ペネトレーションテスト用スクリプトの作成方法｜Python実装例付き

外部委託の脆弱性診断は1回数十万円〜数百万円と高額で、頻繁に実施するのは難しいという悩みを抱えている企業は少なくありません。そこで注目されているのが、Pythonを使ったペネトレーションテスト用スクリプトの自作です。この記事では、法的リスクを正しく理解した上で、安全にスクリプトを作成・運用する方法を、実装例とともに解説します。ただし、許可のない環境でのテスト実施は不正アクセス禁止法違反となる犯罪行為ですので、必ず自社の検証環境でのみ実施してください。

ペネトレーションテスト用スクリプトとは

脆弱性診断との違い

ペネトレーションテストと脆弱性診断は、どちらもシステムの弱点を見つける手法ですが、目的と実施範囲が異なります。

脆弱性診断は、既知の脆弱性を網羅的にチェックし、潜在的なリスクを洗い出すことが主な目的です。自動化ツールを使って広範囲をスキャンし、CVE（Common Vulnerabilities and Exposures）などのデータベースと照合しながら弱点を特定します。

一方、ペネトレーションテストは、実際の攻撃者の視点でシステムに侵入を試み、どこまで侵害できるかを検証する手法です。単なる脆弱性の発見だけでなく、複数の脆弱性を組み合わせた攻撃シナリオの検証や、実際の被害範囲の把握を目的としています。

スクリプトを自作する場合、まずは脆弱性診断に近い簡易チェックから始めることをおすすめします。本格的なペネトレーションテストは専門知識が必要で、誤った実施方法では本番環境に影響を与えるリスクがあるためです。

スクリプト化するメリット

ペネトレーションテスト用スクリプトを自作することで、以下のようなメリットが得られます。

• 自動化による効率化：定型的なチェック作業を自動化し、人的ミスを減らせます
• 再現性の担保：同じ条件で繰り返しテストでき、前回との差分検証が容易になります
• コスト削減：外部委託の回数を減らし、社内で簡易チェックを実施できます
• カスタマイズ性：自社システム特有の検証項目を追加できます
• 学習効果：スクリプト作成を通じて、セキュリティの理解が深まります

ただし、スクリプトによる自動チェックはあくまで補助的な位置づけです。複雑な脆弱性や、ビジネスロジックに関わる問題は、専門家による手動診断でなければ発見できないケースが多いことを理解しておきましょう。

自作する前に知るべきこと

スクリプトを作成する前に、必ず理解しておくべき重要事項があります。

最も重要なのは法的リスクです。不正アクセス禁止法では、アクセス権限のないコンピュータに不正に侵入する行為を禁止しています。たとえセキュリティ向上が目的であっても、許可のない環境でペネトレーションテストを実施することは犯罪です。

実施前に必要な手続きは以下の通りです。

• システム管理者からの明示的な許可取得
• テスト実施範囲の文書化
• 実施日時・担当者の記録
• 万が一のインシデント発生時の責任所在の明確化

また、本番環境でのテスト実施は原則禁止です。意図しないシステム停止やデータ破損のリスクがあるため、必ず検証環境を用意してください。クラウド環境を利用する場合も、利用規約でペネトレーションテストが許可されているか確認が必要です。AWSやAzureなどの主要クラウドサービスは事前申請が求められるケースがあります。

スクリプト作成の基本設計と準備

テスト環境の構築方法

スクリプトの動作確認には、専用のテスト環境が不可欠です。以下のような環境を準備しましょう。

仮想環境の活用が最も安全で手軽です。VirtualBoxやVMwareを使い、攻撃対象となる脆弱なシステムを仮想マシン上に構築します。OWASP Juice ShopやDVWA（Damn Vulnerable Web Application）といった、学習目的で意図的に脆弱性を含んだアプリケーションを利用するのが一般的です。

環境構築のポイントは以下です。

• ネットワークの隔離：仮想マシンをホストオンリーネットワークに配置し、外部との通信を遮断
• スナップショット機能の活用：テスト前の状態を保存し、いつでも初期状態に戻せるようにする
• ログ記録の設定：すべての操作履歴を記録し、後から検証できるようにする

繰り返しますが、本番環境や他者が管理するシステムでのテスト実施は絶対に行わないでください。これは法的リスクだけでなく、業務停止などの重大なインシデントにつながる可能性があります。

