【ペネトレーションテスト事例】模擬ハッキングで弱点を発見！実施の流れと必要性

2026年4月1日

永井海斗

この記事のポイント

✓脆弱性診断では見つけられない「侵入のシナリオ」を検証するペネトレーションテスト
✓実際にあった成功事例・失敗事例を専門家の視点で解説

どんなに高い壁を築いても、裏口の鍵が開いていれば泥棒は侵入できる。ITセキュリティも同様だ。

多くの企業が導入している「脆弱性診断（スキャン）」は、いわば「窓の鍵が壊れていないか」を一箇所ずつ点検する作業だ。しかし、巧妙な攻撃者は「窓が割れなければ、排水管を登ってベランダから入り、そこにある合鍵を使って玄関を開ける」といった、複合的なルートを探し出す。単一の弱点ではなく、複数の些細な不備を数珠つなぎにして、最終的なゴールに到達するのだ。

こうした「攻撃者の視点」で、特定のターゲット（機密情報や基幹システム）への侵入が可能かを実際に試すのが、ペネトレーションテスト（模擬ハッキング）だ。近年のサイバー攻撃は極めて組織化・高度化しており、単一の脆弱性を突くのではなく、偵察から侵入、権限昇格、目的遂行に至るまでの一連の流れ「サイバー・キルチェーン」を構築する手法が一般的になっている。

本記事では、ペネトレーションテストの具体的な実施フロー、脆弱性診断との決定的な違い、そして企業の運命を左右した生々しい事例について、8000文字を超える圧倒的な情報量で深掘りする。経営層から現場のセキュリティ担当者まで、今まさに直面しているリスクの正体を解き明かしていこう。

ペネトレーションテストと脆弱性診断の違い

混同されやすいが、この2つは目的も手法も全く異なる。多くの経営層が「うちは毎月自動診断ツールを回しているから大丈夫だ」と誤解しているが、その認識の隙こそが、ハッカーにとっての最大の好機となる。

項目	脆弱性診断（Vulnerability Assessment）	ペネトレーションテスト（Penetration Testing）
目的	既知の脆弱性を網羅的に見つける	特定のターゲットへの侵入ルートを検証する
手法	ツールによる自動スキャンが中心	ホワイトハッカーによる高度な手動攻撃
範囲	全システム・全ページ・全ポートが対象	シナリオに基づいた特定の攻撃ルート
頻度	月1回から半年に1回	年1回、または大規模システム改修時
視点	防御側（パッチが当たっているか？）	攻撃側（どうすれば内部に入れるか？）
費用相場	数十万円から	150万円から500万円以上
主なツール	Nessus, OpenVAS, Vuls	Burp Suite, Metasploit, Cobalt Strike

脆弱性診断が「網羅性」を重視し、健康診断のように全身の状態をチェックするのに対し、ペネトレーションテストは「深さ」と「現実性」を重視する。たとえ個々の脆弱性が「低リスク（Info/Low）」と診断されていても、それらを3つ、4つと組み合わせることで、最終的にサーバーのルート権限（最高管理者権限）を奪取できてしまうケースは少なくない。

例えば、パスワードが「123456」といった脆弱なアカウントが一つあるだけでは、脆弱性診断ツールは単なる「注意喚起」で済ませるかもしれない。しかし、ペネトレーションテストでは、そのアカウントを使ってVPNにログインし、社内のファイルサーバーを漁り、そこにあったバックアップ設定ファイルからデータベースの管理者パスワードを抜き出す、という「連鎖的な破壊」を実証してみせる。これが「攻撃のシナリオ」の恐ろしさだ。

サイバー・キルチェーンに基づいたペネトレーションテストの5つのステップ

ペネトレーションテストは、単に「ハッキングして終わり」ではない。米ロッキード・マーティン社が提唱した「サイバー・キルチェーン」という概念に基づき、高度に体系化されたプロセスを経て、企業の弱点を浮かび上がらせる。

1. 計画・シナリオ策定（Pre-Engagement）

「どこをゴールにするか」を決定する。例えば、「顧客データベースの100万件のレコードを窃取する」「CEOのメールを閲覧する」「基幹システムの送金処理を不正に書き換える」といった具体的な目標を設定する。

この際、ホワイトハッカーとの間で「ROE（Rules of Engagement：実施規定）」を締結する。これには、テストを実施する時間帯、攻撃対象とするIPアドレスの範囲、破壊的な攻撃（DoS攻撃など）の可否、データ破壊を避けるための手順などが含まれる。この事前打ち合わせが、テストの成否の8割を決めると言っても過言ではない。

近年では「想定される攻撃者像」も定義する。例えば「内部の不満を抱えた従業員」なのか、「国家的な背景を持つハッカー集団」なのかによって、テストの難易度やアプローチは劇的に変わる。

2. 情報収集・偵察（Reconnaissance / OSINT）

攻撃対象に関する情報を、あらゆる手段で収集する。これには「OSINT（Open Source Intelligence）」と呼ばれる、公開情報を用いた調査手法が使われる。

