Webディレクトリ探索ツール三選: gobuster、ffuf、dirb

Webディレクトリ探索
Webディレクトリの探索は、セキュリティ評価やペネトレーションテストにおいて重要な要素です。今回は、Webディレクトリ探索を行うための3つの優れたツールを紹介し、それぞれの概要と主な特徴を解説します。これらのツールを使って、Webアプリケーションのセキュリティ評価をより効果的に行いましょう。

1.gobuster

gobusterは、高速かつ柔軟なWebディレクトリ探索ツールです。複数のスレッドを使用して並列にリクエストを送信し、効率的な攻撃を実行します。ワードリストベースの攻撃や拡張子の指定など、多くのカスタマイズオプションが提供されています。さらに、カスタムのHTTPヘッダを使用してリクエストを送信することも可能です。レポートの生成機能も備えているため、結果を整理しやすくなっています。

以下は、gobusterの実行例です:

bash
gobuster dir -u http://example.com -w wordlist.txt -t 10 -x php,html -o results.txt

 上記の例では、-uオプションで探索対象のURLを指定し、-wオプションでワードリストファイルを指定しています。-tオプションでは10のスレッド数を指定し、-xオプションで拡張子を指定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。

2.ffuf

ffufは、高速かつパワフルなWebディレクトリ探索ツールです。並列リクエストを使用して大量のリクエストを効率的に処理します。ワードリストベースの攻撃やリクエストのマルチポジション、ワイルドカードサポートなど、柔軟なカスタマイズオプションがあります。さらに、リクエストのフィルタリング機能により、絞り込まれた結果を得ることができます。コマンドラインベースのツールとして提供されており、直感的で使いやすいインターフェースを持っています。

以下は、ffufの実行例です:

arduino
ffuf -w wordlist.txt -u http://example.com/FUZZ -t 20 -mc all -o results.txt

上記の例では、-wオプションでワードリストファイルを指定(URLの”FUZZ”の部分に当てはめ)し、-uオプションで探索対象のURLを指定しています。-tオプションでは20のスレッド数を指定し、-mcオプションで全ての応答を表示するよう設定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。

3.dirb

dirbは、Webディレクトリやファイルの探索に使用される定番のツールです。ワードリストベースの攻撃やカスタムエクステンションのサポート、マルチスレッドサポートなどの特徴があります。また、レポートの生成機能も備えており、探索結果を整理しやすくなっています。コマンドラインツールとして提供されているため、柔軟性があり、多くのオプションを使ってカスタマイズすることができます。

以下は、dirbの実行例です:

arduino
dirb http://example.com -o results.txt -r -X .txt,.php

上記の例では、探索対象のURLを指定しています。-oオプションで結果を保存するファイル名を指定し、-rオプションでリクエストを再帰的に処理するよう設定しています。また、-Xオプションで拡張子を指定しています。


gobuster、ffuf、dirbは、それぞれ優れたWebディレクトリ探索ツールです。攻撃対象のWebアプリケーションの特性や要件に応じて、適切なツールを選択して利用することが重要です。また、効果的な探索を行うために、優れたワードリストの使用も重要です。その中でも、"SecLists"というワードリストがオススメです。SecListsは、セキュリティ関連の様々なワードリストを収集したもので、様々な攻撃シナリオに対応しています。以下のリンクからSecListsを入手することができます:

SecLists - GitHub

これらのツールとSecListsを組み合わせることで、より効果的かつ包括的なWebディレクトリ探索が可能となります。当然ですが、必要な許可を得た上で、セキュリティ評価やペネトレーションテストを実施するようにしてくださいね。

出典:Content Discovery(THM)

【セキュリティ事件簿#2023-174】兵庫医科大病院 当院職員所有のノートパソコン及びUSBメモリの盗難被害について(お詫び) 2023年5月2日


兵庫医科大学病院では、かねてより個人情報保護の方針を遵守すべく、病院職員に対して再三注意喚起とともに職員教育を行ってまいりましたが、この度、下記のとおり本学職員が所有するノートパソコン及びUSB メモリが盗難被害に遭う事案が発生いたしました。現在、関係当局による捜査が引き続き行われております。また、現時点におきましては、第三者への個人情報の流出の事実は確認されておりません。

