Burp Suiteのペネトレーションテスト設定方法｜初期設定から実践まで

ペネトレーションテストツールとして世界中で使われているBurp Suiteですが、初めて導入する際の設定手順に不安を感じていませんか。この記事では、Burp Suiteのダウンロードから初期設定、実践的な診断準備まで、中小企業のセキュリティ担当者が知っておくべき設定方法を段階的に解説します。無料版と有料版の違いや法的リスクも含め、安全に診断を始めるための知識を身につけましょう。

Burp Suiteとは｜ペネトレーションテストツールの基礎知識

Burp Suiteの主な機能と特徴

Burp Suiteは、PortSwigger社が開発したWebアプリケーションのセキュリティ診断ツールです。HTTPおよびHTTPS通信を傍受し、脆弱性を検出するための統合プラットフォームとして、世界中のセキュリティ専門家に利用されています。

主な機能は以下の通りです：

• Proxy（プロキシ）：ブラウザとWebサーバー間の通信を傍受・編集する機能
• Scanner（スキャナー）：自動的に脆弱性をスキャンする機能（有料版のみ）
• Intruder（イントルーダー）：特定のパラメータに対して攻撃パターンを実行する機能
• Repeater（リピーター）：HTTPリクエストを手動で編集して再送信する機能
• Decoder（デコーダー）：データのエンコード・デコードを行う機能

OWASP Top 10に記載されているSQLインジェクションやクロスサイトスクリプティング（XSS）などの脆弱性を検出できるため、ペネトレーションテストの初期段階から活用できます。

無料版（Community）と有料版の違い

Burp Suiteには無料版のCommunity Editionと有料版のProfessional Editionがあり、機能に大きな違いがあります。

中小企業でセキュリティ診断を始める場合、まずは無料版で基本操作を習得し、診断の頻度や規模に応じて有料版の導入を検討するのが現実的です。無料版でも手動診断の基本機能は十分に利用できるため、初期導入のハードルは低いといえます。

中小企業での活用シーン

Burp Suiteは以下のような場面で活用できます：

• 自社開発Webシステムの脆弱性診断：社内の業務システムや顧客向けWebサービスの診断
• 外部委託前の事前チェック：セキュリティ診断会社に依頼する前の簡易診断
• 開発段階でのセキュリティテスト：リリース前の品質保証プロセスに組み込む
• インシデント対応時の原因調査：攻撃の再現や脆弱性の特定

ただし、必ず診断対象システムの管理者から書面による許可を取得してください。許可のない環境への診断は不正アクセス禁止法違反となり、刑事罰の対象になります。

Burp Suiteの初期設定手順｜インストールから起動まで

システム要件と事前準備

Burp Suiteをインストールする前に、以下のシステム要件を確認してください：

• OS：Windows、macOS、Linuxに対応
• Java：Java 17以降が必要（インストーラーにバンドルされているバージョンを使用可能）
• メモリ：最低4GB、推奨8GB以上
• ストレージ：1GB以上の空き容量

診断用の環境を準備する際は、本番環境とは分離されたテスト環境を用意することが重要です。誤って本番環境に影響を与えないよう、ネットワークを物理的または論理的に分離してください。

ダウンロードとインストール手順

Burp Suiteのインストール手順は以下の通りです：

1. 公式サイトへアクセス：PortSwigger公式サイトのダウンロードページにアクセス
2. Community Editionを選択：無料版の「Download」ボタンをクリック
3. OSに対応したインストーラーをダウンロード：Windows版は.exe、macOS版は.dmgファイル
4. インストーラーを実行：画面の指示に従ってインストールを進める
5. インストール完了後、Burp Suiteを起動：デスクトップのアイコンまたはアプリケーションフォルダから起動

Windowsの場合、インストール時に管理者権限が求められることがあります。セキュリティソフトによってはBurp Suiteが通信を傍受する動作を検知してブロックする場合があるため、除外設定を行ってください。

初回起動時の基本設定

初めてBurp Suiteを起動すると、プロジェクト設定画面が表示されます。無料版では以下の選択肢があります：

• Temporary project（一時プロジェクト）：設定を保存せず、終了時にすべてのデータが削除される
• 設定ファイルの読み込み：過去に保存した設定を読み込む（有料版のみ）

初回は「Temporary project」を選択し、「Next」をクリックしてください。次に、デフォルトの設定を使用するか、カスタム設定を使用するかを選択する画面が表示されます。初めての場合は**「Use Burp defaults」を選択**して「Start Burp」をクリックしましょう。

