今回はホワイトハッカー(ペネトレーションテストを行う人)になるために有用なUdemyコースについてお伝えします。
本はこちらでまとめています。
セキュリティは日本よりも海外の方が進んでいます。なので、日本語で学ぶよりも英語で学ぶ方が良いです。今回紹介するUdemyコースもすべて英語です。英語と聞くと難しく感じるかもしれませんが、問題ありません!
- 英語とはいえ、講師が操作している画面が出ているので、それをなぞれば英語があんまりわからなくても内容はわかる
- 今回紹介する講師は多くの講座を担当している人なので、録音機材もよく、発音もよく、たいへん聞き取りやすい
- 英語が聞き取れなくても、自動生成の英語字幕が出せる
- コースによっては自動生成の日本語字幕を出すこともできる
セキュリティを勉強するなら、英語のサイトが読めないと仕事になりません。英語に慣れるという意味でも、英語のコースで勉強することは良いと思います。
Contents
Learn Ethical Hacking From Scratch
Learn Ethical Hacking From Scratchはセキュリティ入門者におすすめのコース①です。ページ中段の「コースの内容」というところから、Course Introduction&Overviewというものが見られます。また、その一つしたのTeaserを見れば、最終的に何ができるようになるかわかるでしょう。
簡単に説明しますと、これはツールを使ったペネトレーションテストを学ぶコースです。Kali Linuxというペネトレーションテスト用のLinuxをインストールして、そこにインストールされているツールを利用します。
攻撃する用のKali Linuxと、攻撃される用のバーチャルマシンをインストールして、実際に攻撃を行うことによって効果的に学習することができます。
サーバーへの攻撃や、脆弱なWebサイトへの攻撃などが学べます。SQLインジェクション、クロスサイトスクリプティングなどについても、実際に行いながら学ぶことが出来ます。
Learn Python & Ethical Hacking From Scratch
Learn Python & Ethical Hacking From Scratchというコースは、初心者におすすめのコース②です。こちらもページ中段の「コースの内容」というところから、IntroductionとTeaserを見られます。
このコースはツールをできる限り使わず、Pythonというプログラミング言語を使って、砲撃用のスクリプトを自分で書きます。これによってブラックボックス化したツールを使って攻撃するのではなく、自分でスクリプトすることができます。これにより、より深い攻撃の理論について学ぶことができます。
最初にMACアドレスを変更するツールを実装します。これは端末固有に割り当てられているアドレスを変更することによって、どの端末から攻撃されたのか分からなくする技術です。
これがにも有名なマルウェアを書いていきます。Keyloggerという、ウィルスに感染した端末に入力された文字をすべて記録するツールも実装します。他にも、バックドアを実装します。バックドアが仕込まれた端末は、攻撃者がアクセスするための脆弱性を意図的にうみだしてしまいます。これによりハッカーはバックドアの穴を通じて端末にアクセスすることができます。
最終的には脆弱性スキャナー(クローラー)というものを実装します。これは、対象の端末にどのような脆弱性があるかというものを自動でチェックするものです。ハッカーは、このツールによって見つけた穴を使ってシステムに侵入します。
このコースを終えることによって、ハッカーがどのような思考経路でシステムに侵入するかということを、身をもって体験することができます。
ビデオは23.5時間ととても長いのですが、このボリュームによっていろんなことを学ぶことができるので、本当にオススメです。
Learn Website Hacking / Penetration Testing From Scratch
Learn Website Hacking / Penetration Testing From ScratchというコースはWebサイトへの攻撃に特化しています。具体的には、下記を学ぶことができます。
- File upload
- Code Execution
- Local File inclusion
- Remote File inclusion
- SQL Injection
- Cross Site Scripting
- Insecure Session Management
- Brute Force &Dictionary Attacks
ペネトレーションテストの有名なツールとしてMetasploitがあります。これは脆弱性をexloit(攻撃)するためのツールですが、Metasploitable、というWebサーバーもあります。これは練習用にわざと脆弱性を含んでいるサーバーであり、自分のローカルマシンで動かすことができます。このサーバーを動かすと、脆弱なウェブサイトができあがります。これに対して攻撃を行いながら勉強していくのがこのコースです。
Metasploitableでは複数のサイトを動かすことができるのですが、それぞれにレベル1からレベル3までの脆弱性レベルが設定されています。レベル1は非常に脆弱です。レベル2は少し脆弱です。レベル3は脆弱ではないということになっていますが、実際は攻撃できるものもいくつかあります。まずはレベル1を攻撃して次にレベル2を起動します。するとレベル1の攻撃はどのようなものに対して通用しないかということを学ぶことができます。
次にレベル2にも通用するような攻撃手法を考えます。そしてレベル3にするとまたこれも通用しなくなります。そしたらまたレベル3に通用するような工事手法を考えて…という子をの繰り返しです。
これのいいところは、それぞれの攻撃に対応したセキュリティをどのように作るのかということを学べる点です。ウェブサイトを作る人にとっても有用な内容となっているので是非学んでいただきたいです。私も、普段はウェブサービスを構築する仕事をしているのですが、ここから学んだことが実務でも役立っています。
まとめ
ここでは3つのUdemyコースを紹介しました。いずれも初心者でも学べるような内容になっているので、どれか自分が興味を持ったものからやってみると良いと思います。もっと本格的にやりたい人にはOSCPというコースもあります。ただしこちらは800ドルするので結構高いです。
また、セキュリティーを勉強できる本についてはこちらで紹介しています。興味がある方は参考にしてください。
