ハッキングの世界に迫る～攻撃者の思考で考えるセキュリティ～

2 自己紹介野溝のみぞう趣味でセキュリティをやっている者です。デザイナー・プリセールス・サービスマネージャー・エンジニア・マーケティング・カスタマーサクセス……など、数々のIT系職種を転々としていたある日、所属していた会社が情報漏洩事件の被害に遭ってイマココ（現在の所属会社とは違います）
CISSP/情報処理安全確保支援士第027975号

3 去年、上梓した本 7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性 ITエンジニア本大賞2025 大賞&審査員特別賞 W受賞

4 今日話したいこと攻撃者の思考で狙われやすいポイントを知る「自分が関わるシステムだったらどうだろう？」考えるヒントをお持ち帰りください！作る考えだとセキュリティに意識が向きにくいかも？仮説セキュリティの講演は人気ないらしい…

5 おしながき ①攻撃者の思考ってなんだろう？ ②具体的に攻撃ってどうやるの？ • どういうところを狙うの？ • 攻撃デモをごらんください

6 そもそも攻撃者の思考ってなんだろう？

7 サイバー攻撃は増えてるって言われるけど引用：https://blog.checkpoint.com/research/a-closer-look-at-q3-2024-75-surge-in-cyber-attacks-worldwide/ https://prtimes.jp/main/html/rd/p/000000336.000021207.html 実感ありますか？

8 脆弱性も増えてるうち、悪用が確認されたものは 2024年に新たに公開された脆弱性の数は？ A. 40009件引用：https://jerrygamblin.com/2025/01/05/2024-cve-data-review/ 分類する負担が増えてる 186件

9 どこが狙われるのか？ ①弱いところ ③ひとと関わるところ ②公開されているところいろいろあるけど要するに

10 ①弱いところの例（1/2）脆弱性が放置されているところ放置されたソフトウェア（気が付いたらEOLに…）脆弱性診断したけど対応しきれてない（忙しくて…）うっかり設定ミス（何故か開いてるポート、権限設定の不備）

11 ①弱いところの例（2/2）人間の心単純なパスワードつけちゃう（一時的に…テストだから…）フィッシング（リテラシーが低い人がひっかかると思ってません？）内部不正（誰しも闇を抱えることはある）

12 ②公開されているところの例公開サーバって把握してる？開発が主管じゃないところは？（コーポレートサイトなど）棚卸ししてる？テスト環境とかステージング環境とかは？サーバ以外にもVPN機器とかない？ ASM（Attack Surface Management）

13 インターネット上に公開されている資産を調べる方法 OSINT（Open Source Intelligence）一般に公開されている情報（オープンソースデータ）を収集・分析して知見を得る手法本来はASM用のツール（多分）……だけど？アクティブスキャンパッシブスキャン（検索）直接対象となる資産を調べる
検索エンジンが収集したデータを調べる検索エンジン

14 検索エンジンの例（Shodan）ウェブサーバーだけでなくオフィス機器や情報家電、信号機や発電所の制御機器なども含めて、インターネット接続されている機器の情報をデータベースに格納している。 URL:https://www.shodan.io/

15 ③ひとと関わるところの例 2022年10月大阪急性期・総合医療センターの事例自分だけでは済まないこともある引用： https://www.gh.opho.jp/pdf/report_v01.pdf https://www.yomiuri.co.jp/national/20230329-OYT1T50114/ • ランサムウェアによって電子カルテシステムに障
害が発生 • 委託していた給食提供サービスの事業者である生長会のデータセンター内サーバーを通じて侵入された可能性がある • 基幹システムの一つである電子カルテシステムと、給食などのシステムに接続するために使うパスワードが同じだった。

16 じゃあ具体的に攻撃ってどうやるの？

17 ハッキングのすすめかた NIST SP 800–115 アメリカ国立標準技術研究所のセキュリティテストに関する資料引用：https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf Discovery（情報収集）して Attack（攻撃）をする意外と情報収集の方が大事

18 今回の攻撃デモシナリオターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認 WordPressで使われているユーザーの列挙辞書攻撃
サイト改ざん情報収集フェーズ攻撃実行フェーズ

19 しかし、本当に攻撃してしまうと困ったことになる日本国内においては法律に抵触する可能性があります •不正アクセス禁止法（通称）違反 •ウイルス作成罪（通称） •電子計算機損壊等業務妨害罪などなど

20 大事な注意事項以外には絶対やってはいけません特別に許可を得た環境自分が全責任を持って管理している環境・・

21 ターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認 WordPressで使われているユーザーの列挙辞書攻撃サイト
改ざんなので今回はこうしますのみぞう管理サイトで実験ローカルに構築したテスト環境で実験検索のみアクティブスキャン

22 Demonstration やっていきます画面きりかえます

23 今回の攻撃デモシナリオターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認辞書攻撃サイト改ざん情報収集フェーズ
攻撃実行フェーズ WordPressで使われているユーザーの列挙

26 情報収集でわかったことまとめ • MySQLのポート（3306/tcp）が空いてる • WordPressのプラグインが古い（royal-elementor-addons 1.3.78） ⇒実は任意のファイルをアップロードできる脆弱性がある • WordPressのデータベースは
ユーザー名「db_user」、パスワード「db_password」 • WordPressのユーザー名は「tanaka」と「maintenance」

28 辞書攻撃引用：７日間でハッキングをはじめる本 77ページふつうにテキストファイル（辞書）の上から順番にログイン試行していく良くあるパスワードトップ100～日本人の名前っぽいもの好みで使い分けますいろんな辞書があります
とあるサイトで漏えいしたもの