起動後、Burp Suiteのメイン画面が表示され、上部のタブから各機能にアクセスできるようになります。

ブラウザのプロキシ設定方法

Burp SuiteでHTTP通信を傍受するには、ブラウザのプロキシ設定を変更する必要があります。以下はGoogle Chromeでの設定手順です：

1. Chromeの設定を開く：右上のメニューから「設定」を選択
2. 「システム」セクションへ移動：左側メニューから「システム」をクリック
3. 「パソコンのプロキシ設定を開く」をクリック：OSのプロキシ設定画面が表示される
4. プロキシサーバーを設定：アドレスに「127.0.0.1」、ポートに「8080」を入力
5. 設定を保存：変更を適用してブラウザを再起動

Firefoxの場合は、設定メニューから「ネットワーク設定」を開き、「手動でプロキシを設定する」を選択して同様の設定を行います。

設定後、Burp Suiteの「Proxy」タブを開き、「Intercept is on」の状態でブラウザからWebサイトにアクセスすると、通信がBurp Suiteで傍受されます。初めて傍受が成功したら、設定は正しく完了しています。

実践的なBurp Suite設定｜ペネトレーションテストの準備

ターゲットスコープの設定

ペネトレーションテストでは、診断対象を明確に限定することが重要です。Burp Suiteでは「Target」タブの「Scope」機能を使って、診断対象のドメインやURLパターンを指定できます。

スコープ設定の手順：

1. 「Target」タブを開く：上部メニューから「Target」を選択
2. 「Scope」サブタブをクリック：スコープ設定画面が表示される
3. 「Add」ボタンをクリック：対象のプロトコル、ホスト、ポート、ファイルパスを入力
4. 「Include in scope」にチェック：指定したURLパターンがスコープに追加される

例えば、自社の開発環境「https://test.example.com」のみを診断対象とする場合、ホストに「test.example.com」、プロトコルに「https」を指定します。これにより、**意図しない外部サイトへのリクエストを防止**できます。

スコープ外のリクエストをフィルタリングするには、「Proxy」タブの「Options」から「Intercept Client Requests」の設定で「And URL is in target scope」を有効にしてください。

SSL/TLS証明書のインストール

HTTPS通信を傍受するには、Burp SuiteのSSL/TLS証明書をブラウザにインストールする必要があります。この設定を行わないと、ブラウザが証明書エラーを表示し、通信が傍受できません。

証明書インストール手順：

1. ブラウザでBurp Suiteにアクセス：プロキシ設定後、ブラウザで「http://burpsuite」にアクセス
2. 「CA Certificate」をクリック：証明書ファイル（cacert.der）がダウンロードされる
3. ブラウザの証明書管理画面を開く：Chromeの場合、「設定」→「プライバシーとセキュリティ」→「セキュリティ」→「証明書の管理」
4. 「信頼されたルート証明機関」にインポート：ダウンロードした証明書を選択してインポート
5. すべての目的を信頼する設定を有効化：証明書の信頼設定を確認

macOSの場合は、「キーチェーンアクセス」アプリケーションで証明書を「システム」キーチェーンに追加し、「常に信頼」に設定してください。

証明書インストール後、HTTPS通信を傍受しても証明書エラーが表示されなくなります。

Intruderの基本設定

Intruderは、特定のパラメータに対して複数の値を自動的に送信し、脆弱性を検出する機能です。例えば、ログインフォームに対して辞書攻撃を試みる際に使用します。

Intruderの基本的な使い方：

1. 対象のリクエストをIntruderに送信：Proxyで傍受したリクエストを右クリックし、「Send to Intruder」を選択
2. 「Positions」タブでペイロード挿入位置を指定：パラメータ部分を選択し、「Add §」ボタンで区切る
3. 攻撃タイプを選択：Sniper（単一位置）、Battering ram（複数位置同一値）、Pitchfork（複数位置異なる値）、Cluster bomb（すべての組み合わせ）から選択
4. 「Payloads」タブでペイロードを設定：辞書ファイルを読み込むか、手動で値を入力
5. 「Start attack」をクリック：攻撃が開始され、レスポンスが記録される

無料版では攻撃速度に制限があるため、大量のリクエストを送信する場合は時間がかかります。診断対象のシステムに負荷をかけすぎないよう、適切なスレッド数とリクエスト間隔を設定してください。

Repeaterの使い方

Repeaterは、HTTPリクエストを手動で編集して何度も再送信できる機能です。脆弱性の検証や、特定のパラメータがどのように処理されるかを確認する際に使用します。

Repeaterの基本操作：

1. 対象のリクエストをRepeaterに送信：Proxyで傍受したリクエストを右クリックし、「Send to Repeater」を選択
2. リクエスト内容を編集：左側のパネルでHTTPヘッダーやボディを自由に編集
3. 「Send」ボタンをクリック：編集したリクエストが送信され、右側にレスポンスが表示される
4. レスポンスを確認：ステータスコード、ヘッダー、ボディを分析

