2025年に欠かせない15のペンテストツール

ペネトレーションテストの仕組み

簡単に申し上げますと、ペネトレーションテストとは、システムに対する模擬攻撃を行い、既知の弱点を見つけ出す検証です。このテストは5つの段階に分かれ、以下の工程が含まれます:

1. 計画と情報収集

最初のフェーズでは、

• テストの範囲と目的を明確にし、対象システムと採用する手法を詳しく定義します。

• システムの動作状況および既知の脆弱性などの情報を収集します。

2. スキャン

次のフェーズでは、対象が各種攻撃にどう反応するかを確認します。この工程は、以下の方法で実施されます:

• 静的解析 - アプリのコードを解析し、動作を評価します。これらのツールはコード全体を即時にスキャンできるよう設計されています。

• 動的解析 - 運用中のアプリのコードを解析します。動的解析は、アプリの動作状況を継続的に報告するため、確認が容易です。

3. アクセス獲得

このフェーズでは、SQLインジェクション、クロスサイトスクリプティングなど、様々なウェブアプリ攻撃を試み、対象の脆弱性を突く検証を行います。テスターはこれらの弱点を悪用し、攻撃者がシステムに与えられる影響や取得可能な情報量を確認します。

4. アクセスの維持

このフェーズでは、発見した脆弱性を利用して、対象システムに長期的なアクセスが可能かどうかを検証します。脆弱性が修正されない場合、外部の攻撃者がシステム内に痕跡を残す恐れがあります。これは、運用中のシステムに対して継続的な脅威を模擬し、機密情報が盗まれるリスクを暴露するためです。

5. 分析

ペネトレーションテストの結果はレポートにまとめられ、以下が記載されます:

• 検出され、悪用された脆弱性
• 外部攻撃者により抽出される可能性のある機密情報
• 攻撃者がシステム内で検出されずに滞在した期間

このレポートの情報はセキュリティ部門へ送られ、ネットワークのWAF設定の調整や、脆弱性の修正、以降の攻撃を防ぐための追加対策の実施に役立てられます。

ペネトレーションテストは模擬攻撃であるのに対し、実際のサイバー攻撃とは異なります。また、テストは脆弱性の検出が目的ですが、サイバー攻撃はその悪用を狙います。

ペネトレーションテストツールとは？

ペネトレーションテストツールの用途は非常に明確で、セキュリティシステム内の脆弱性や弱点を検出するために用いられます。完全に安全なシステムを構築することは不可能ですが、これらのツールは現状のリスク把握に役立ちます。

注意: テスト許可を得たシステムに対してのみペンテストツールの使用が認められています。無断使用の場合、法的責任を問われる可能性があります。

もちろん、数多くのペンテストツールが存在し、それぞれがセキュリティシステムの異なる側面を検証します。貴社のウェブアプリのセキュリティテスト要件に合ったツールをお探しの場合や、複数のツールを比較検討したい場合には、この情報が役立つでしょう。最新のツールとそれぞれの機能も併せてご紹介します。

システムのセキュリティ向上、総合的な評価、あるいは規制対応のためには、適切なツールの組み合わせが必要です。ツールが正しく活用されなければ、後になってから重大なセキュリティ欠陥が発見される恐れがあります。全てが問題ないと誤解することは、何よりも危険です。

最新ツールを試して、WAFの性能を評価 - GoTestWAF

おすすめのペンテストツール

2021年にお勧めできるペンテストツールは以下の通りです:

Acunetix

Acunetixは市場で高い評価を受けるペンテストツールの一つです。ほぼあらゆるサイトやアプリをスキャンできる点が特長で、SQLインジェクションやホストヘッダーインジェクションなど、4500以上の固有の脆弱性を検出する能力を持っています。

さらに、DeepScan Crawlerが搭載され、HTML5サイトやAJAXを多用するクライアントサイドのSPAをスキャンできます。Microsoft Team Foundation Server、Atlassian JIRAなどの最新トラッカーにも対応しており、LinuxおよびWindows上で動作、クラウド環境での利用も可能です。

