such as ?l, which is 100% equivalent to [a-z].

?l is lowercase ASCII letters

?u are ASCII uppercase letters.

?d are numbers

?s are special characters (all printable ASCII characters except those included in ?l, ?u, or ?d)

?a is full "printable" ASCII. Note that for formats that are not case-sensitive (e.g., LM), this designation includes only lowercase characters, which significantly reduces the key space (the number of possible password candidates), but still covers all possible variants available for a given hash type.

?B is all 8-bit (0x80-0xff)

?b is all (0x01-0xff) (the NULL character is currently not supported by the kernel).

?h are lowercase hexadecimal digits (0-9, a-f)

?H are upper case HEX digits (0-9, A-F)

?L are lowercase, non-ASCII letters

?U are uppercase letters, non-ASCII

?D are "numbers", non-ASCII

?S is for non-ASCII "special characters"

?A is all valid characters in the current code page (including ASCII). Note that for formats that do not recognize case (e.g. LM), this includes only lowercase characters, which greatly reduces the number of password candidates without compromising cracking.

Fillers that are user-defined, so we can, for example, set the value to ?1 and assign it a value, such as [?u?l]. In Hashcat, this is called "user-defined character sets".

?1 .. ?9 is a user-defined placeholder 1 . 9

Fillers for hybrid mask mode:

?w is in Hybrid Mask Mode denotes the source word created by the parent mode.

?W is like ?w except that the source word is case-sensitive (so PassWord becomes PASSWORD).

今回は、John the Ripperの用途の一つをざっと見てみましたが、決してそれだけではありません。

LinuxでJohnを使えない場合は、開発者が気を利かせて、WindowsやMacOSで使える可能性を加えてくれましたが、これはお勧めできません。興味のある方は、インターネット上にたくさんのガイドや記事があります。

以上、ここから先は誠意を持って対応してくださいこの記事がどなたかのお役に立てれば幸いです。

出典：Брутфорс - John the Ripper（アーカイブ）

Kali Tools #008｜PDFiD：PDFに潜む悪性コードを高速スキャンする解析ツール

PDFファイルは便利ですが、悪意のあるコードが埋め込まれている可能性もあり、セキュリティ上のリスクとなります。そこで今回は、PDFiDというツールをご紹介します。

PDFiDは、PDFファイル内の特定のキーワードをスキャンし、潜在的な脅威を素早く検出するツールです。 JavaScriptを含むPDFや、開いたときにアクションを実行するPDFなど、危険なファイルを見つけ出すことができます。

PDFiDの特長

軽量でシンプルな設計
高速なスキャン
難読化されたファイル名にも対応
疑わしいファイルのみを詳細な解析に送ることで、時間を節約

使い方

aptコマンドでインストールします。

sudo apt install pdfid
使い方

root@kali:~# pdfid -h
Usage: pdfid [options] [pdf-file|zip-file|url|@file] ...
Tool to test a PDF file

Arguments:
pdf-file and zip-file can be a single file, several files, and/or @file
@file: run PDFiD on each file listed in the text file specified
wildcards are supported

Source code put in the public domain by Didier Stevens, no Copyright
Use at your own risk
https://DidierStevens.com

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -s, --scan            scan the given directory
  -a, --all             display all the names
  -e, --extra           display extra data, like dates
  -f, --force           force the scan of the file, even without proper %PDF
                        header
  -d, --disarm          disable JavaScript and auto launch
  -p PLUGINS, --plugins=PLUGINS
                        plugins to load (separate plugins with a comma , ;
                        @file supported)
  -c, --csv             output csv data when using plugins
  -m MINIMUMSCORE, --minimumscore=MINIMUMSCORE
                        minimum score for plugin results output
  -v, --verbose         verbose (will also raise catched exceptions)
  -S SELECT, --select=SELECT
                        selection expression
  -n, --nozero          supress output for counts equal to zero
  -o OUTPUT, --output=OUTPUT
                        output to log file
  --pluginoptions=PLUGINOPTIONS
                        options for the plugin
  -l, --literalfilenames
                        take filenames literally, no wildcard matching
  --recursedir          Recurse directories (wildcards and here files (@...)
                        allowed)

実行例

root@kali:~# pdfid /usr/share/doc/texmf/fonts/lm/lm-info.pdf
PDFiD 0.0.12 /usr/share/doc/texmf/fonts/lm/lm-info.pdf
 PDF Header: %PDF-1.4
 obj                  526
 endobj               526
 stream               151
 endstream            151
 xref                   1
 trailer                1
 startxref              1
 /Page                 26
 /Encrypt               0
 /ObjStm                0
 /JS                    0
 /JavaScript            0
 /AA                    0
 /OpenAction            0
 /AcroForm              0
 /JBIG2Decode           0
 /RichMedia             0
 /Launch                0
 /EmbeddedFile          0
 /Colors > 2^24         0

PDFiDとpdf-parser.pyの使い分け

PDFiDは、PDFファイルの迅速なトリアージに最適です。疑わしいファイルが見つかった場合は、pdf-parser.pyなどの詳細な解析ツールを使ってさらに詳しく調べることをおすすめします。

PDFiDは、セキュリティ意識の高いすべてのユーザーにおすすめのツールです。ぜひダウンロードして、あなたの大切なデータを悪意のある攻撃から守ってください。

出典①：MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -（アーカイブ）

出典②：pdfid | Kali Linux Tools

Kali Tools #007｜SET（Social-Engineer Toolkit）徹底解説｜ソーシャルエンジニアリングの検証ツール

※本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

Social-Engineer Toolkit（SET）は、人間要因のセキュリティを検証するためのフレームワークです。

Kali Linux に標準搭載されており、フィッシング模擬演習、偽サイト生成、メールシナリオ作成など、ソーシャルエンジニアリングに関する多くの検証機能を備えています。