この度の経緯等の詳細について報告申し上げるとともに、患者の皆様をはじめ、その他関係各位に多大なるご心配とご迷惑をおかけすることになりましたことを心よりお詫び申し上げます。

1.紛失した機器
ノートパソコン(アクセス制限有)1 台及びUSB メモリ(アクセス制限無)1 個

2.発覚の経緯
当院勤務医師が学会発表データを作成するため、所有するノートパソコンと受診患者さまの情報が保存された USB メモリを病院外に持ち出し、その後、駐車場に一時、駐車し、10 分ほどして車に戻ったところ、車の窓ガラスが割られており、鞄(ノートパソコン及びUSB が入った)が盗難(車上荒らし)されていることが判明しました。速やかに最寄りの警察署に届出を行い、翌4 月21 日(金)に当該医師は上司に状況と経過を報告のうえ、病院長へ当該事案について報告を行い、4 月 24 日(月)に当該医師により、「個人情報紛失・漏出届」を作成のうえ、病院長へ提出がありました。

3.機器に記録されていた情報
兵庫医科大学病院 呼吸器内科の患者さま32 名分に関する個人情報
(患者さま氏名、カルテ番号、生年月日、年齢、性別、病名 ※患者さまの住所、電話番号は含まれておりません)

4.対応
上記3 に該当する患者さまに対し、個別に連絡のうえ、お詫びと本件の経緯説明を行いました。

週刊OSINT #2023-06号

 

メディア: Intelligence Cycle

情報の収集と文書化の部分が終わったら、データを処理し、分析し、広める時がきます。これがいわゆる「情報収集サイクル」であり、最近ロンドンを拠点とする企業arcXがその重要性についてビデオを公開したということです。これは重要です。なぜなら、単にインターネットからデータや情報を収集するだけではOSINTとは言えず、先月オランダのOSINT Guyが述べたように、データ、情報、インテリジェンスは異なるものだからです。それぞれの意味を理解することが重要です。


チュートリアル: Documentation

OS Tradecraftでは、情報の文書化や収集のプロセスが詳しく説明されています。文書化の重要性だけでなく、正しい方法で行うための方法も説明されています。それは情報の整理について話しているだけでなく、コンプライアンスの部分や監査についても触れています。さらに、ウェブサイト全体をダウンロードするためのツールや、スクリーンショットを撮ったり画面を録画するための便利なアプリケーションのリストなど、いくつかの利用可能なツールについても言及しています。


記事: Verification

OSINT Combineのウェブサイトには先週、オンラインメディアの検証についての新しい記事が投稿されました。それは検証の重要性だけでなく、プロセス自体についても語っています。関連性や信頼性、信憑性、情報が裏付けられるかどうかについても言及しています。この記事は思考プロセスやディスインフォメーションの撲滅、ホークスの検証、オンラインでの調査、ファクトチェックの基礎などを示しています。これは主にオンラインで投稿された情報の検証に関連していますが、これは研究の結果にも適用することができます。なぜなら、誤った仮定が無実の被害者を何度も作ってしまったからです。

小技: Reporting

データの収集、処理、分析が終わった後は、調査結果を報告する時期かもしれません。Redditで「テンプレート」を求める人々が多く見かけますが、これはほとんど不可能なことです。なぜなら、様々な種類のオープンソースインテリジェンスレポートが存在するからです。例えば:

  • 犯罪組織
  • 軍事紛争
  • 関心のある人物
  • ジオロケーション
  • 事件の検証

このような標準的なテンプレートには、出生地や電話番号などの個人情報を記載する欄があれば、武力紛争の調査時には役に立たなくなります。また、関心のある人物のプロフィールを作成する際には、タイムラインに関するセクションを常に埋めることができるわけではありません。