Acunetixの特徴

Acunetixの特長は以下の通りです:

• 詳細なスキャンと解析 - 様々なサイトを自動でスキャン
• 正確な脆弱性検出と低い誤検知率
• 統合された脆弱性ダッシュボードで脅威を特定・管理
• 主要WAFやJIRA、TFS、GitHubなどとの連携
• 無料のネットワークレポートや手動テスト機能
• Windows、Linux、クラウド上での動作
• SQLインジェクション、XSSなど4500以上の攻撃手法に対応
• WordPressのコア、プラグイン、テーマの約1200の脆弱性を検出
• 高速かつスケーラブルで、数百から数千ページを即時スキャン可能

Netsparker

Netsparkerは使いやすいウェブアプリ向けペンテストツールで、SQLインジェクション、XSSなど、アプリ内の各種脆弱性を的確に検出します。オンプレミス版またはSAAS版として提供されています。

このツールは、脆弱性を報告するだけでなく、概念実証（Proof of Concept）まで提示するProof-based Scanning Technologyを搭載しており、偽陽性のリスクを低減します。

また、セキュリティのボトルネックの解消や複雑なインフラの解析を支援し、増え続ける脆弱性リストに対して柔軟な対応が可能です。柔軟なセキュリティテストにより、セキュリティチームの作業負荷も軽減されます。

偽陽性の調査に費やす時間を大幅に削減し、真のリスクだけを見極めることが可能です。開発チームが利用するツールとのシームレスな双方向連携により、SDLC全体にセキュリティテストを統合できます。組織規模に関わらず、無制限のユーザー権限管理も実現します。

SDLC内に脆弱性が長く残れば、その修正には高いコストがかかります。Netsparkerは、開発環境にあった安全なコードの書き方を伝え、脆弱性の発生を未然に防ぎます。結局、そもそも発生しない脆弱性が最も管理しやすいのです。

‍Netsparkerの特徴

• 証拠に基づく独自のスキャン技術で脆弱性を正確に特定
• 簡単な設定で、内蔵スキャナーがURLの変化やカスタム404ページを検知
• REST API連携により、SDLCや各種マッピングツールとシームレスに統合
• 24時間以内に約1000アプリをスキャン可能なスケーラブルなソリューション

Intruder

Intruderは、IT環境全体のセキュリティ脆弱性を検出する優れた自動化ペンテストツールです。業界トップクラスのセキュリティチェック、即時監視、使いやすいインターフェースで、貴社を悪意あるハッカーから守ります。

Intruderを採用している組織は、銀行や政府機関など大手企業も含まれ、複雑な設定を気にすることなく運用できます。各スキャンは特定の脆弱性の検出に特化しているため、早期に問題を発見し、具体的な修正策を提示します。

また、Intruderは最新の脆弱性や脅威をシステムから効率的に検出し、セキュリティ状況を監視して安定した運用を支援します。エンジニア、セキュリティチーム、開発者にとって使いやすい設計です。

Intruderの特徴

• 1万以上のセキュリティチェックを備えた、最高クラスの脅威検出
• 設定ミス、パッチ未適用、SQLインジェクションやクロスサイトスクリプティングなどのアプリ不具合を検出
• スキャン結果を自動解析し、優先順位を付ける機能
• 直感的な操作で、設定から初回スキャンまで迅速に実施
• 最新の脆弱性に対する積極的な監視機能
• AWS、Azure、Google Cloudとの連携
• お使いのCI/CDパイプラインとのAPI連携

Wireshark

Wiresharkは、誰でも利用できるオープンソースのペンテストツールのひとつです。ネットワークプロトコルアナライザーとして、コンピュータネットワーク上の通信をキャプチャし、詳しく解析できます。Windows、Linux、Unix、Mac OS、Solaris、FreeBSD、NetBSDなどで動作し、ネットワークエンジニア、セキュリティ専門家、開発者、教育者に幅広く利用されています。取得したデータはGUIまたはTTYモードのTSharkユーティリティで確認できます。