例えば、SQLインジェクションの検証を行う場合、パラメータに「' OR 1=1--」などのペイロードを挿入してレスポンスを観察します。エラーメッセージやデータベース情報が返された場合、脆弱性の可能性が高いと判断できます。

Repeaterは手動診断の中核となる機能であり、細かな挙動の確認や、自動スキャンでは検出できない脆弱性の発見に役立ちます。

Burp Suite利用時の注意点とセキュリティリスク

法的リスクと許可の取得

Burp Suiteを使用する際の最も重要な注意点は、許可のない環境への診断は不正アクセス禁止法違反になるという点です。日本では、他人のコンピュータに不正にアクセスする行為は刑事罰の対象となり、最大で3年以下の懲役または100万円以下の罰金が科せられます。

診断を実施する前に必ず以下を確認してください：

• 書面による許可の取得：診断対象システムの管理者から、診断の範囲・期間・手法を明記した許可書を取得
• 契約書の締結：外部のシステムを診断する場合は、秘密保持契約やサービス契約を締結
• 第三者への影響確認：診断対象が共有サーバーやクラウド環境の場合、他のユーザーに影響を与えないか確認

IPAが公開している「安全なウェブサイトの作り方」では、セキュリティ診断を実施する際のガイドラインが示されています。診断実施前に必ずこのガイドラインを確認し、法的・倫理的に適切な手順を踏んでください。

本番環境での診断時の注意事項

本番環境でペネトレーションテストを実施する場合、以下の点に特に注意してください：

• 診断時間帯の調整：業務時間外やアクセスが少ない時間帯に実施し、ユーザーへの影響を最小化
• 負荷テストの制限：Intruderなどの自動攻撃機能は、サーバーに大きな負荷をかける可能性があるため、スレッド数やリクエスト間隔を制限
• データの保護：個人情報や機密情報を含むデータベースにアクセスしないよう、スコープを慎重に設定
• バックアップの確認：万が一システムに影響を与えた場合に備え、事前にバックアップが取得されているか確認
• 関係者への事前通知：システム管理者やネットワーク担当者に診断実施を通知し、異常なアクセスとして検知された場合の連絡体制を整備

OWASP Testing Guideでは、本番環境でのテストにおけるリスク管理手法が詳しく解説されています。診断によってシステムが停止する可能性もゼロではないため、リスクを十分に理解した上で実施してください。

よくある設定ミスと対処法

Burp Suiteの初期設定でよくあるトラブルと対処法を紹介します：

• プロキシ設定後もブラウザが通信できない：Burp Suiteの「Proxy」タブで「Intercept is off」になっているか確認。傍受が有効だとリクエストが保留される
• HTTPS通信で証明書エラーが表示される：Burp Suiteの証明書が正しくインストールされているか確認。ブラウザを再起動すると解決することもある
• 特定のサイトだけ傍受できない：Burp Suiteのスコープ設定で対象ドメインが除外されていないか確認。また、サイトがSSL Pinningを使用している場合は傍受できない
• Intruderが動作しない：無料版では速度制限があるため、リクエスト送信に時間がかかる。有料版の試用期間を利用すると速度を確認できる
• メモリ不足でクラッシュする：Burp Suiteに割り当てるメモリを増やす。起動オプションで「-Xmx4g」などと指定してヒープサイズを拡大

トラブルが解決しない場合は、PortSwigger公式のサポートフォーラムやドキュメントを参照してください。コミュニティでは多くのユーザーが情報を共有しており、類似の問題に対する解決策が見つかることがあります。

まとめ

この記事では、Burp Suiteのペネトレーションテスト設定方法について、初期設定から実践的な使い方まで解説しました。重要なポイントは以下の3つです：

• 無料版でも基本的な手動診断は十分に可能：Community Editionでプロキシ、Repeater、Decoderなどの機能を活用できる
• 法的リスクを理解し、必ず許可を取得すること：不正アクセス禁止法違反にならないよう、診断対象の管理者から書面による許可を取得する
• 段階的に学習を進めること：まずは基本的なプロキシ設定から始め、Repeaterで手動診断に慣れた後、Intruderやスキャナーなどの高度な機能を学ぶ

次のステップとしては、実際のテスト環境でBurp Suiteを使用し、OWASP Top 10に記載されている脆弱性の検出手法を実践してみましょう。社内でセキュリティ診断体制を構築する場合は、診断の範囲・頻度・報告フォーマットを明確にし、継続的な改善サイクルを確立することが重要です。IPAやOWASPのガイドラインを参考に、安全で効果的な診断体制を整えてください。