ハッキングを始めた頃に知っておきたい5つのツール

セキュリティの学習初期に知っておくと大きな助けになる、基本かつ実践的な5つのハッキングツールを紹介します。シンプルで扱いやすく、実用性が高いため、業界全体で広く活用されているこれらのツールは、初心者にとっては学びの入り口として、経験者にとっては日々の頼れるパートナーとして活躍してくれるはずです。

Burp Suite

カテゴリ：Webアプリケーションテスト

おすすめ理由： Webトラフィックの傍受と改変が可能な多機能ツール

Webアプリケーションの脆弱性診断を始めたばかりの段階では、HTMLソースの確認やブラウザの開発者ツール、簡易的なスクリプトを用いたテストなど、手作業による検証が中心となることが多い。

その一方で、「Burp Suite」のような高機能なツールは、機能の多さゆえに初心者にとって敷居が高く、導入が後回しになりがちである。

しかし、Burp SuiteはWebアプリケーションテストにおいて非常に多機能で汎用性が高く、専門家の間でも「これ一つで幅広い作業をこなせる定番ツール」として高く評価されている。主な機能としては以下のようなものがある：

• ブラウザとターゲットサイト間のHTTP/HTTPS通信を傍受

• リクエストやレスポンスをリアルタイムで改変

• 「Intruder」を使って入力値の繰り返しテスト

• サイト全体をクロールしてページ構造を把握（Spider機能）

• よくあるWeb脆弱性のスキャン（※Pro版のみ）

Webアプリケーションのセキュリティテストにおいて、Burp Suiteは幅広く利用されている主要ツールのひとつである。

無償で提供されている「Community Edition」でも基本的な機能は充実しており、学習用途や初学者の実践にも十分対応可能なレベルとなっている。

💡 ちょっとしたコツ：
Firefoxに「FoxyProxy」アドオンを入れてBurp Suiteと連携すれば、トラフィックのリダイレクトが簡単にできて便利です。

Nmap

カテゴリ： ネットワークスキャン

用途： 開いているポート、稼働中のサービス、脆弱性の把握に有効

Nmapは「ポートスキャナ」として広く知られていますが、実際にはネットワーク調査全般に活用できる多機能ツールとして、セキュリティ分野で重宝されています。単なるスキャンツールにとどまらず、幅広い診断・分析機能を備えています。

主な機能は以下のとおり：

• 同一ネットワーク上に存在するホストの検出

• 開いているポートと、それに対応するサービスの確認

• OSやハードウェア構成の推測

• NSE（Nmap Scripting Engine）によるスクリプト実行による脆弱性診断

たとえば、以下のコマンドは非常に多くの情報を取得できます：

nmap -sC -sV -A target.com

（※ -sCはデフォルトスクリプトの実行、-sVはサービスのバージョン検出、-AはOS検出・トレースルートなどの高度なスキャン）

💡 活用のヒント：
CTF（Capture The Flag）や実際のネットワーク診断を行う際は、最初にNmapを使って全体像を把握することが推奨されます。

Amass

カテゴリ： 偵察 / サブドメイン列挙

用途： 隠れたサブドメインを発見し、攻撃対象領域を広げる

情報収集（Reconnaissance）は、エシカルハッキングにおいて最も重要なプロセスの一つとされています。対象を深く理解することで、脆弱性の発見率も大きく向上します。

Amassは、サブドメイン列挙に特化した高性能なリコンツールであり、以下のような機能を備えています：

• 複数のデータソースからサブドメインを収集

• ドメイン間の関係性の可視化

• アクティブ／パッシブ両方の偵察手法に対応

たとえば、以下のようなシンプルなコマンドでも多くのサブドメインを洗い出すことが可能です：

amass enum -d example.com
（対象ドメインに関連するサブドメインの列挙）

💡 活用のヒント：
Amassで収集したサブドメイン情報は、httpx などのツールと組み合わせて、実際にアクセス可能かどうかを確認すると、さらに有用です。

CyberChef

カテゴリ： データのエンコード／デコード

用途： データの変換・復号・検査を迅速に実行可能

CyberChefは、イギリスの情報機関 GCHQ（政府通信本部）が提供するブラウザベースのデータ変換ツールです。直感的なインターフェースを備えており、あらゆるデータ操作を簡単かつ高速に行うことができます。