Wiresharkは必携のネットワークプロトコルアナライザーで、レイテンシ問題、パケット損失、悪意ある通信などのネットワークトラブルシューティングに活用されます。キャプチャしたデータを分かりやすい形式に変換して解析可能です。

以前は Ethereal として知られていたこのツールは、継続的に脆弱性をキャプチャし、分かりやすい形で提示する点で他のペンテストツールと一線を画します。ネットワークパケットアナライザーとして、プロトコル解析、暗号解除、パケット情報の提供など、即時に詳細な情報を与えてくれます。

Wiresharkの特徴

• 各種プロトコルの詳細な解析を可能にする優れた機能を搭載
• 標準の3種類のパケット形式と優れた表示オプション
• GUIまたはTTYモードのTSharkユーティリティでのデータ閲覧が可能
• tcpdump (libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer® など、多彩なファイル形式に対応
• IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP、WPA/WPA2など、複数のプロトコルの暗号解除をサポート
• VOIPトラフィックの解析にも対応

Burpsuite

Burpsuiteは、ウェブアプリのセキュリティを検証するためのグラフィカルなツールです。PortSwigger Web Securityによって開発され、ウェブアプリのセキュリティテストの解決策として提供されています。無料のコミュニティ版、プロフェッショナル版、エンタープライズ版の3種類があり、コミュニティ版は機能が制限されています。

Burp Proxyは、手動テスターがブラウザと対象アプリ間の全リクエスト・レスポンスをキャプチャできるため、HTTPS使用時でも詳細な検証が可能です。

さらに、プロキシ、スキャナー、インタープリッターとしての基本機能に加え、スパイダー、リピーター、デコーダー、比較ツール、シーケンサー、エクステンダーAPI、Clickbanditなどの高度な機能を備え、Windows、Mac OS X、Linuxに対応しています。

Burp Suite Proは、ペンテスターが脆弱性を検出・修正し、対象の隠れた弱点を明らかにするための、最も有名で強力なペンテストツールの一つです。各種高度なツールを一体化したスイートで、ウェブアプリの検証に最適です。

コミュニティ版は、ブラウザトラフィックのブロック、情報収集の管理、手動テストに必要なアウトオブバンド機能などの基本機能を提供し、プロ版はさらに脆弱性スキャンなどの高度な機能が利用可能です。

Burp Suite Proには、以下のようなペンテスターに有用な機能が搭載されています。

Burp Suiteの特徴

• 優れたプロキシ機能により、中間者攻撃を模してHTTP(S)通信をキャプチャ・改変
• 手動テスト時、通常のHTTPリクエスト・レスポンスでは検出困難なOOB脆弱性の検証を支援
• 自動探索機能で、隠れた対象機能を発見
• 迅速な脅威対応とレポート機能により、カスタムHTTPリクエストシーケンスを実行し作業時間を短縮
• 指定リクエストに対し、クロスサイトリクエストフォージェリのPOC攻撃を簡単に構築
• 反射型・保存型のデータソース表示による、より深い手動検証を可能にする
• アプリストアから、コミュニティが作成・検証した多数のモジュールにアクセス可能

MobSF

MobSF（Mobile Security Framework）は、動的解析と静的解析の両方が可能なオープンソースのセキュリティ評価ツールです。Android、Windows、iOSなどのプラットフォームに対応するオールインワンツールで、ペンテストやマルウェア解析も実施できます。APK、APPX、IPXなどのモバイルアプリ、また圧縮されたソースコードの解析もサポートします。

REST APIを利用して、DevSecOpsやCI/CDパイプラインと連携可能です。このオープンソースSASTツールにより、開発段階で脆弱性を早期に発見できます。さらに、オンプレミス環境で動作するため、機密情報がクラウドに漏れることはありません。

MobSFは、Android、iOS、Windowsといった主要プラットフォームで柔軟なアプリテスト環境を容易に構築でき、最新バージョン v3.1.1 では新たな機能と改善が盛り込まれています。

MobSFの特徴

• ネットワークセキュリティ設計とSSL認証解析に関する新機能
• コード行数の表示
• Genymotionクラウドのサポート
• root検出用のFridaスクリプトが追加