Python環境のセットアップ

ペネトレーションテスト用スクリプトの開発には、Pythonが広く使われています。理由は、豊富なライブラリと読みやすい文法、クロスプラットフォーム対応にあります。

まず、Python 3.8以上をインストールしてください。その後、以下のライブラリをインストールします。

• requests：HTTP通信を扱うライブラリ
• socket：低レベルなネットワーク通信（標準ライブラリ）
• scapy：パケット操作ライブラリ
• beautifulsoup4：HTML解析用
• cryptography：暗号化・証明書検証用

インストールはpipコマンドで行います。

仮想環境（venv）を使って、プロジェクトごとに独立した環境を作ることをおすすめします。これにより、他のプロジェクトとのライブラリバージョン競合を避けられます。

スクリプトの基本構造

セキュリティテスト用スクリプトは、以下の3つの要素で構成されます。

入力部分では、テスト対象のIPアドレス、ポート番号、URLなどを受け取ります。コマンドライン引数や設定ファイルから読み込む方式が一般的です。

処理部分では、実際のテストロジックを実装します。ポートスキャン、HTTPヘッダーチェック、証明書検証など、目的に応じた処理を記述します。エラーハンドリングを適切に行い、予期しない動作でテスト対象に影響を与えないよう注意が必要です。

出力部分では、テスト結果をレポート形式で出力します。標準出力だけでなく、CSVやJSON形式でファイルに保存すると、後から分析しやすくなります。

スクリプトには以下の機能を組み込むことを推奨します。

• タイムアウト設定（無限ループやハングアップの防止）
• リトライ処理（一時的なネットワークエラーへの対応）
• 進捗表示（長時間処理の可視化）
• 詳細ログの記録（デバッグと証跡管理）

ログ記録とレポート出力

セキュリティテストでは、すべての操作履歴を記録することが非常に重要です。これは、万が一問題が発生した際の原因究明や、定期的なテスト結果の比較分析に役立ちます。

Pythonの標準ライブラリ「logging」を使うと、簡単にログ機能を実装できます。ログレベル（DEBUG、INFO、WARNING、ERROR、CRITICAL）を適切に設定し、重要度に応じて情報を記録しましょう。

レポートには以下の情報を含めることを推奨します。

• テスト実施日時・担当者
• 対象システムの情報（IPアドレス、ホスト名など）
• 検出された問題の詳細（重要度、影響範囲、再現手順）
• 推奨される対策
• テスト実施中のエラーや例外

レポート形式はHTML、PDF、Excelなど、受け手に合わせて選択します。経営層向けにはサマリーを、技術者向けには詳細なログを提供するなど、複数の形式を用意すると効果的です。

実装例①ポートスキャンスクリプト

基本的なポートスキャン実装

ポートスキャンは、ネットワーク上のホストで開いているポートを特定する基本的な調査手法です。以下は、Pythonのsocketライブラリを使ったシンプルな実装例です。

このスクリプトは、指定したIPアドレスに対して、1番から1024番までのウェルノウンポートをスキャンし、開いているポートを表示します。

動作の仕組みとしては、各ポートに対してTCP接続を試み、接続が成功すれば「開いている」、タイムアウトまたは拒否されれば「閉じている」と判定します。タイムアウト値を1秒に設定することで、応答のないポートで無限に待機することを防いでいます。

ただし、この実装は教育目的の最小限のコードです。実務で使用する場合は、以下の改善が必要です。

• 並列処理による高速化（threadingやasyncioの活用）
• スキャン対象ポート範囲の柔軟な指定
• サービス名の表示（例：80番ポート → HTTP）
• エラーハンドリングの強化

応答時間の計測機能

ポートスキャンに応答時間の計測を追加すると、ネットワークやサーバーのパフォーマンス評価にも活用できます。

応答時間が異常に長い場合、以下のような問題が潜んでいる可能性があります。

• ファイアウォールやIDS（侵入検知システム）がスキャンを検知し、遅延させている
• サーバーのリソースが逼迫している
• ネットワーク経路に問題がある

応答時間のデータを蓄積することで、通常時と異常時の比較が可能になり、セキュリティインシデントの早期発見につながります。

結果の可視化方法

スキャン結果を視覚的に表現すると、問題の把握が容易になります。

CSV出力は最もシンプルな方法です。ポート番号、状態、応答時間、サービス名を列として記録し、Excelやスプレッドシートで後から分析できます。

グラフ化には、Pythonのmatplotlibやseabornといったライブラリが便利です。開いているポートの分布や、応答時間の推移を折れ線グラフや棒グラフで表現すると、異常値が一目で分かります。

