TOPSoftware > ペネトレーションテストの代表的ツール11選(後)

Software

ペネトレーションテストの代表的ツール11選(後)

2020/03/19

J.M. Porup CSO

 ペネトレーションテスト(侵入テスト)とは、プロフェッショナルなホワイトハッカーが行う模擬的なサイバー攻撃の一種だ。企業のネットワークやシステムへの侵入を試みて、攻撃に悪用される可能性のある脆弱性を見つけ出すことを目的としている。

前回から続く)

6. Hashcat

Credit: Kali Linux / nevarpp / Getty Images

 Hashcatも、ハッシュからパスワードを割り出すための解析ツールだ。John the Ripperといい勝負をしており、「世界最速・最先端のパスワード復元ユーティリティ」といううたい文句も、決して大げさではない。総当たり攻撃、辞書攻撃、マスク攻撃など、さまざまな手法でパスワードを割り出せる。

 ペネトレーションテストでは、ハッシュ化されたパスワードを取得することも多い。取得したデータを利用するためには、Hashcatのようなプログラムを使って、推測や総当たり攻撃により、一部のパスワードだけでも割り出すことを目指す。

 Kali Linuxを仮想マシンで動かしている人にはお気の毒ながら、HashcatはモダンなGPUで動かすのが一番だ。hashcat-legacyを使えば、CPUを使ったクラッキングが引き続き可能だが、GPUを利用するのに比べてかなり遅い。

7. Hydra

 John the Ripperの相棒となるパスワード解析ツールだ。SSH、FTP、IMAP、IRC、RDPなどのパスワードをオンラインで割り出す時に使える。対象のサービスを指定し、必要に応じて単語リストを指定したうえで、処理を開始するだけで済む。John the Ripper、Hashcat、Hydraといったツールであらためて実感できるとおり、パスワードの入力回数に制限を設けたり、ログインに何度か失敗したユーザーをロックしたりすることは、攻撃への防御としてやはり有効だ。

↑ページ先頭へ