SET は David Kennedy（ReL1K）氏によって開発され、現在もコミュニティの協力により継続的に改善されています。

通常のペネトレーションテストではサーバー側の脆弱性に注目することが多いですが、実際のインシデントでは利用者（クライアント側）の認証情報窃取や操作誘導が大きな割合を占めます。

そのため、ソーシャルエンジニアリングのシナリオを理解し、リスクを把握することは非常に重要です。

SET の代表的な機能

SET にはさまざまな検証機能がありますが、代表的なものは以下の通りです。

Credential Harvester（認証情報の収集）
偽ログインページのクローン生成（Site Cloner）
フィッシングメールの模擬送信
ブラウザやプラグインの脆弱性を検証する機能

今回は、もっとも分かりやすい「Credential Harvester」を使い、クローンサイトで入力された認証情報がどのように収集されるのかを見ていきます。

1. SET の起動

ルート端末で次のコマンドを実行します。

sudo setoolkit

メニューが表示されるので、以下の順で選択します。

Social-Engineering Attacks
Web Site Attack Vectors
Credential Harvester Attack Method
Site Cloner

2. Harvester の設定

■ ① 受信先 IP アドレスの入力

「POSTデータの送信先 IP」を聞かれるので、Kali ホストの IP アドレスを入力します。
例： 192.168.56.1

■ ② クローンする対象 URL を入力

ログインフォームを持つ URL を指定します。
例：

http://192.168.56.102/peruggia/index.php?action=login

■ ③ Apache を起動する

Apache を使ってページを公開するので「Yes（y）」を選択します。

3. クローンされたページの確認

ブラウザで以下にアクセスします。


http://192.168.56.1/

元のログインページと同じ見た目の画面が表示され、入力内容は Kali 側に転送されます。
試しに以下を入力してみます。

ユーザー名：harvester
パスワード：test

ログインボタンを押すと、元のログインページにリダイレクトされます。

4. 収集されたデータの確認

Kali の /var/www/html/ ディレクトリに戻り、生成されたファイルを確認します。

cd /var/www/html

harvester_日付.txt というファイルが生成されており、入力した情報が記録されています。

cat harvester_2025-11-22_23:16:24.txt

入力したユーザー名・パスワードがここに保存されます。

5. SET の動作原理

SET がサイトをクローンする際、以下の3ファイルを生成します。

● 1）index.html

元のログイン画面そのものをコピーしたファイル。

● 2）post.php

POSTされたデータを受信し、日時入りファイルに書き込む処理を行う小さなPHPスクリプト。
利用者の入力を保存したあと、メタタグで元のログインページへリダイレクトします。

● 3）harvester_日時.txt

実際に入力された認証情報が保存されるテキストファイル。

この仕組みにより、ユーザーは「パスワードを間違えた」と思い、気づかないまま再度入力を行うケースもあります。

🔚 まとめ

SET（Social-Engineer Toolkit）は、人間要因の脆弱性を理解するための非常に重要な検証ツールです。

クローンサイトの動作や認証情報の処理フローを把握することで、実際のフィッシング手口や誘導の仕組みを学び、防御に役立てることができます。

参考：Kali Linux Web 渗透测试秘籍第九章客户端攻击和社会工程（アーカイブ）

Kali Tools #006｜Weevely：軽量Webシェルでリモート操作を自動化するツール

※本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

Weevelyは、Kali Linuxに標準搭載されている 軽量PHP Webシェル生成ツールです。
一見するとシンプルなPHPファイルですが、攻撃者が好んで使う“ステルス性の高いバックドア”として知られています。

Weevely を使うと、侵入後のサーバーに対して コマンド実行・ファイル操作・接続情報の取得 といった操作を、あたかも telnet や SSH に近い感覚 で行うことができます。
そのため、正規の管理者が利用するケースは少ないものの、攻撃手法を理解する目的で学習しておく価値の高いツールといえます。

🔍 ポイントを整理すると

PHPで書かれたWebシェルを生成
見た目は軽量だが、内部には多くの“武器”を搭載
ステルス性が高いためログに残りづらい
**侵入後の操作自動化（Post-Exploitation）**が得意
リモートファイル管理・コマンド実行など多機能
Kali Linux に標準収録されており、学習しやすい

【参考】

Weevely Package Description

weevely3 – 武器入りウェブシェル

https://github.com/epinna/Weevely/

Kali Tools #005｜urlcrazy：そっくりドメイン・タイポスクワッティングを高速チェック

※本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

urlcrazyは、ターゲットの「そっくりドメイン（類似ドメイン）」を大量に自動生成して、
それらが 実際に登録されているか／稼働しているか／危険な用途に使われていないか を調査できるOSINTツールです。

フィッシング、タイポスクワッティング、ブランドなりすまし対策、CSIRT業務などで広く利用されており、
“正規ドメインの影で何が起きているのか” を素早く把握することができます。

🔍 urlcrazyで分かること

タイポミスを利用した 偽ドメイン（typosquatting）
使用されている IPアドレス・NS・MX
どの国のサーバで稼働しているか
有効／無効のドメイン判定
バリエーション生成（ドメイン permutation）
フィッシング・ブランド悪用の可能性