対応している代表的な処理は以下のとおり：

• Base64 エンコード／デコード

• 16進数（Hex）とASCIIの相互変換

• XOR暗号の復号・実行

• 各種ハッシュ生成（MD5, SHA-256 など）

• JWTの解析（JSON Web Token）

• 正規表現による抽出

操作は「処理（Operation）」をドラッグ＆ドロップでつなげる形式で、複数の処理をパイプラインのように組み合わせることが可能。視覚的で直感的な設計により、短時間で複雑な処理を実現できます。

💡 活用のヒント：
CyberChef はブックマークしておくと便利です：
https://gchq.github.io/CyberChef/
繰り返し発生する変換作業の手間を大幅に省いてくれることでしょう。

Gobuster

カテゴリ： ディレクトリ／コンテンツ列挙

用途： Webサーバ上の隠れたディレクトリやファイルを特定

Gobusterは、Webサーバに存在する可能性のあるディレクトリやファイルを、指定した単語リスト（ワードリスト）をもとに総当たりで調査するCLIツールです。通常のリンク構造ではたどり着けない隠しページや機密ファイルを発見するために用いられます。

使用例として、以下のようなコマンドがあります：

gobuster dir -u http://example.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
（例：対象のURLに対して、指定ワードリストに含まれるディレクトリ名を順に試行）

このようなスキャンによって、以下のような隠れたリソースが見つかる可能性があります：

• /admin

• /login

• /backup.zip

こうしたページやファイルは、Webサイト内から直接リンクされていないことが多く、見落とされがちですが、重大な脆弱性の手がかりとなるケースもあります。

💡 活用のヒント：
SecListsのような高品質なワードリストと組み合わせて使うのがおすすめです。HTTPステータスコード（例：200、403、301 など）にも注目しながら調査すると、より精度の高い列挙が可能になります。

まとめ：知識とツール、どちらも武器になる

ハッキングに必要なのは、創造力と姿勢、そして適切なツールの選定です。

特に優れたツールは、作業の効率を飛躍的に高め、見落とされがちな脆弱性を明らかにし、時間と労力を節約してくれます。

ここで紹介した5つのツール（Burp Suite / Nmap / Amass / CyberChef / Gobuster）は、セキュリティ分野における基本かつ強力な選択肢です。初学者にとっては、まずそれぞれを試しながら仕組みや背景にも目を向けることで、より深い理解が得られるでしょう。

最後に忘れてはならないのは、「ツールは進化するが、知識は残る」ということ。

目先の操作だけでなく、原理を学ぶ姿勢こそが、長く役立つ武器になります。

出典：5 Tools I Wish I Knew When I Started Hacking

【セキュリティ事件簿#2025-222】ジブラルタ生命保険株式会社 弊社の社内ネットワークへの不正アクセスによる社員等の情報流出について 2025/6/20

 

このたび、弊社の特定サーバー（モバイルデバイス管理サーバー）が第三者によって脆弱性を悪用され、不正アクセスを受けました。その結果、一部の社員等の個人情報（氏名、ユーザーID、会社メールアドレス）が流出したことが判明しました。なお、モバイルデバイス管理サーバーに顧客情報は含まれておらず、顧客情報の流出はございません。

弊社は、この事態を把握後、直ちに原因となったモバイルデバイス管理サーバーをインターネットから遮断し、脆弱性を解消するための必要な対策を講じました。これにより、さらなる流出等の被害が発生することはございません。また、関係機関への報告も完了しております。引き続き、セキュリティ専門機関等の協力を得ながら再発防止策を講じてまいります。