しかし、インテリジェンスレポートには何が必要なのでしょうか?それについては、2022年12月に公開されたOHCHRバークレー・プロトコルを参照します。

報告書は、収集した情報を分析し、論理的な結論、推定、予測を導くために使用されます。報告書は、堅実な方法論を反映し、その方法論を対象の読者に説明できるようにする必要があります。報告書における基本情報の真実性と誠実性は重要です。

また、該当する場合には報告書に含まれるべきパートも述べられています。実際のバークレー・プロトコルにはなかったものですが、追加した最初のトピックは次の通りです:

導入

個人的な意見ですが、報告書はまず導入から始めるべきです。短い紹介を含めるべきです。イベント自体や情報が共有された場所に触れますが、事実に基づく内容を保つために、あらかじめ推測を含めないように注意してください。

目的

このセクションでは、調査の目的と研究の質問を説明します。目的がある場合、調査自体に明確な目標があります。これはまた、報告書の読者の焦点を絞るのに役立ちます。特定の発見の方向性や目的を確立することができます。

方法論

調査中に説明が必要な研究方法は、この部分に文書化されるか、外部の専門知識が必要とされます。調査中に特定の技術が一部で使用される場合、結果を提示する前に追加の説明が十分かもしれません。

活動

調査中に行われたすべてのステップを説明し、独立した検証を支援します。どのような手順が実行されたか、またいつ、何時に行われたかを文書化します。これにより、独立した調査者が結果を検証できるようになります。

情報源

調査中に使用されたデータの情報源とその品質については、このセクションで言及されます。どんな情報やインテリジェンスも、その信頼性に基づいて有効なものとなります。

不確実性

結論が一定ではない場合や調査において欠落がある場合は、それらを記載する必要があります。これにより、調査が偏見のないものとなることも保証されます。事実に基づいて記述しますが、明確なシナリオを書き留める必要がある場合や何かが不明確な場合には、それを言及することをためらわないでください。

結果

調査の結果はここで事実に基づいて記述されます。新たに発見された質問や調査の可能性のある新たな展開について触れることもありますが、何よりも見つかった内容の要約が含まれます。


そして、これを強調するには言い足りませんが、報告書を作成する際には、事実に固執し、特定の理論を偏好せず、確証バイアスに陥ることがありません。特定の答えを見つけるために推測を使用する場合や新たな調査を開始する場合でも、それが調査の残りに影響を与える作業理論にならないように注意してください。研究者として、プロセス全体で完全に偏見のない態度を持つべきです。

トレーニング: OSINT Exercises

研究の理論的な部分がすべて終わったら、スキルを実践する時です!ソフィア・サントスは、今年の1月に自身のウェブサイトでいくつかのOSINTのチャレンジを投稿しました。現在の執筆時点では、彼女のウェブサイトには5つのチャレンジがありますので、ぜひ挑戦してみてください。素晴らしいことは、行き詰まった時には、彼女がチャレンジの下に可能な解決策を説明したビデオを既に投稿していることです。これらのチャレンジ以外にも、ソフィアのウェブサイトは優れた記事の宝庫となっており、ぜひ彼女のサイトもチェックしてみてください!


出典:Week in OSINT #2023-06

2023年にフォローすべきサイバーセキュリティ関連のTwitterアカウント


2022年10月のイーロン・マスクによる買収後、多くのTwitterユーザーが離れて、より分散型のソーシャルメディアプラットフォームであるMastodonに移行しました。

オープンソースでクラウドファンディングされたMastodonは昨冬、新規アカウントが急増しましたが、多くの新規Mastodonユーザーは複雑なソーシャルネットワークを再構築するのに苦労し、その後、青い鳥のアプリに戻ってきました。サイバーセキュリティコミュニティにとって、Twitterはサイバー関連の全ての情報の主要なソーシャルメディアチャンネルのままです。