シンプルな操作で危険ドメインの洗い出しを自動化できます。

🧩 主な特徴

15種類のドメインバリエーションを自動生成
8,000件以上の一般的なスペルミスに対応
**宇宙線によるビット反転（bit flipping）**などの特殊パターンに対応
複数キーボードレイアウト（qwerty / azerty / qwertz / dvorak）に対応
生成されたドメインの
- 有効性
- 稼働状況
- NS・MXの取得
- 人気度
  を自動チェック

コンパクトなツールながら、偽ドメイン調査では強力な性能を持ちます。

🖥️ 実行例（b-son.netを調査）

$ urlcrazy b-son.net
Warning. File descriptor limit may be too low. Check with `ulimit -a` and change with `ulimit -n 10000`

URLCrazy Domain Report
Domain    : b-son.net
Keyboard  : qwerty
At        : 2025-11-24 15:49:11 +0900
# Please wait. 2008 hostnames to process

Typo Type              Typo Domain                     IP              Country             NameServer                MailServer                   
------------------------------------------------------------------------------------------------------------------------------------------------------
Original               b-son.net                       216.239.32.21   UNITED STATES (US)  dns3.name-services.com.   alt2.aspmx.l.google.com.     
Character Omission     b-on.net                                                                                                                   
Character Omission     b-sn.net                                                                                                                   
Character Omission     b-so.net                        217.160.0.172   GERMANY (DE)        ns1087.ui-dns.de.         mx00.ionos.fr.               
Character Omission     b-son.ne                                                                                                                   
Character Omission     bson.net                        104.21.96.10    UNITED STATES (US)  dee.ns.cloudflare.com.    alt1.aspmx.l.google.com.     
Character Repeat       b--son.net                                                                                                                 
Character Repeat       b-sonn.net                                                                                                                 
Character Repeat       b-soon.net                                                                                                                 
Character Repeat       b-sson.net                                                                                                                 
Character Repeat       bb-son.net                                                                                                                 
Character Swap         -bson.net                                                                                                                  
Character Swap         b-osn.net

大量の類似ドメインが生成され、実際に稼働しているもの／NSやMXが設定されているものを簡単に把握できます。

📌 まとめ

urlcrazyは、偽サイト対策やブランド保護を行う上で非常に有用なツールです。
特に 企業名・サービス名のドメインが狙われやすいケース では、定期的に調査することでリスクを早期に把握できます。

Kali Tools #004｜Maltego：企業調査・ドメイン分析に使える可視化OSINTツール

※本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

Maltego は、企業調査やドメイン分析において “関連情報をまとめて可視化できる” OSINTツールです。

公開情報を自動で収集し、人物・企業・ドメイン・SNS・IPアドレスなどの関係性をグラフ化して示してくれます。

たとえば、

企業と関連ドメイン
ドメインに紐づくIPアドレスやDNS情報
メールアドレスやSNSアカウント
文書・ファイルに含まれるメタデータ
など、調査対象の周辺情報を一つの画面にまとめ、どこが“攻撃対象領域”になり得るかを視覚的に把握できます。

MaltegoはJava製のため、Windows / macOS / Linux のいずれでも利用可能です。GUIが優れており、ノードをクリックするだけで「2〜4段階先」の関連性までたどれるのが強みです。

また、Maltegoは 高度にカスタマイズ可能なフレームワーク を備えており、必要に応じて独自のTransform（自動調査モジュール）を追加できます。

調査対象に応じて拡張することで、企業内部の資産構造や外部公開領域の洗い出しにも応用できます。

🔍 Maltegoでできること（例）

企業・組織の外部公開資産の可視化
ドメインに関連するDNS・IPアドレスの調査
メールアドレスに紐づくSNSアカウント探索
文書ファイルに含まれるメタデータ解析
情報同士の関係性マッピング（人物–企業–サイトなど）

情報収集フェーズ全体を効率化し、漏れなく網羅できる のがMaltegoの最大のメリットです。

🖼️ 実行イメージ

Kali Tools #003｜Fierce：ドメインに紐づくIPアドレスを効率的に収集する

※本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

Fierce は、Perlで書かれたシンプルながら強力な DNS・IP 情報収集ツールで、
特定のドメインに紐づくサブドメインやIPアドレスを効率的に洗い出す ために利用されます。

もともとは RSnake 氏によって開発され、
http://ha.ckers.org/（現在は閉鎖）のセキュリティ研究コミュニティでも使用されていました。

企業ネットワークのリコン（情報収集）に使われる“古典的ツール”のひとつです。

Fierceの特徴

🔍 DNSベースのリコンに特化した軽量ツール
🌐 サブドメイン列挙 → IP探索 → 範囲スキャン を自動的に実施
🗺️ ネットワークの“つながり”を粗く把握しやすい
⚠️ ゾーン転送の誤設定やワイルドカード設定のミスも検出

シンプルですが、
「対象ドメインのネットワーク構造をざっくり把握する」ための最初のステップ
として依然人気があります。

実行すると何が分かる？

Fierceは以下の情報をまとめて取得します：

対象ドメインのネームサーバ（NS）
SOAレコード情報
ゾーン転送の可否
ワイルドカードDNSの有無
既知のサブドメイン → IPアドレス
ネットワーク範囲に存在するホスト

いわゆる OSINT やペネトレーションテスト前の 一次スキャン に最適です。

使い方（例：b-son.net）

$ fierce --domain b-son.net
NS: dns5.name-services.com. dns1.name-services.com. dns4.name-services.com. dns2.name-services.com. dns3.name-services.com.
SOA: dns1.name-services.com. (64.98.148.137)
Zone: failure
Wildcard: failure
Found: blog.b-son.net. (142.250.207.19)