関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを心よりお詫び申し上げます。以下に、本件の詳細を説明いたします。

1. 概要（発生原因・発覚経緯）

弊社では、電子メールおよびモバイルアプリケーションへアクセスするために、モバイルデバイス管理サーバーを利用しておりました。脆弱性解消のための対策を実施し、攻撃の有無を確認するためログ調査を行った結果、５月 16 日に外部の第三者によって不正アクセスが行われ、一部の社員等の個人情報が窃取されたことが、５月 22 日に判明いたしました。不正アクセスは 5 月 16 日にのみ発生したことを確認しております。

※ モバイルデバイス管理サーバーには 2015 年から 2023 年に弊社に在籍していた一部の社員等の情報が登録されておりました。また、退職者については、退職時に本サーバー上から登録情報を削除する運用を行っておりましたが、削除した情報が論理的にサーバー内に残留する製品仕様であったため、流出対象に含まれておりました。

2. 流出した情報

流出した情報は、５月 16 日時点で弊社のモバイルデバイス管理サーバーに登録されていた 2015 年から 2023 年に弊社に在籍をしていた一部の社員等の以下の項目です。

・氏名

・ユーザーID

・会社メールアドレス

3. 情報流出した社員等の数

・550 件

※対象者：弊社社員、退職者、一部の委託先社員 等

※対象となった方に個別の通知を実施しております。

4. 本件による影響

現時点で、本件による流出情報がインターネット上で公開された事実や不正利用などの二次被害は確認されておりません。

最後に、関係者の皆さまにご迷惑とご心配をおかけしましたことを改めて深くお詫び申し上げます。弊社は、今後とも情報セキュリティの強化に努め、同様の事案防止に全力を尽くしてまいります。今後とも変わらぬご支援を賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-221】株式会社富士山マガジンサービス 当社への不正アクセスによる個人情報流出の可能性に関するお知らせ 2025/6/20

 

このたび、当社運営のウェブサイト「Fujisan.co.jp」（以下、「当社サイト」という）の一部が第三者による不正アクセスを受け、保管するお客様個人情報の一部が外部に漏洩した可能性があることが判明いたしました。お客様および関係者の皆様には多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

なお、不正アクセスを受けた当社サイトにつきましては、不正アクセスを遮断するシステムの修正措置を既に実施済みであり、漏洩した可能性がある個人情報にはお客さまのクレジットカードや銀行口座等の決済に関する情報は含まれておりません。

引き続き被害状況の詳細について調査を進め、必要な対応が発生した場合は速やかに対応してまいります。また、本件に関しては個人情報保護委員会に法令上の報告を行っており、弁護士及び警察とも連携の上、今後の対応について協議中であります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、現時点で判明しております本件の概要につきまして、以下の通りお知らせいたします。

1. 不正アクセス発見の経緯、当社の措置状況

2025年5月31日より、当社サイトに主に海外から大量の不正アクセスが発生していることを当社セキュリティシステムより検知いたしました。

6月6日付で弊社顧客サポートデスクに情報漏洩の可能性を指摘する問い合わせを受け、社内で調査を進めたところ、当該お客様の「マイページ」への直接的なアクセスは認められませんでした。

6月13日、対応策を検討するなか、先に問い合わせを受けたお客様以外の３名のお客様について、お客様の「マイページ」への不正ログインが判明し、当該ユーザのパスワードを強制変更、当該お客様の「マイページ」へのログインの制御、攻撃元のIPアドレスのブロック、個人情報参照画面のリクエスト制限のモジュール導入を実施し、それ以降、不正アクセスが止まったことを確認しました。

また、不正アクセスのパターンから、当社並びにお客様を特定しての攻撃の可能性が高いと判断しました。

6月16日付で、6月6日付のお客様とは別のお客様より弊社顧客サポートデスクに情報漏洩の可能性を指摘する問い合わせを受け、更なる広範での調査を進めたところ、

6月17日になり、6月13日の3名とは別の6名のお客様の「マイページ」にログインされた形跡を発見し、更に「マイページ」にログインされたお客様の「住所録の変更」ページを起点に、他のお客様の「住所録の変更」ページを閲覧している形跡が多数発見されたため、一時的に該当ページへのアクセスを停止し、更なる不正アクセス遮断措置のシステム修正を実施しました。