30 Webshellとは Web経由でサーバのコマンドを実行することを可能にするバックドアの一種。（今回はこっそり設置されているという設定） PHPやPythonなどで作られていて一度サーバ内に侵入・設置されると外から任意のコマンドが実行可能になる。

31 Demonstration おわり

32 実際の事例政策研究大学院大学(GRIPS)のインシデント報告書引用：https://www.grips.ac.jp/jp/news/20230822-0365/ https://xtech.nikkei.com/atcl/nxt/column/18/01157/091900094/ • 公開WEBサーバのWebshellから内部サーバに不正アクセス • Webshellの存在に７年間気が付かな
かった • 約８ヶ月学内ネットワークをインターネットから切り離した

33 まとめ

34 ふりかえり ①攻撃者の思考ってなんだろう？ ②具体的に攻撃ってどうやるの？ • どういうところを狙うかをお話しました • 攻撃デモをごらんいただきました

35 狙われやすいところ３点（再掲） ①弱いところ ③ひとと関わるところ ②公開されているところ脆弱性のあるところや人間の心（ついついうっかり）インターネットから触れるところ自社だけではなくて関係する会社とかサービスとか

36 今回の攻撃デモシナリオ（再掲）ターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認 WordPressで使われているユーザーの列挙辞書攻撃
サイト改ざん情報収集フェーズ攻撃実行フェーズ

37 今日話したかったこと（再掲）攻撃者の思考で狙われやすいポイントを知る「自分が関わるシステムだったらどうだろう？」考えるヒントをお持ち帰りいただけたら幸いです作る考えだとセキュリティに意識が向きにくいかも？仮説

38 一番大事なことセキュリティに完成はない考え続けることが、あなたの大事なシステムを大切なお客様に届けることにつながります。

39 ご清聴ありがとうございました！

ハッキングの世界に迫る～攻撃者の思考で考えるセキュリティ～

ハッキングの世界に迫る～攻撃者の思考で考えるセキュリティ～

Nomizo Nomizo

More Decks by Nomizo Nomizo

Other Decks in Technology

Featured

Transcript

3 去年、上梓した本 7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性 ITエンジニア本大賞2025 大賞&審査員特別賞 W受賞

5 おしながき ①攻撃者の思考ってなんだろう？ ②具体的に攻撃ってどうやるの？ • どういうところを狙うの？ • 攻撃デモをごらんください

6 そもそも攻撃者の思考ってなんだろう？

7 サイバー攻撃は増えてるって言われるけど引用：https://blog.checkpoint.com/research/a-closer-look-at-q3-2024-75-surge-in-cyber-attacks-worldwide/ https://prtimes.jp/main/html/rd/p/000000336.000021207.html 実感ありますか？

8 脆弱性も増えてるうち、悪用が確認されたものは 2024年に新たに公開された脆弱性の数は？ A. 40009件引用：https://jerrygamblin.com/2025/01/05/2024-cve-data-review/ 分類する負担が増えてる 186件

9 どこが狙われるのか？ ①弱いところ ③ひとと関わるところ ②公開されているところいろいろあるけど要するに

10 ①弱いところの例（1/2）脆弱性が放置されているところ放置されたソフトウェア（気が付いたらEOLに…）脆弱性診断したけど対応しきれてない（忙しくて…）うっかり設定ミス（何故か開いてるポート、権限設定の不備）

11 ①弱いところの例（2/2）人間の心単純なパスワードつけちゃう（一時的に…テストだから…）フィッシング（リテラシーが低い人がひっかかると思ってません？）内部不正（誰しも闇を抱えることはある）

14 検索エンジンの例（Shodan）ウェブサーバーだけでなくオフィス機器や情報家電、信号機や発電所の制御機器なども含めて、インターネット接続されている機器の情報をデータベースに格納している。 URL:https://www.shodan.io/

16 じゃあ具体的に攻撃ってどうやるの？

18 今回の攻撃デモシナリオターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認 WordPressで使われているユーザーの列挙辞書攻撃

19 しかし、本当に攻撃してしまうと困ったことになる日本国内においては法律に抵触する可能性があります •不正アクセス禁止法（通称）違反 •ウイルス作成罪（通称） •電子計算機損壊等業務妨害罪などなど

20 大事な注意事項以外には絶対やってはいけません特別に許可を得た環境自分が全責任を持って管理している環境・・

21 ターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認 WordPressで使われているユーザーの列挙辞書攻撃サイト

22 Demonstration やっていきます画面きりかえます

23 今回の攻撃デモシナリオターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認辞書攻撃サイト改ざん情報収集フェーズ

24 今回の攻撃デモシナリオターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認辞書攻撃サイト改ざん情報収集フェーズ

25 今回の攻撃デモシナリオターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認辞書攻撃サイト改ざん情報収集フェーズ

26 情報収集でわかったことまとめ • MySQLのポート（3306/tcp）が空いてる • WordPressのプラグインが古い（royal-elementor-addons 1.3.78） ⇒実は任意のファイルをアップロードできる脆弱性がある • WordPressのデータベースは

27 今回の攻撃デモシナリオターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認辞書攻撃サイト改ざん情報収集フェーズ

29 今回の攻撃デモシナリオターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認辞書攻撃サイト改ざん情報収集フェーズ

31 Demonstration おわり

33 まとめ

34 ふりかえり ①攻撃者の思考ってなんだろう？ ②具体的に攻撃ってどうやるの？ • どういうところを狙うかをお話しました • 攻撃デモをごらんいただきました

36 今回の攻撃デモシナリオ（再掲）ターゲットを定めるターゲットに対して開いてるポートと脆弱性を確認 WordPressで使われているユーザーの列挙辞書攻撃

38 一番大事なことセキュリティに完成はない考え続けることが、あなたの大事なシステムを大切なお客様に届けることにつながります。

39 ご清聴ありがとうございました！