検索
連載

Metasploit――大いなる力を手に入れるセキュリティ・ダークナイト ライジング(1)(2/2 ページ)

あのダークナイトが再び這い上がり、帰ってきた! ペンテスターとしての豊富な経験を踏まえ、自らの、そして周りの人々を守るために知るべき「攻撃者のやり方」を解説していく。

Share
Tweet
LINE
Hatena
前のページへ |       

アップデートと起動

 早速Metasploitの起動といきたいところだが、その前に、アップデートの方法を紹介しよう。

 Metasploitには、日々発見された脆弱性を利用するための「攻撃コード」(Exploit)が追加される。頻度はそこまでではないものの、ウイルス対策ソフトでいうところの「定義ファイル」が追加されるようなイメージである。

 アップデートを実行するには、スタートメニューから[プログラム]→[Metasploit]→[Framework Update]を選択する。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「framework update」と入力し、表示された[Framework Update]を選択する(画面14)。

 選択するとウインドウが表示され、新たなアップデートがある場合は開始される。更新がない場合はアップデートがない旨を通知するメッセージが表示される(画面15)。時々はこれを起動してアップデートを行っておくといいだろう。

 それでは、Metasploitの起動である。

 スタートメニューから[プログラム]→[Metasploit]→[Metasploit Console]を選択する。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「metasploit console」と入力し、表示された[Metasploit Console]を選択する(画面16)。

 するとウインドウが開き、しばらくするとコマンド入力待ちの画面になる(画面17)。

 なお、このとき表示されるアスキーアートはランダムなものだ。他のものも見てみたい場合は、[banner]コマンドを実行すると、ランダムにいろいろなものが表示される(画面18)。

パスワードを忘れた際の対処

 Metaploit WebUIはあまり使うことはないのだが、あまり使わないがゆえに、ログインパスワードを忘れる方がいるかもしれない。そこで最後に、Metasploit WebUIのログインパスワードを忘れた際の対処法を紹介しておこう。

 この場合はまず[https://localhost:3790/]にアクセスし、[I forgot my password]をクリックする(画面19)。

 すると、各OSのパスワードリセット方法を説明したページが表示される。Windows版ではスタートメニューの[プログラム]→[Metasploit]→[Password Reset]を選択。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「password reset」と入力し、表示された[Password Reset]を選択する(画面20)。

 しばらくするとパスワードをリセットするかどうかを確認するメッセージが表示される(画面21)ので、リセットする場合は[yes]と入力して、エンターを入力する。

 入力すると新しいパスワードが発行される(画面22)ので、そちらのパスワードでログインするといいだろう。ログイン後、任意のパスワードに変更したい場合は、右上にある[Account - アカウント名]をクリックし、[User Settings]から設定画面を開き、[Change Password]の必要項目を埋めて[Change Password]をクリックする。

まずは環境整備まで、次は被攻撃環境の整備を紹介

 今回はMetasploitを実行できるまでの環境を整える、いわば準備段階にすぎないため、もの足りなかった方もいるだろう。

 次回は、攻撃を実行される環境(被攻撃環境)を整えた上で、Metasploitを使って実際にその被攻撃環境に攻撃を行い、侵入する方法について紹介する予定だ。ちなみに被攻撃環境についての検証は既に終えている。Windodws Vista、7、8の32bit、64bit環境、それぞれ全て攻撃に成功しているものを紹介するので、少しの間お待ちいただきたい。

筆者紹介

辻 伸弘(つじ のぶひろ)

ソフトバンク・テクノロジー株式会社

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。

▼辻氏のブログ「(n)」: http://n.pentest.ninja/

▼辻氏のTwitter: http://twitter.com/ntsuji


「セキュリティ・ダークナイト ライジング」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  5. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  6. 廃止済みの「Internet Explorer」を悪用したリモートコード実行の脆弱性、Microsoftは対策パッチをリリース
  7. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  8. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  9. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  10. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
ページトップに戻る