どんな用途で使う？

自社ドメインのセキュリティ確認
ペンテストのリコン段階
企業ネットワークの見逃しポイント（Shadow IT）調査
古い設定を洗い出して棚卸し
OSINT調査の初期ステップ

注意点

Fierceは“スキャンツール”ではなく
DNS問い合わせベースの情報収集ツール なので負荷は大きくありません。

ただし、以下は遵守が必要です：

自分が許可を持つドメイン以外への大量スキャンはNG
ペンテスト用途は必ず許可を取得
公開DNSの設定ミス（ゾーン転送）を不用意に試すのは避ける

まとめ

Fierceは軽量で扱いやすく、
「ドメイン周辺の構造をざっくり把握」するのに最適な古典的DNSリコンツール です。

Kali Tools #002｜dnsmapでサブドメインを一括探索する基本

＃本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

サイバー攻撃の入口として最も狙われやすいのは、実は「会社が気づいていないサブドメイン」です。

表向きのホームページとは別に、テスト環境や運用用にひっそり残された“裏口”のようなサブドメインが存在し、攻撃者はまずそれを探し当てます。

そこで役に立つのが、Kali Linux に標準搭載されている dnsmap。

ドメイン名を渡すだけで、関連するサブドメインを一括で探索してくれる、情報収集フェーズの定番ツールです。

本記事では、dnsmap の基本的な仕組みから、実際の使い方、結果の見方までをわかりやすく整理します。

“攻撃者が最初に見るポイント” を知ることで、自分の環境を守る視点も得られるはずです。

🧭 dnsmapとは？

dnsmap は 指定したドメインのサブドメインを自動で探し出すツール です。
Webサイトには、公開ページとは別に運用用・テスト用のサブドメインが隠れていることがあり、攻撃者はまずそれを探します。

例：

admin.example.com
dev.example.com
staging.example.com

これらを見つけることで、 潜在的な弱点を洗い出す ことが可能になります。

⚠️ 注意：自分が管理していないドメインに対して無断で実行することは禁止されています。

🛠️ dnsmapを使うタイミング

セキュリティ診断の最初期である 情報収集（Enumeration）フェーズ で利用します。

サブドメイン列挙にはいくつか方法がありますが、

DNSゾーン転送
OSINT検索（VirusTotal、crt.shなど）

が失敗した場合の“次の一手”として ブルートフォース型のdnsmap が有効です。

特に、ゾーン転送がほとんど許可されなくなった現代では、dnsmap が安定的に使える手法 です。

💡 基本的な使い方

非常にシンプルで、以下のようにドメインを渡すだけです。

dnsmap example.com

dnsmap には内部ワードリストが含まれており、その単語を組み合わせてサブドメインを自動探索します。

📌 実行例：b-son.net のサブドメイン探索

$ dnsmap b-son.net
dnsmap 0.36 - DNS Network Mapper

[+] searching (sub)domains for b-son.net using built-in wordlist
[+] using maximum random delay of 10 millisecond(s) between requests

blog.b-son.net
IPv6 address #1: 2404:6800:4004:820::2013

blog.b-son.net
IP address #1: 142.250.207.19

[+] 1 (sub)domains and 2 IP address(es) found
[+] completion time: 220 second(s)

🔍 結果の読み方

blog.b-son.net
→ 発見されたサブドメイン
142.250.207.19
→ そのサブドメインが解決するIPアドレス
1 (sub)domains found
→ 見つかった数
completion time
→ 実行時間（ワードリスト数と遅延設定で変動）

dnsmap はブルートフォース型なので、対象によっては 数分〜数十分かかる こともあります。

⚙️ 実務でのポイント

Wordlist を拡張すると精度が上がる
遅延（–d）を加えて負荷を下げられる
発見したサブドメインを Nmap や ffuf に渡して深堀りできる

dnsmap 単体では“発見”までですが、ここから 脆弱性スキャンやポートスキャンに繋げる流れ を押さえておくと理解が深まります。

📝 まとめ

dnsmap は サブドメイン探索専用の軽量ツール
ゾーン転送が使えない環境で特に有効
実行はシンプル、結果の読み取りも直感的
Wordlist のカスタムで精度向上
自分の管理ドメインに対してのみ使うこと

Kali Tools #001｜OWASP ZAPでWeb脆弱性を自動診断する基本

※ 本記事では、ZAPを学習目的・自己管理下の環境のみで使用する方法を解説します。

他者サイトへの無断スキャンは不正アクセス禁止法に抵触する可能性があります。

サイバーセキュリティの話を一般の人に説明する際、よく「身近なもの」に例えることがあります。

インシデントレスポンスは消防に例えられるように、セキュリティ担当者のキャリアも医者にたとえると分かりやすいかもしれません。

医者には大学病院で高度な設備を使う医師もいれば、地方総合病院の医師、町医者もいるように、

セキュリティ担当者も**専門ベンダー（大学病院級）→ 有償ツールで高度分析する層（総合病院級）→ 無償ツールで最低限を押さえる層（町医者級）**といった段階があります。

今日は、この「町医者クラス」で最低限の診断を行うために欠かせないツールを紹介します。

🛠️ OWASP Zed Attack Proxy（ZAP）とは？

OWASP ZAPは、OWASP（Open Web Application Security Project）が開発する無料のWeb脆弱性スキャンツールです。

Linux・Windows両方で動作し、Kali Linuxには標準搭載されています。
日本語版もあり、無料ツールの中では特に使いやすく、初心者でも扱いやすいのが特徴です。