知識とリソースを拡大する精神で、ここでは、サイバーセキュリティのトピック、問題、ニュースについて学びたいと考えているすべての人に推奨する、23の厳選されたTwitterアカウントを紹介します。
  1. @matrosov | Alex Matrosov
  2. @r00tbsd | Paul Rascagnères
  3. @silascutler | Silas Cutler
  4. @Wanna_VanTa | Van Ta
  5. @n0x08 | Nate Warfield
  6. @LittleJoeTables | Joe DeMesy
  7. @greglesnewich | Greg Lesnewich
  8. @hasherezade | Aleksandra Doniec
  9. @stvemillertime | Steve Miller
  10. @kyleehmke | Kyle Ehmke
  11. @ophirharpaz | Ophir Harpaz
  12. @oxleyio | David Oxley
  13. @malwareunicorn | Amanda Rousseau
  14. @cybersecmeg | Meg West
  15. @AmarSaar | Saar Amar
  16. @ale_sp_brazil | Alexandre Borges
  17. @maddiestone | Maddie Stone
  18. @cyberwarship | Florian Hansemann
  19. @dinosn | Nicolas Krassas
  20. @h2jazi | Hossein Jazi
  21. @bushidotoken | Will Thomas
  22. @milenkowski | Aleksandar Milenkoski
  23. @tomヘーゲル | Tom Hegel
Twitterや他のマイクロブログプラットフォームの未来についての議論が落ち着くまでには、もうしばらく時間がかかるでしょう。

【セキュリティ事件簿#2023-173】産経新聞社 メールアドレス漏洩のお詫び 2023年5月10日


産経新聞社 NIE(※)事務局よりメルマガを送信した際、一部の受信者が他の受信者のメールアドレスを確認できる状態で誤って送信していたことが判明しました。漏洩したメールアドレスは340件です。関係する皆様には多大なるご迷惑をおかけしました。深くお詫び申し上げます。

※「Newspaper in Education(教育に新聞を)」の略。教育現場に新聞の活用を広める活動のこと

1:経緯

2023年5月9日午後8時50分ごろ、NIE 事務局より、NIEメルマガ第155号を一斉送信いたしました。その際、担当者が入力を誤り、登録されている方の一部に、各人のアドレスが見える形で送信してしまいました。この結果、340人(件、一部学校・組織を含む)の方(メール受信者)は、相互にメールアドレスが確認できる状態になりました。

2:流出した情報

産経新聞 NIE メルマガに登録されている方の一部340人(件)のメールアドレス、および、このうち一部の方のメール「表示名」としての氏名

3:受信者様への対応

本件メールを受信した340人には、5月10日午後 2 時 35 分ごろ、お詫びと当該メールの削除をお願いするメールをお送りしました。

4:再発防止策

一斉送信時には複数人による多段階チェックを必須とすることで、再発を防止します。

IHGポイント購入100%ボーナスフラッシュセール(2023/6/19~2023/6/26)

 

IHG One Rewardsは、100%ボーナスと上限引き上げを伴うポイント購入フラッシュセールを2023年6月26日まで開催しています。IHGは頻繁にポイントを販売しており(最大ボーナスは100%)、メンバーは毎年カレンダーごとに最大150,000ポイント(時折250,000ポイントの上限引き上げあり)を購入することができます。

セール中だからといってポイントを購入するのは意味がありません。しかし、それらをうまく活用する方法がある場合(現金よりもポイント払いの方が節約できる場合)、購入することで滞在費を大幅に削減することができます。

IHGは頻繁に100%ボーナスでセールを行うため、100%ボーナス以外(80%、etc)で購入することはあまり意味がありません。

尚、このオファーで購入されたポイントは、IHG One Rewardsエリートステータスにはカウントされません。

出典:LAST CALL: IHG Buy Points 100% Bonus Flash Sale Until June 26, 2023

【セキュリティ事件簿#2023-172】愛知県 里親、里子等に係る個人情報の漏洩について 2023年5月2日


昨日(5月1日(月))、愛知県尾張福祉相談センター(名古屋市中区)において、里親や里子に関する個人情報が漏洩する事案が発生しました。

このような事態を招いたことを、里親・里子の方々を始め、関係する皆様に御迷惑をおかけし、深くお詫びするとともに、個人情報の適切な管理及び取扱いの徹底を行い、再発防止に努めてまいります。