現在、弊社では、引き続き被害状況の調査及びセキュリティ対策の強化を進めております。

2. お客様への影響

現時点で、流出の可能性が判明している情報は以下のとおりです。

(1)「マイページ」への不正ログインをされたお客様数：9人

(2)(1)のお客様の「マイページ」を起点に、なりすましにより、「マイページ」に登録された住所情報にアクセスされた可能性のあるお客様数（最大可能性）：2,528,491人

3. 今後の対応

本事象の影響を受けた可能性があるお客様につきましては、順次、電子メール等にてご案内を差し上げてまいります。

また、引き続き被害状況の詳細について調査を進めるとともに、再発防止のためのセキュリティ対策、監視体制のさらなる強化を進め、より一層のサービス品質の向上を図ってまいります。

新たにお知らせすべき内容が判明した場合、速やかに情報を開示してまいります。ご理解賜りますよう、よろしくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-581】日揮ユニバーサル株式会社 当社におけるセキュリティインシデントの発生について 2025/6/13

2024 年 12 月 27 日に公表しました｢当社におけるセキュリティインシデントの発生について｣のとおり、当社の一部サーバー内の電子データにて暗号化被害が発生していることおよび漏えいの可能性があることについてご報告させていただきました。

これまで外部セキュリティ専門会社の協力のもと、被害状況の確認を含めて調査を進めてまいりました。今般、調査が完了いたしましたので、経緯と対応の状況、および調査により判明した内容をご報告申し上げます。

お取引先様をはじめとする関係者の皆様には多大なるご心配とご迷惑をおかけしましたことを、深くお詫び申し上げます。

1. 経緯と対応の状況

2024 年 12 月 22 日(日本時間)にシステム障害が発生し、調査の結果、当社で管理する一部のサーバーがランサムウェアに感染していることを確認しました。感染が確認されたシステム環境は外部とのネットワークを切断しており、被害拡大を防ぐための対応を実施しております。

なお、ネットワークやシステムの復旧にあたっては、被害を受けた環境は再利用せず、新しく環境を構築する方針とし、おおむね復旧が完了しており、業務につきましても通常通り継続しております。

2. 暗号化被害の原因

外部セキュリティ専門会社の調査結果から、当社のインターネットとの接続口から当社環境へ侵入されたことが判明しております。当社では事態を重く受け止め、再発を防止すべく上記専門会社による助言を受けながらさらなる対策を講じてまいります。

3. 外部への情報漏えいについて

外部セキュリティ専門会社の調査結果から、外部への情報漏えいが発生していたことが判明しております。漏えいしたデータにはお取引に関連する情報や個人情報(*)などが含まれておりました。なお、現時点までにおいて個人情報を悪用した不正利用等の被害が発生した事実は確認されておりませんが、念のため、不審なメール等には十分ご注意ください。

* 漏えい等が発生し、又は発生したおそれがある個人データの項目：

氏名、会社名、会社メールアドレス等

なお、個人情報保護委員会に対して、本内容は報告しております。

4. 公表の経緯について

12 月 27 日に当社ホームページにてご案内を差し上げてから、その後今回の公表に至るまで時間を要したことを深くお詫び申し上げます。不確定な情報の公開はいたずらに混乱を招く可能性があるため、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、事実の公表には外部セキュリティ専門会社の調査結果を待ってから行うことにいたしました。

今回の調査結果のご報告に至るまでお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策について

当社は今回の事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および情報セキュリティ管理体制の強化を行い、再発防止を図ってまいります。