MetaSploit

Metasploitは、セキュリティ脆弱性に関する重要な情報を提供するネットワークセキュリティプロジェクトです。

Metasploit Frameworkは、各種アプリ、OS、プラットフォーム向けの最新攻撃コードにアクセスできるオープンソースのペンテスト・開発環境です。

ウェブアプリ、サーバ、ネットワークなどの検証に利用され、Windows、Linux、Apple Mac OSで動作するコマンドラインとGUIの両方のインターフェースを備えています。商用製品ですが、無料体験版も提供されています。

Metasploitの機能:

• Metasploitの主な特徴は以下の通り:
• コマンドラインとGUIの両方のインターフェースを備える
• Linux、Windows、Mac OS Xに対応
• ネットワーク情報の開示
• 脆弱性スキャナーとの連携
• モジュールフレームワーク
• 手動での攻撃検証
• 基本的な攻撃手法

SQLmap

SQLmapはオープンソースのツールですが、熟練のペンテスターが様々なデータベースに対するSQLインジェクションの脆弱性を検出・悪用するための非常に強力なツールです。単一のコマンドで貴重な情報を抽出できる強力な検索エンジンを搭載しています。

SQLmapの特徴

• 辞書攻撃により、パスワードハッシュ形式を自動認識し解読支援を実施
• データベース全体から、特定の名称、テーブル、カラムを効率的に検索し、認証情報を保持するテーブルを特定
• データベースサーバと攻撃マシン間にアウトオブバンドTCP接続を確立し、インタラクティブなコマンドシェルまたは meterpreter セッションを提供
• 対象データベースとの間で、任意のファイルのダウンロードおよびアップロードに対応

W3af

W3af（ウェブアプリ攻撃・監査フレームワーク）は、ウェブアプリの脆弱性を発見・悪用することで、リスクを低減します。200以上の脆弱性を検出し、サイト全体のリスク露出を減少させます。SQLインジェクション、クロスサイトスクリプティング（XSS）、予測可能な認証情報、不適切なエラー処理、PHP設定ミスなどを検知可能です。グラフィカルおよび管理用のGUIを備え、Windows、Linux、Mac OSに対応します。

W3afの特徴:

• ウェブとプロキシサービスとの連携が可能
• HTTPリクエストのほぼ全てにペイロードを注入可能
• プロキシに対応
• HTTP BasicおよびDigest認証に対応
• ユーザーエージェントの偽装が可能
• レスポンスにカスタムヘッダーを追加可能
• クッキーの管理
• HTTPレスポンスのキャッシュ機能
• DNSキャッシュ
• マルチパートを利用したファイル転送
• 無料で利用可能

Zed Attack Proxy (ZAP)

ZAPは無償で提供されているオープンソースのウェブアプリセキュリティスキャナーです。開発・テスト段階でウェブアプリの脆弱性を発見し、自動スキャナーと手動による検証ツール群を提供します。アプリセキュリティ初心者から熟練のペンテスターまで幅広く利用でき、Windows、Linux、Mac OS Xなど様々なOSに対応します。

ZAPの特徴

• 通信の傍受プロキシ
• パッシブスキャンとAJAX脆弱性検出
• 自動スキャナー
• パッシブスキャナー
• 強制ブラウジング
• ファザー
• WebSocket対応

Nmap

Nmap（Network Mapperの略）は、ネットワークマッピングとセキュリティ評価のための無料かつオープンソースのスキャンツールです。Linux、Windows、Solaris、HP-UX、BSD系（Mac OS含む）、AmigaOSに対応し、ネットワーク上のホスト、提供されるサービス、稼働中のOSやバージョン、利用されるプロトコルやファイアウォールなどを把握できます。

ネットワーク在庫確認、オープンポート検出、システムアップグレードの管理、ホストやサービスの稼働状況の監視など、日常的な管理作業にも役立ち、コマンドラインとGUIの両インターフェースが備えられています。