1 漏洩した個人情報

愛知県尾張福祉相談センターが養育を委託している里親・里子等の方々に関する次の情報(過去に委託していた里親・里子を含む。)
  • 里親63名分の個人情報
    氏名、住所、銀行口座情報、電話番号
  • 里子84名分の個人情報
    氏名、生年月日、年齢、学年、委託開始年月日、委託里親種別(※)
※委託里親種別:養育里親、専門里親、養子縁組里親、親族里親の別
  • 施設1か所の銀行口座情報
2 経緯

里子を委託中の里親には、毎月、福祉相談センター又は児童相談センターから里子養育費(※)が支払われている。尾張福祉相談センターでは、里親の負担軽減のため、請求金額を入力した請求書をエクセルで作成してPDF化し、里親にメールで送付し確認してもらっている。

5月1日(月)に、里親5名に請求書を送付したところ、送付した里親の1人から電話連絡があり、PDFではなく、誤って他の里親等の個人情報を含むエクセルファイルを送付したことが発覚した。

※里子養育費:里親に対して支払われる里子の生活費、学費等

3 当事者への対応

尾張福祉相談センターから、情報が漏洩した里親、里子、里子の親権者及び施設に、謝罪を行っている。

4 再発防止策

今回の事案を踏まえ、県の全ての福祉相談センター及び児童相談センターに対し、本日、次のとおり指示を行った。

<指示内容>
  • 個人情報を扱うことの重要性について、改めて職員に周知徹底すること。
  • 里子養育費請求書を始め、個人情報をメールで送付する際には、複数人で送付先と添付ファイルを確認すること。
  • 個人情報を含むファイルには必ずパスワードを設定し、担当者以外ではファイルを開けないようにすること。

【セキュリティ事件簿#2023-171】浜松いわた信用金庫 メールアカウント不正利用および迷惑メール送信に関するお詫びについて  2023年4月28日


当金庫の電子メールアカウントが第三者により不正利用され、当該アカウントから大量の迷惑メールが送信されるという事象が発生いたしました。当金庫といたしましては、本事象の発覚を受け、原因及び影響範囲を特定するための調査を進めておりますが、事実の判明には相当な時間を要するとの判断のもと、この度発生した事象について公表させていただくことといたしました。

今後、判明した事実については改めて公表していく方針であります。

なお、現時点では本件に関わる個人情報の漏洩、不正利用等は確認されておりません。

お客様ならびに関係者の皆様には、ご迷惑とご心配をお掛けしましたことを、深くお詫び申し上げます。

今後、同様の事象が発生しないよう、引き続きセキュリティ対策の見直しを行い再発防止に努めてまいります。

1.発生状況と対応

2023 年 4 月 23 日(日) 22 時頃から 2023 年 4 月 24 日(月)午前 9 時頃にかけて、以下のメールアドレスより、迷惑メールが大量送信されました。

 送信元メールアドレス:

 件名 :「Fwd:」、「Re:」

 本文 :英文等で記載された不審な内容

2023 年 4 月 24 日(月)午前 9 時過ぎに、上記不正利用されたメールアカウントを停止し、当該アカウントからメールの送受信が出来ないように対応しました。

不正利用された原因と影響範囲は現在調査中です。


2.当該メールを受信された皆様へ

2023 年 4 月 23 日 ( 日 ) 22 時 頃 か ら 2023 年 4 月 24 日 ( 月 ) 午 前 9 時 頃 に
から送付された迷惑メールを開封したり、本文中のリンク先をクリックすると思わぬ被害をうけたり、ウィルスに感染したりする可能性がありますので、開封せずに削除頂きますよう、お願い申し上げます。