🔍 OWASP ZAPでできること

ZAPは「自動スキャン」を押すだけで、対象サイトの脆弱性を一気にチェックできます。
一般的に、次のような用途で使われます。

Webサイトの脆弱性スキャン
通信内容の可視化（プロキシとして動作）
手動による詳細な脆弱性調査
HTML形式のレポート出力

無料ツールの中では珍しくGUIを備えているため、コマンドが苦手な人でも安心です。

🧪 ZAPが向いている「町医者クラス」の診断

有償の診断ツールに比べれば、ZAPの精度や検出範囲は限界があります。
しかし、次の用途では非常に効果的です。

社内の簡易スクリーニング
個人ブログやWebアプリのセルフチェック
OSINT調査の延長でのURL確認
「そもそも何が弱点になりやすいか」の理解

“無料でここまでできる”という点では最強クラスのツールです。

🚀 Kali LinuxでのZAPの起動

Kaliではメニューから起動できます。

Kali メニュー → Vulnerability Analysis → OWASP ZAP

または端末で

zap

と入力するだけです。

GUIが開いたら、中央にある「Quick Start」からテストURLを入力することでスキャンが始まります。

📝 まとめ

ZAPは初心者〜町医者クラスのセキュリティ担当が使える無料の脆弱性スキャナー
Kali Linuxに標準搭載され、GUIで簡単に操作できる
自動スキャンからプロキシまで幅広く対応
「まずは無料で弱点チェックしたい」人には最適なツール

【参考】
OWASP ZAPの基本的な使い方
脆弱性診断研究会（Security Testing Workshop）
IPA安全なウェブサイトの作り方
OWASPWebシステム／Webアプリケーションセキュリティ要件書

HotelSlashの仕組みと使い方まとめ：予約後の値下がりを逃さない方法

近年、ホテル料金の変動を自動的に追跡してくれるサービスとして注目を集めているのが「HotelSlash」です。

日本ではまだ知名度が高くありませんが、2023年や2024年にはプロモーションコードが配布されており、実質的に低コストで使い始めたユーザーも少なくないはずです。

2024年に配布されていた永年無料プロモコード

とはいえ、年会費制のサービスを継続利用する価値があるのかは、実際の使い勝手や得られる結果によって判断が分かれます。

本記事では、HotelSlashの仕組みと特徴を整理し、利用前に知っておきたいポイントをまとめます。

HotelSlashとは？

HotelSlashは、ホテル予約後の価格変動を自動的に監視し、より安い条件が見つかった際に知らせてくれるサブスクリプション型のサービスです。利用者は予約情報を登録するだけで、チェックインまでの間に発生する値下がりを逃さずに対処できます。

監視対象は世界中のホテルで、一般的な予約サイトでは表示されにくい会員向けレートや非公開料金が検出される場合もあります。また、単なる金額比較だけではなく、朝食付きプランや部屋タイプの改善など、条件面のメリットが出るプランも通知の対象に含まれます。

サービスの位置づけとしては、最安値探しのために日々検索し続けるのではなく、予約後のフォローを自動化する仕組みに特化している点が特徴です。操作は最小限で済み、ユーザー側で追加の検索を行う必要はありません。

使い方の流れ

HotelSlashの利用手順はシンプルで、追加の作業はほとんど発生しません。基本的な流れは次のとおりです。

1. 通常どおりホテルを予約

まずは、任意の予約サイトや公式サイトで宿泊を確定します。HotelSlash側で予約を代行するわけではないため、ユーザーが自分で手配する必要があります。

2. 予約情報をHotelSlashに登録

予約確認メールをそのまま転送するか、アカウント画面から手動入力します。登録が完了すると、チェックイン日まで自動的に価格監視が開始されます。

ホテルの予約メールをHotelSlashに転送するだけで登録完了

3. 値下がりや条件改善があれば通知

料金が下がった場合だけでなく、朝食付きプランや上位の部屋タイプが同等または割安で出た場合にも通知されます。通知頻度は過剰にならないよう調整されています。

アラートメールサンプル

4. ユーザーが再予約するか判断

より有利な条件が見つかった場合でも、HotelSlashが自動で変更することはありません。
通知内容を確認し、必要に応じてユーザー自身でキャンセルと再予約を行います。

利点・注意点

HotelSlashを利用するうえで押さえておきたいポイントは、大きく利点と注意点に分かれます。

利点

予約後の価格変動に自動で対応できる
自分で毎日検索する必要がなく、放置していても値下がりを逃しにくい。
非公開レートにアクセスできる可能性がある
一般の予約サイトでは表示されない会員向け料金が提示されるケースがある。
条件改善も検出対象
金額が同じでも、朝食付きや上位カテゴリの部屋が出た場合に通知されることがある。
必要なときだけ動けばよい
通知を受けて再予約するかどうかはユーザーが判断でき、強制されない。

注意点

ホテルのロイヤリティ特典は基本的に対象外
MarriottやHyattなどのエリート特典や宿泊実績は付かないことが多い。
再予約の手続きは自分で行う必要がある
自動変更は行われないため、キャンセル規定の確認は必須。
必ず安くなるとは限らない
需要が高い時期や特殊なレートでは、通知がないまま終了する場合もある。
年会費を回収できるかは宿泊頻度に左右される
年に数回の滞在ではメリットが限定的になる可能性がある。