定期的にスキャンを実行し、過去のデータと比較することで、「先週まで閉じていたポートが突然開いている」といった変化を検出できます。これは、意図しないサービス起動や、不正アクセスの兆候を発見する手がかりになります。

実装例②HTTP脆弱性チェックスクリプト

HTTPヘッダー検証

Webアプリケーションのセキュリティは、HTTPヘッダーの適切な設定に大きく依存しています。以下は、セキュリティヘッダーの有無をチェックするスクリプト例です。

このスクリプトでは、以下のセキュリティヘッダーをチェックします。

• X-Frame-Options：クリックジャッキング攻撃を防ぐ
• X-Content-Type-Options：MIMEタイプスニッフィング攻撃を防ぐ
• Strict-Transport-Security：HTTPS接続を強制する
• Content-Security-Policy：XSS攻撃を防ぐ
• X-XSS-Protection：ブラウザのXSS保護機能を有効化

これらのヘッダーが設定されていない場合、警告を表示します。ただし、ヘッダーの有無だけでは完全なセキュリティは保証されません。設定値が適切かどうかの検証も必要です。

たとえば、Content-Security-Policyヘッダーが存在しても、unsafe-inlineやunsafe-evalが許可されていれば、XSS攻撃のリスクは残ります。このような詳細な検証は、専門家による手動診断が必要になります。

SSL/TLS証明書チェック

HTTPS通信の安全性は、SSL/TLS証明書の正しい設定に依存します。以下の項目をチェックするスクリプトを実装できます。

• 証明書の有効期限：期限切れ間近の証明書を検出
• 証明書チェーンの検証：中間証明書の欠落をチェック
• 自己署名証明書の検出：本番環境での使用を警告
• TLSバージョン：古いプロトコル（TLS 1.0/1.1）の使用を警告
• 暗号スイート：弱い暗号化方式の使用を検出

Pythonのcryptographyライブラリやsslモジュールを使うと、これらの情報を取得できます。

証明書の有効期限が30日以内に迫っている場合、アラートを出すように設定すると、更新忘れによるサービス停止を防げます。実際に、有効期限切れによる大規模障害は過去に何度も発生しており、定期的な自動チェックの重要性が認識されています。

よくある実装ミスと対策

HTTP脆弱性チェックスクリプトを実装する際、以下のようなミスが頻繁に発生します。

タイムアウト設定の欠如は最も多いミスです。requestsライブラリでHTTP通信を行う際、タイムアウトを設定しないと、応答が返らないサーバーに対して無限に待機し続けます。必ずtimeout引数を指定しましょう。推奨値は5〜10秒程度です。

エラー処理の不足も問題です。ネットワークエラー、DNS解決失敗、SSL証明書エラーなど、さまざまな例外が発生する可能性があります。try-except文で適切にエラーをキャッチし、ログに記録した上で処理を継続するようにしてください。

リダイレクトの扱いにも注意が必要です。requestsライブラリはデフォルトでリダイレクトを自動追従しますが、セキュリティチェックではリダイレクト前後の両方のレスポンスを確認する必要があるケースがあります。allow_redirects=Falseオプションで制御できます。

レート制限への配慮も重要です。短時間に大量のリクエストを送ると、WAF（Web Application Firewall）やレート制限機能によってブロックされる可能性があります。time.sleep関数でリクエスト間隔を調整しましょう。

スクリプト運用時の注意点と法的リスク

許可なき実施は犯罪

この記事で何度も強調していますが、許可のない環境でのペネトレーションテストは不正アクセス禁止法違反となり、刑事罰の対象です。

不正アクセス禁止法第3条では、「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」を禁止しています。

これは、たとえセキュリティ向上が目的であっても、システム管理者の許可なくテストを実施すれば違法となることを意味します。違反した場合、3年以下の懲役または100万円以下の罰金が科される可能性があります。

過去には、セキュリティ研究者が善意で脆弱性を発見し報告しようとしたところ、不正アクセスとして立件されたケースもあります。必ず事前に明示的な許可を取得してください。