関係者の皆様には多大なるご迷惑をおかけすることとなり、改めて深くお詫び申し上げます。今後とも誠実に対応し、再発防止に努めてまいりますので、何卒ご理解とご協力を賜りますようお願い申し上げます。

リリース文（アーカイブ）

【2024/12/27リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2025-220】名古屋大学 個人情報漏えいの可能性について 2025/6/18

 

このたび、本学人文学研究科教員がサポート詐欺に遭い、当該教員のパソコンが第三者による不正アクセスを受ける事案が発生しました。

これにより、当該パソコンに保存されていた個人情報が漏えいした可能性があることを確認しました。

令和7年4月13日、当該教員が当該パソコンでＷｅｂサイトを閲覧中、突然、大音量の警告音が鳴り、画面上に「ウイルスを検出した」とする警告表示が現れました。

その表示では、アンチウイルスソフトによるウイルス駆除の実施及びサポート窓口への電話連絡を促されており、当該教員がその指示に従い操作したところ、第三者による遠隔操作を受け、当該パソコンが不正にアクセスされる事態となりました。

速やかにネットワークを遮断し、当該パソコンを調査したところ、1,626名分の学生・生徒の名簿が以下のとおり保存されていたことが判明しました。

・学部学生（482名）：氏名、学籍番号、該当科目の成績（437名）

・大学院学生（175名）：氏名、学籍番号、メールアドレス（83名）

・附属学校生徒（969名）：氏名、性別、クラス、出席番号

現時点では、これらの情報が不正に流用された事実等は確認されていません。

当該名簿に氏名等が記載されていた学生・生徒の方々には、メール又は郵送にて本件の概要をご説明し、対応窓口の設置及びその連絡先をご案内するとともに、お詫び申し上げました。

このような事態を招き、関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

今後は、個人情報保護及び情報セキュリティに関する教育研修の充実を図り、構成員の意識向上を図るなど、再発防止に努めて参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-161】株式会社淀川製鋼所 連結子会社におけるランサムウェア被害の発生および情報漏えいの可能性に関するお知らせ 2025/6/18

 

2025年4月25日付けでお知らせしました当社の連結子会社である台湾の盛餘股份有限公司（以下、「SYSCO社」）におけるランサムウェア被害の発生および情報漏えいの可能性について現時点の状況についてご報告いたします。

1．現時点の状況について

SYSCO社のサーバーへの第三者による不正アクセスにより被害を受けたシステムは全て復旧しており、データの復元も概ね完了し、SYSCO社の業務運営が滞るような事態は起こっておりません。またその後二次被害が発生した事実は確認されておりません。

対策として、外部専門家の支援を受けセキュリティ強化の施策も完了しております。

また、流出した情報については、SYSCO社の社員関係および個人様式の個人情報が漏えいした可能性があり、現地において適時開示およびウェブサイト等で情報公開を行うとともに、外部専門家とも協議の上、必要な対応を進めております。

引き続き、当社および現地の関係機関からも本件の事実関係に関する調査を受けており、調査結果の詳細が判明いたしましたら、改めてご報告いたします。

関係者の皆様には多大なるご心配をお掛けしておりますことを深くお詫び申し上げます。

2．業績への影響

本件が当社グループの業績に及ぼす影響については軽微であると判断しています。今後、業績に重大な影響があると判断した場合は速やかに公表いたします。

リリース文（アーカイブ）

【2025/4/25リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2025-186】学校法人宮城学院 ランサムウェアによる情報の漏洩について 2025/6/17

 

5月12日に発生した学内ネットワーク障害により無線ネットワーク（Wi-Fi）が不通となっておりましたが、本日復旧し利用可能となりましたのでお知らせいたします。

学生の皆様にはご不便とご迷惑をおかけしましたことをお詫び申し上げます。

UNIPA及び証明書自動発行機につきましては、復旧作業が終わり次第お知らせいたしますので、もうしばらくお待ちください。

なお、ネットワークサーバ上の学生個人のマイドキュメントフォルダについては、ウィルス感染により復元が不可能な状況となりました。授業で使用していた場合には、各授業担当者からの指示に従ってください。