向いているユーザー

HotelSlashが特に相性の良いユーザー像は、次のようなケースが中心になります。

最安値を優先したい人

宿泊先に強いこだわりがなく、価格が下がれば柔軟に取り直せるタイプ。
ロイヤリティより実利を取る場合に向いています。

予約後に検索し直す手間を省きたい人

出発までの期間が長い予約や、料金変動が大きい都市・イベント期間など、
自分で頻繁にチェックする負担を減らしたい場合に効果的です。

複数回の宿泊予定がある人

年数回以上のホテル利用があり、年会費を回収できる可能性があるユーザー。
単発旅行よりも、年間を通じて使うほどメリットが出やすくなります。

一方で、宿泊実績や会員特典を重視する場合は、必ずしも優先すべき選択肢にはなりません。サービスの性質上、「価格に柔軟なユーザーほど相性が良い」という位置づけになります。

まとめ

HotelSlashは、予約後の価格変動を自動で追跡してくれるシンプルなサービスですが、活用価値は利用頻度によって大きく変わります。実際に1〜2年ほど使ってきた感覚としては、年間の宿泊数が増えるほど、コスト削減のチャンスが比例して積み上がっていく印象があります。必ず値下がりが見つかるわけではないものの、放置していても機会を取りこぼしにくい点は明確なメリットです。

特に、2023年〜2024年にプロモーションコードを入手できたユーザーにとっては、年会費負担が軽くなる分、積極的に使う価値があります。一方で、ホテルのステータス特典や宿泊実績を重視する場合は、ケースバイケースの判断が必要です。

自分の旅行スタイルに合うかどうかは、結局のところ「どれだけ泊まるか」「価格にどれだけ柔軟か」で決まります。まずは無理のない範囲で試しつつ、継続利用の判断材料にするのが現実的と言えるでしょう。

出典：HotelSlash Review: The Hotel Booking Version of AutoSlash（アーカイブ）

【セキュリティ事件簿#2025-478】東京都立多摩総合医療センターにおける個人情報の流出について　2025/10/22

東京都立多摩総合医療センター（以下「病院」という。）の患者情報が流出した旨の差出人不明文書が東京都立病院機構（以下「機構」という。）及び都民に届き、確認した結果、計188件の個人情報が流出したことが判明しました。

患者及びその御家族、関係者の皆様には、多大な御迷惑をおかけし、深くお詫び申し上げます。

病院では、府中警察署に相談し流出の経路を含め全容把握に努めるとともに、個人情報の流出が確認された患者及び当該都民に対して、お詫びと事実経過をお伝えする予定です。

1.本件の経緯

令和7年10月20日（月曜日）

・機構宛てに差出人不明の郵便が送達

「駅のトイレで病院の封筒に入ったUSBを拾得し、個人情報が含まれていた」という主旨の文書とともに、患者リスト及びファイル名が印刷された文書が添付されていた。

・都民（病院の受診歴あり）から、病院へ電話連絡

「病院の封筒に入ったUSBを拾った、多くの個人情報が載っていた」という主旨の文書及び患者リストが送付されてきた旨連絡あり。

・病院の医事課長が当該都民にお話を伺い、封筒、文書及び患者リストを回収した。

10月21日（火曜日）

・病院が府中警察署へ相談

2.流出した個人情報の概要

機構へ送付された文書に印字されていた患者個人情報　　　　計153件
2007年、2015年、2016年に胃癌手術を受けた一部の患者の患者ID、氏名（漢字）、生年月日、性別、手術日等
都民宅へ送付された文書に印字されていた患者個人情報　　　計34件
2010年から2012年にかけて病院で消化器外科手術を受けた一部の患者の患者ID、氏名（漢字）、フリガナ、生年月日、性別、住所、電話番号等
患者リスト等が送付された都民の個人情報　　　　　　　　　計1件
住所、氏名（漢字）

3.その他

病院で管理しているUSBメモリの状況を確認した結果、亡失したものはなし。
現時点では、これ以外に個人情報の私的利用、情報漏えいは確認されていない。
電子カルテ等のアクセス状況については現在確認中
病院では、府中警察署へ相談の上、今後の対応を検討
病院では、個人情報の流出が確認された患者に対してお詫びと経過を近日中にお伝えするとともに、ファイルに含まれる可能性のある患者向けに病院ホームページで注意喚起を行う予定
病院内において、個人情報の適正な管理について再度周知徹底

リリース文（アーカイブ）

【セキュリティ事件簿#2025-477】片品村振興公社株式会社　弊社ウェブサイトへの不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ　2025/11/21

このたび、弊社が運営するウェブサイト(https://k-hotaka.oze-katashina.info/ 以下「本件サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様の個人情報( 40 名分)が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2025 年 11 月 17 日、当社職員が EC サイト利用者からのお問い合わせを受け、サイト保守管理会社(株式会社ウェブインパクト)へ調査依頼したところ、本件 EC サイトに第三者から不正データが送信をされたことが確認できました。その後、改めてサイト保守管理会社に調査を依頼したところ、システムの脆弱性によりプログラムの改ざんが行われ、注文時に外部サーバーへの通信が行われており、入力内容が記録されたデータベース上の個人情報が外部へ漏えいしたことを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報の漏えい状況

2025 年 11 月 5 日から 2025 年 11 月 17 日までに本件サイト上の EC サイトを利用されたお客様 40 名で、漏えいした可能性のある情報は以下のとおりです。

• 氏名

• 電話番号

• 住所

※尚、クレジットカード情報につきましては、外部への漏洩は確認されておりません。

3.お客様へのお願い

(不審なメール及び電話への注意喚起)