Nmapポートスキャンツールの特徴

• ネットワークの脆弱性を検出
• オープンポートを特定
• ネットワーク在庫確認、マッピング、管理資源の割り当てに利用
• ネットワーク内の脆弱性を発見し悪用
• ホストへのトラフィック発生、応答解析、応答時間の測定を実施

Kali Linux

Kali Linuxは、Offensive Security Ltd.により維持・提供されているオープンソースのペンテストツールで、Linux専用です。

ペネトレーションテスト、セキュリティ調査、コンピュータ・フォレンジクス、リバースエンジニアリングなど、様々なサイバーセキュリティ業務向けに600以上のツールが含まれています。

Kali Linuxの特徴

Kali Linuxの主な特徴は以下の通りです:

• ライブモードでISOを自由にカスタマイズし、独自のKali Linuxイメージを作成可能
• ISO of Doomやその他のKaliレシピ
• クラウド版はAmazon Elastic Compute Cloudにシームレスに展開可能
• 多数のメタパッケージスイートにより、完全なツールセットを提供
• フルディスク暗号化 (FDE) に対応
• 外部利用者向けのアクセシビリティ機能
• 複数の永続ストアを備えたLive USB

John The Ripper

John The Ripper（JTRとも呼ばれる）は、長いパスワードでも解読可能な無料かつオープンソースのパスワードクラッキングツールです。最も人気のあるパスワードテスト・クラッキングツールとして、主に辞書攻撃に用いられ、ネットワーク内の弱いパスワード脆弱性を検出し、ブルートフォースやレインボーテーブル攻撃から守ります。UNIX、Windows、DOS、OpenVMSに対応し、コミュニティ版と無料版が提供されています。

HASHCAT

Hashcatは、ハッカーや倫理的ハッカーのコミュニティで利用される有名なオープンソースのパスワードクラッキングツールです。パスワードを推測し、ハッシュ化、その結果を狙うハッシュと比較し、一致すればパスワードが判明します。

ハッシュ化には、WHIRLPOOL、RipeMD、NTLMv1、NTLMv2、MD5、SHAなどが用いられ、その他のアルゴリズムも存在します。意味のあるデータを難解なコードに変換することで、他者が情報を解読しにくくなります。

Hashcatの特徴:‍

• 高速で効率的、かつ多層的な設計
• 複数のハッシュを同時に解読でき、文字列数は最小要件に合わせ設定・実行可能
• 自動実行チューニングとキー空間利用のMarkovチェインをサポート
• 内蔵のベンチマーキング機能とウォームガードが統合
• 300以上のハッシュキャット実行が可能
• hex文字セットおよびhex-saltに対応
• 分散型クラッキングエンジンと200以上のハッシュタイプに対応

AirCrack

Aircrack-ngは、Wi-Fiネットワークの脆弱性を検証するための一連のツールを備えたネットワークセキュリティのペンテストツールです。スキャン、検証、攻撃、クラッキングといった基本機能を提供します。

本ツールは、データパケットをキャプチャし、他のツールでの処理が可能な形に変換します。リプレイ攻撃、認証解除攻撃、パケットインジェクションによる偽経路作成などが実施でき、Wi-Fiカードやドライバーの機能検証、WEPおよびWPA（1/2）の解読にも対応します。

Aircrackの特徴

• 認証前からWEPおよびWPA-PSKを解読する能力で知られ、統計手法でWEP、ブルートフォース攻撃でWPA-PSKを解読
• スキャナー、パケットスニファー、解析ツール、WEPおよびWPA/WPA2-PSK対応のツールを包含する総合スイート
• airodump-ngで802.11生パケットをキャプチャ
• aireplay-ngで無線通信に署名を注入し、十分なパケットが集まるとAircrack-ngで解読
• airdecap-ngでキャプチャファイルの復号やリモートヘッダーの除去が可能

結論

確かに、誰でも利用できる優れたペンテストツールを紹介しました。理想的なツールは存在せず、貴社のニーズやテスト対象のアプリの規模によって適した選択肢が異なりますが、上記の中から適合するものが必ず見つかるはずです。