検索
連載

Metasploit――大いなる力を手に入れるセキュリティ・ダークナイト ライジング(1)(2/2 ページ)

あのダークナイトが再び這い上がり、帰ってきた! ペンテスターとしての豊富な経験を踏まえ、自らの、そして周りの人々を守るために知るべき「攻撃者のやり方」を解説していく。

Share
Tweet
LINE
Hatena
前のページへ |       

アップデートと起動

 早速Metasploitの起動といきたいところだが、その前に、アップデートの方法を紹介しよう。

 Metasploitには、日々発見された脆弱性を利用するための「攻撃コード」(Exploit)が追加される。頻度はそこまでではないものの、ウイルス対策ソフトでいうところの「定義ファイル」が追加されるようなイメージである。

 アップデートを実行するには、スタートメニューから[プログラム]→[Metasploit]→[Framework Update]を選択する。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「framework update」と入力し、表示された[Framework Update]を選択する(画面14)。

 選択するとウインドウが表示され、新たなアップデートがある場合は開始される。更新がない場合はアップデートがない旨を通知するメッセージが表示される(画面15)。時々はこれを起動してアップデートを行っておくといいだろう。

 それでは、Metasploitの起動である。

 スタートメニューから[プログラム]→[Metasploit]→[Metasploit Console]を選択する。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「metasploit console」と入力し、表示された[Metasploit Console]を選択する(画面16)。

 するとウインドウが開き、しばらくするとコマンド入力待ちの画面になる(画面17)。

 なお、このとき表示されるアスキーアートはランダムなものだ。他のものも見てみたい場合は、[banner]コマンドを実行すると、ランダムにいろいろなものが表示される(画面18)。

パスワードを忘れた際の対処

 Metaploit WebUIはあまり使うことはないのだが、あまり使わないがゆえに、ログインパスワードを忘れる方がいるかもしれない。そこで最後に、Metasploit WebUIのログインパスワードを忘れた際の対処法を紹介しておこう。

 この場合はまず[https://localhost:3790/]にアクセスし、[I forgot my password]をクリックする(画面19)。

 すると、各OSのパスワードリセット方法を説明したページが表示される。Windows版ではスタートメニューの[プログラム]→[Metasploit]→[Password Reset]を選択。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「password reset」と入力し、表示された[Password Reset]を選択する(画面20)。

 しばらくするとパスワードをリセットするかどうかを確認するメッセージが表示される(画面21)ので、リセットする場合は[yes]と入力して、エンターを入力する。

 入力すると新しいパスワードが発行される(画面22)ので、そちらのパスワードでログインするといいだろう。ログイン後、任意のパスワードに変更したい場合は、右上にある[Account - アカウント名]をクリックし、[User Settings]から設定画面を開き、[Change Password]の必要項目を埋めて[Change Password]をクリックする。

まずは環境整備まで、次は被攻撃環境の整備を紹介

 今回はMetasploitを実行できるまでの環境を整える、いわば準備段階にすぎないため、もの足りなかった方もいるだろう。

 次回は、攻撃を実行される環境(被攻撃環境)を整えた上で、Metasploitを使って実際にその被攻撃環境に攻撃を行い、侵入する方法について紹介する予定だ。ちなみに被攻撃環境についての検証は既に終えている。Windodws Vista、7、8の32bit、64bit環境、それぞれ全て攻撃に成功しているものを紹介するので、少しの間お待ちいただきたい。

筆者紹介

辻 伸弘(つじ のぶひろ)

ソフトバンク・テクノロジー株式会社

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。

▼辻氏のブログ「(n)」: http://n.pentest.ninja/

▼辻氏のTwitter: http://twitter.com/ntsuji


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  6. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  7. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  8. 「ランサムウェアに一度感染したら、身代金を払ってもまた攻撃される」のはほぼ確実? ウィズセキュア調査
  9. ググっても出てこない「サイバー攻撃者のAI活用」のリアル――AI時代の「アタックサーフェス」再定義
  10. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
ページトップに戻る