テスト範囲の明確化

ペネトレーションテストを実施する際は、テスト範囲を明確に文書化し、関係者全員で合意することが不可欠です。

文書化すべき項目は以下の通りです。

• 対象システム：IPアドレス、URL、ホスト名を具体的に記載
• 実施期間：開始日時と終了日時を明記
• 実施者：担当者の氏名・所属・連絡先
• テスト内容：実施する具体的な検証項目
• 禁止事項：本番データの改変、サービス停止を伴う検証など
• 緊急連絡体制：問題発生時の連絡先と手順

これらを記載した「ペネトレーションテスト実施計画書」を作成し、システム管理者や経営層の承認を得てから実施してください。口頭での合意だけでは、後から「そんなテストは許可していない」というトラブルに発展する可能性があります。

誤検知への対応

自動化されたセキュリティスクリプトは、**誤検知（False Positive）**が避けられません。実際には問題がないのに、脆弱性として検出してしまうケースです。

たとえば、以下のような誤検知が頻繁に発生します。

• セキュリティヘッダーが存在しないことを警告したが、実際にはアプリケーションの仕様上不要だった
• 古いTLSバージョンの使用を検出したが、レガシーシステムとの互換性のために意図的に残していた
• ポートが開いていることを検出したが、正規のサービスとして必要なものだった

誤検知を放置すると、重要なアラートが埋もれてしまい、本当の脆弱性を見落とすリスクがあります。スクリプトの結果は必ず人間が目視で確認し、誤検知を除外してください。

また、誤検知を減らすために、ホワイトリスト機能を実装することも有効です。正常と判断した項目を記録しておき、次回以降はアラートを出さないようにします。ただし、ホワイトリストの定期的な見直しも忘れずに行いましょう。

プロの診断との使い分け

自作スクリプトによるセキュリティチェックは、あくまで簡易的な補助手段です。専門家による本格的な脆弱性診断の代替にはなりません。

スクリプトでは検出が難しい脆弱性の例を挙げます。

• ビジネスロジックの欠陥：仕様の誤りによる不正利用の可能性
• 認証・認可の不備：権限昇格や水平移動の脆弱性
• 複雑なSQLインジェクション：WAFをバイパスする高度な攻撃手法
• サーバーサイドリクエストフォージェリ（SSRF）：内部ネットワークへの攻撃
• デシリアライゼーション攻撃：オブジェクトの復元プロセスを悪用

これらは、アプリケーションの動作を深く理解し、手動で検証しなければ発見できません。

自作スクリプトと専門家診断の使い分けとしては、以下を推奨します。

• 日常的な基本チェック → 自作スクリプト
• 新機能リリース前の簡易検証 → 自作スクリプト
• 年次の本格診断 → 専門家に委託
• 重大なセキュリティインシデント後 → 専門家に委託
• クレジットカード情報等を扱う場合 → PCI DSS準拠のため専門家に委託

自作スクリプトは「毎日の健康チェック」、専門家診断は「年1回の人間ドック」というイメージで使い分けるとよいでしょう。

まとめ

この記事では、ペネトレーションテスト用スクリプトの作成方法について、Python実装例とともに解説しました。重要なポイントは以下の3つです。

• 法的リスクの理解：許可のない環境でのテスト実施は不正アクセス禁止法違反となる犯罪行為です。必ず自社の検証環境でのみ実施し、事前に明示的な許可を取得してください
• 適切な環境構築：本番環境ではなく、仮想環境などの隔離されたテスト環境を用意し、ログ記録とレポート出力機能を実装することで、安全かつ効果的な検証が可能になります
• 専門家診断との併用：自作スクリプトは簡易チェックには有効ですが、複雑な脆弱性の発見には限界があります。定期的に専門家による本格診断を受けることを強く推奨します

次のステップとしては、まず自社の検証環境を構築し、この記事で紹介したシンプルなポートスキャンやHTTPヘッダーチェックから始めてみることをおすすめします。スクリプトの動作に慣れたら、自社のシステムに合わせたカスタマイズを進めてください。ただし、本格的なセキュリティ強化には、IPAの「安全なウェブサイトの作り方」やOWASP Top 10などのガイドラインを参照し、必要に応じて専門家のアドバイスを受けることが重要です。