無線ネットワーク（Wi-Fi）の復旧に際し、以下について必ずご確認ください。セキュリティ確保のためご協力をお願いいたします。

【感染対策のお願い】

学内に持ち込むPC（タブレット等を含む）等へのウィルス対策ソフト導入を必須とします。まずはウィルス対策ソフトによるPCスキャンを実施してください。また、ウィルス対策ソフトを導入していない場合には、必ず導入してください。

Windows機では「Windows Update」を行い、「Windowsセキュリティ」の設定をしっかり行うとともに、Windows10以降ではOS標準のウィルス対策ソフトとして利用可能な「Microsoft Defender」によるウィルススキャンを実施してください。

スキャンの結果、ウィルス感染、文字化けや拡張子変更などの症状が確認された場合は、情報システム室に報告してください。ネットワーク復旧後に感染したPC等を接続すると、再度ランサムウェアに感染しネットワークを停止することになります。

リリース文（アーカイブ）

【2025/5/20リリース分】

リリース文（アーカイブ）

【2025/5/16リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2025-219】コスモ石油マーケティング株式会社 コミっと車検申込情報のアクセス権限での設定誤りについて 2025/6/16

 

この度、弊社サービス「コミっと車検」で利用しているクラウド環境に保存されているファイルの一部について、閲覧制限の設定の誤りがあり、外部からのアクセスが可能な状態にあることが判明いたしました。

サービスをご利用頂いているお客様および関係者の皆様にはご心配をお掛けして申し訳ございません。

なお、2023年1月27日以降のアクセス履歴においては外部からのアクセスは確認されておりません。

また、現在は設定を変更し、外部からのアクセスはできない状態となっており、現時点で二次被害の報告は受けておりません。

１．経緯

2025年5月30日、クラウド環境の設定確認を行っている中で、閲覧制限の設定の誤りにより、一部ファイルが外部からのアクセスが可能な状態になっていることが判明いたしました。

現在は設定を変更し、外部からのアクセスができない状態となっています。

２．外部からのアクセスが可能となっていた情報について

対象期間

2019年8月1日～2025年5月30日までの間（※1）

対象となるお客様

対象期間にコミっと車検を申し込んだお客様

対象となるお客様情報（※2）

お客様識別番号：約16万5千件

お客様電話番号：約17万6千件

お客様氏名         ：約  3万5千件

車両情報（※3）  ：約11万9千件

対象となるスタッフ情報

担当整備士氏名：約3千件

対象となるファイルに、クレジットカード情報は含まれておりません。

※1：このうち、2023年1月27日～2025年5月30日までの間のアクセス履歴においては、外部からのアクセスは確認されておりません。

上記より前の期間については、アクセス履歴を取得しておらず、外部からのアクセスの有無を確認できておりません。

なお、クラウドサーバーとフォルダにはサービス開始（2019年8月1日）当初からアクセス禁止制限が施されており、閲覧制限の設定の誤りがあった対象ファイルには、第三者による類推が困難な対象ファイルのURＬの全文を入力しない限りはアクセスできない状態となっておりました。

※2：対象となるお客様によって、対象となるお客様情報のどの情報が含まれるかは異なります。

※3：車両の情報には、車種、車台番号、車両登録ナンバー、車検満了日および初度登録年月などが含まれます。

３．原因と再発防止策

本件につきましては、社内でのデータ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えております。

従業員への教育を徹底し、再発防止に取り組みます。また、継続的にクラウド環境のアクセス制限設定状況の調査を実施し、設定状況を管理する仕組みを構築いたします。

４．当社対応

・対象のお客様には、コスモ公式アプリを通じてお知らせしております。

・現在は設定を修正済みで、外部からのアクセスはできない状態です。

・対象のクラウド環境の全検査を実施し、外部からのアクセスが可能な状態のファイルが無いことを確認しています。

リリース文（アーカイブ）