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.再発防止策について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

なお、本件サイトは問題の特定と対策及び復旧作業を完了し、セキュリティ対策を強化した上で再開しており、新たな情報漏えいは発生しない状況にあります。また、弊社は本件の事態を監督官庁である個人情報保護委員会には 2025 年 11 月 20 日に報告済みです。

リリース文

【セキュリティ事件簿#2025-476】順天堂大学　サイバー攻撃による情報漏洩の可能性に関するお知らせとお詫び　2025/11/21

順天堂大学大学院スポーツ健康科学研究科女性スポーツ研究センターが独自に運用管理しているファイル共有サーバー（NAS）において、ランサムウェア被害が発生しました。当該サーバーに保存されていたファイルが暗号化されたことにより、内部に含まれる個人情報等が漏えいしたおそれがあります。

ただし、本システムは学校法人順天堂の基幹ネットワークや順天堂医院等の附属病院の診療系ネットワークとは独立したインターネット回線で運用されており、診療業務を含む病院の業務への影響はありません。

本件発覚後、速やかに所轄警察署へ相談を行うとともに、文部科学省、個人情報保護委員会への報告を行っております。現在、専門業者の協力のもと詳細な調査と復旧対応を進めております。

１．漏洩した可能性のある個人情報

本研究センターがこれまでに実施した研究の参加者、本研究センターが主催したイベントの参加者および教職員の個人情報（氏名、住所、電話番号、メールアドレス、生年月日、性別、口座情報）約850名分

マイナンバー 3名分

２．今後の対応

本件に関し、現時点で具体的な個人情報の漏洩の痕跡や、その悪用などによる被害（二次被害を含む）は確認されておりません。

今後も引き続きセキュリティ対策の強化に努めるとともに、関係機関と連携し再発防止に取り組んでまいります。

関係者の皆様には多大なるご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-475】株式会社STNet　弊社ネットワークへの不正アクセスに関するお詫びとご報告　2025/11/21

この度、弊社ＳＴクラウドサーバーサービスの構築や運用に係る専用ネットワークに対して外部から不正アクセスがあり、ＳＴクラウドサーバーサービスやサーバー構築サービスを利用いただいている一部の企業・団体のご担当者さまに関する個人情報（氏名・メールアドレス等）およびシステムに関係する情報が漏えいした可能性があるという事案が発生いたしました。

個人情報などが漏えいした可能性がある当該ご担当者さまには、個別にご連絡をさせていただきます。関係者の皆さまには、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

（１）発生事実とこれまでの対応

2025年11月14日、弊社ＳＴクラウドサーバーサービスの構築や運用に係る専用ネットワークに接続しているサーバーにおいて、外部からの不正なアクセスを検知したため、直ちに不正アクセスを受けた専用ネットワークをインターネットから遮断し、調査を開始いたしました。

2025年11月18日、当該ネットワークに接続しているサーバーに格納していたリモートアクセス用の設定ファイルを利用した不正アクセスがあったことが判明したため、漏えいした可能性がある設定ファイルの利用権限を全て無効化いたしました。

2025年11月19日、不正アクセスがあったサーバーに企業・団体のご担当者さまに関する個人情報などが含まれていることが判明いたしました。

2025年11月20日、未然に不正なアクセスを防止するため、二段階認証を有効にされていないＳＴクラウドサーバーサービスをご利用のお客さまの設定を弊社にて有効化いたしました。

（２）現在の状況

弊社ＳＴクラウドサーバーサービスやサーバー構築サービスをご利用の一部の企業・団体のご担当者さまに関する個人情報などが漏えいした可能性があるため、個人情報保護委員会、外部の専門機関、警察とも連携して調査を進めております。

（３）今後の対応

今後の調査および事実確認の結果を踏まえ、弊社ネットワークのセキュリティ対策に万全を期してまいります。

（４）お願い

念のため、不審な電話やメールにはご注意ください。また、弊社ＳＴクラウドサーバーサービスなどで構築しているシステムに関するパスワードの変更をお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-474】拓殖大学　大学ウェブサイトの改ざんに関するご報告　2025/11/20

2025年9月27日（土）、本学が運営する Web サイトが改ざんされ、不適切な Web ページが表示されていたことが判明いたしました。以下のとおり、本件の概要についてご報告いたします。

確認日時

2025 年 9 月 27 日(土) 15:00 頃

確認された事象

本学ホームページの「大学案内」ページ内に設置されている「寄付のお願い」のリンク先Web ページが、オンラインカジノと思われる海外のサイトへ誘導するページに改ざんされた。

影響範囲

本学の「寄付のお願い」の Web ページを運用している外部業者が管理するサーバにおいて、管理者アカウントの不正利用により、「寄付のお願い」の Web ページが改ざんされ、不審なファイルを置かれるといった被害が発生した。

対応状況

該当する Web サーバは停止済み。

攻撃を受けたサーバ内の情報について

改ざんが行われた Web サイトは、「寄付のお願い」と、手続きを行う Web サイトへのリンクのみ記載されている Web ページであり、サーバ内に個人情報は保存されておりません。

従って、個人情報の漏えいはありません。

今後の対応及び再発防止策について

外部業者に対して管理者アカウントの不正利用防止措置、及び管理者アカウントの厳格な管理を指示しました。

改ざんの影響が考えられる期間

2025 年 9 月 24 日 18:00 頃～ 2025 年 9 月 27 日 15:00 頃

改ざんされたコンテンツの復元を行い、安全性・正確性の確認を完了し、2025年11月20日に公開を再開いたしました。

本件につきましては、ご迷惑をおかけしましたこと重ねて深くお詫び申し上げますとともに、再発防止に万全を期して運営して参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-455】株式会社バンダイナムコフィルムワークス　バンダイチャンネルのサービス一時停止のお知らせ　2025/11/19

謹啓　この度、株式会社バンダイナムコフィルムワークスが運営する「バンダイチャンネル」におきまして、不正アクセスにより、一部の会員様において意図せず退会処理が行われてしまうという障害が発生いたしました。

それにより会員様の個人情報（メールアドレス、ニックネーム、バンダイナムココイン残高情報、会員様が選択された支払い方法）が漏えいしたおそれのあることが発覚したため、2025年11月6日23時30分から緊急措置として当サービスを一時停止しております。

多大なるご心配とご迷惑をおかけし、深くお詫び申し上げます。

なお、漏えい等のおそれのある個人情報には、ログインパスワードやクレジットカード番号その他不正決済に利用できる情報は含まれておらず、現時点において、個人情報の不正利用等の二次被害は確認されておりません。

また、ランサムウェアによる被害でないことも確認できております。

会員様におかれましては、メールアドレスを悪用した「なりすまし」や「フィッシング詐欺」等、迷惑メールが送信される可能性が考えられますので、十分にご注意いただくようお願いいたします。

現在、原因究明と改善対策を進めており、サービス再開までにはいましばらく時間を要する見込みです。

新たな情報が判明した場合には、本サイト等にて速やかにお知らせいたします。

また、サービス停止期間における料金は発生しないよう対応させていただきます。

詳細決定次第、該当する会員様に個別にご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止に向けた対策を講じてまいります。

関係する皆様には重ねてお詫びを申し上げます。

リリース文（アーカイブ）

【2025/11/6リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2025-472】経済産業省　プレミアムフライデー推進協議会のHP閉鎖について　2025/11/19

2023年8月9日にお知らせしたとおり、「プレミアムフライデー」に関する「プレミアムフライデー推進協議会」のサイトについては、2023年6月に閉鎖されています。

昨今、同協議会のＨＰドメインを取得した第三者が「プレミアムフライデー推進協議会」の類似ＨＰを開設していますが、本ＨＰは「プレミアムフライデー推進協議会」並及び「プレミアムフライデー」制度に一切関係はありません。

上記サイトへのアクセスは、場合によっては、コンピュータウイルスに感染したり、入力情報が不正に取得されたりする等のおそれがありますので、アクセスしないよう、ご注意ください。

また、当該URLのリンクをホームページ上で掲載している場合は、削除して頂きますようお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-471】株式会社東海ソフト開発　ランサムウェア攻撃に関するお知らせとお詫び　2025/11/14

弊社にて現在発生しておりますランサムウェア攻撃（2025 年 11 月 13 日公表）により、御取引先様をはじめ、関係各位の皆様に多大なるご迷惑とご心配をおかけしております事を深くお詫び申し上げます。

本件に関する本日までの調査の結果、弊社が管理しておりました情報について、漏洩の可能性が大きく疑われるとの判断をいたしました。

漏洩の可能性が疑われる事案に関しましては、調査を進めつつ、御対応のお願いをさせて頂く予定でございます。何卒、御協力とご理解を賜りますようお願い申し上げます。

引き続き、警察による捜査の下、調査を進め、全社で対応を推進して参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-336】有限会社ベル・コーポレーション　弊社が運営する「リサイクル着物おりいぶ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ　2025/11/17

このたび、弊社が運営する「リサイクル着物おりいぶ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（208件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年12月10日、神奈川県警サイバー対策課より、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年12月10日弊社が運営する「リサイクル着物おりいぶ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2025年2月28日、調査機関による調査が完了し、2021年3月23日～2024年12月13日の期間に　「リサイクル着物おりいぶ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「リサイクル着物おりいぶ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年3月23日～2024年12月13日の期間中に「リサイクル着物おりいぶ」においてクレジットカード決済をされたお客様208名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する208名のお客様については、別途、電子メールおよび書状にて　個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年12月13日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトについて

改修後「リサイクル着物おりいぶ」は閉鎖させていただきます。

長年にわたりご利用いただき誠にありがとうございました。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年12月19日に報告済みであり、また、所轄警察署にも2024年12月13日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-335】株式会社大気社　海外グループ会社サーバへの不正アクセスについて　2025/11/14

日本時間 7 月 29 日（深夜）に、当社の米国グループ会社である Encore Automation LLC（以下、Encore 社）において、不正アクセスによる被害が確認された件につきましては、発生直後より、社内外の皆さまにご心配をおかけし、深くお詫び申し上げます。

本件につきましては、外部専門機関による原因究明と詳細な調査を実施した結果、一部サーバ内の文書が暗号化されたことが判明しましたが、社外への情報流出は確認されず、Encore 社も通常どおり業務を継続しております。また、日本国内および他の海外関係会社の業務への影響もありませんでした。

当社では、被害発覚後速やかに対策を講じ、影響範囲の特定と再発防止策の強化に努め、状況を注視してまいりましたが、このたび、外部専門機関の最終報告を受け、本件は収束したと判断するに至りました。

今後とも、大気社グループ全体で情報セキュリティの強化に努め、安全な利用環境の整備に尽力してまいりますので、変わらぬご厚情をお願い申し上げます。

ご理解とご協力を賜りますよう、よろしくお願い申し上げます。

リリース文（アーカイブ）

【2025/8/25リリース分】

リリース文（アーカイブ）