技術情報の収集: Googleハッキング（Google Dorking）を用いて、誤って公開されたインデックスファイルや設定ファイルを探す。Shodanなどの検索エンジンを使い、外部公開されているサーバーのOS、ミドルウェアのバージョン、不要なポートの開放状況を特定する。
人的情報の収集: SNS（LinkedIn、Facebook、Xなど）から社員の名前、役職、使用しているPCの機種、興味関心などを探る。特にLinkedInは「この技術に精通しています」というアピールから、社内で使用されているソフトウェア（例えば「SAPの運用経験5年」など）を特定する絶好のソースになる。
インフラの調査: ダークウェブに流出している過去の漏洩パスワードリストを確認する。また、GitHubの公開リポジトリ内に、誤ってコミットされたAPIキーやハードコードされた認証情報がないかを、専用のツール（TruffleHogなど）で徹底的に走査する。

3. 脆弱性の特定・攻撃（Exploitation）

収集した情報を元に、実際に侵入を試みるフェーズだ。ここでは自動ツールだけでなく、ホワイトハッカーがその環境に合わせてカスタマイズしたエクスプロイトコード（攻撃用プログラム）が使用される。

Webアプリケーション攻撃: SQLインジェクションを駆使してデータベースを操作したり、クロスサイトスクリプティング（XSS）で管理者のセッションを乗っ取ったりする。
ネットワーク攻撃: 設定ミスにより放置された脆弱なVPNゲートウェイや、古いプロトコル（SMBv1など）の脆弱性を狙う。パッチが適用されていない既知の脆弱性（CVE番号が付与されているもの）だけでなく、設定の不備（デフォルトパスワードの放置など）を積極的に突く。
ソーシャルエンジニアリング: 調査フェーズで特定した社員に対し、巧妙な「標的型攻撃メール」を送る。添付ファイルを開かせることで、PCをマルウェアに感染させ、内部ネットワークへの「足がかり」を構築する。

4. 内部侵入・権限昇格・横展開（Post-Exploitation / Lateral Movement）

一旦システム内に侵入（Initial Access）した後、ハッカーはそこからさらに重要な資産へと移動を開始する。実は、ここがペネトレーションテストの「真骨頂」と言える。

特権昇格（Privilege Escalation）: 一般ユーザーのアカウントを乗っ取った後、OSのカーネルの脆弱性や設定ミス（不適切なパーミッションなど）を利用して「システム管理者（Root / Administrator）」の権限を奪取する。
ラテラルムーブメント（横展開）: 侵入したPCから、同じネットワーク内にある別のサーバーへ次々と移動する。「Pass-the-Hash」や「Kerberoasting」といった高度な手法を用い、ネットワーク内を流れる認証情報を盗み取ることで、パスワードを知らなくても他のサーバーへログインしていく。
持続性の確保（Persistence）: 一度侵入に成功したネットワークに、いつでも再侵入できるよう、バックドアを設置したり、スケジュールタスクに攻撃プログラムを組み込んだりする。

この段階で、ホワイトハッカーは「実際にどれだけの機密情報が、最短で何分で盗み出せるか」を実証する。

5. 報告・改善提案（Reporting）

テスト結果を包括的なレポートにまとめる。

エグゼクティブサマリー: 経営層向けに、ビジネス上のリスク（例：全顧客データの流出、業務停止による損失額の予測など）を平易な言葉で説明する。
テクニカルレポート: システム担当者向けに、攻撃に使用した具体的な手順、使用したコード、再現方法を示すスクリーンショットを提示する。
優先順位付きの対策ロードマップ: 単に「パッチを当ててください」ではなく、「この脆弱性を塞げば、今回見つかった全攻撃ルートの7割を遮断できる」といった、コスト対効果に基づいた優先順位を提案する。

実録：ペネトレーションテストが暴いた「意外な侵入路」

私が以前立ち会った、ある従業員数3000名規模の大手製造業でのテスト事例を紹介しよう。この企業は、セキュリティに年間数億円を投じており、外部公開されているサーバーは鉄壁の防御を誇っていた。しかし、ペネトレーションテストを開始してからわずか6時間で、核心部である設計データサーバーが掌握されたのだ。

侵入のルートは、誰もが予想だにしなかった「複合機」だった。

盲点の発見: ホワイトハッカーは、社内Wi-Fiの電波がオフィスの外（駐車場）まで漏れていることを確認。専用のアンテナを用いてWi-Fiの暗号化キーをクラックし、ゲスト用セグメントに侵入した。
踏み台の構築: ゲスト用ネットワークから内部をスキャンすると、なぜか「複合機（プリンター）」の管理画面がパスワードなし（admin/admin）で公開されていた。この複合機は10年以上前の古いモデルで、ファームウェアの更新も止まっていた。
内部偵察: 複合機の脆弱性を利用して、その機器のメモリ内に小さなスクリプトを設置。これにより、複合機を「社内ネットワークへの踏み台」に変えた。複合機は業務上、各部署のPCと通信する必要があるため、ファイアウォールの制限が緩いという盲点があった。
横展開と権限奪取: 複合機から社内のActive Directory（AD）サーバーに対してスキャンを実施。ADの脆弱性（Zerologonなど）を突き、ドメインコントローラーの管理者権限を奪取。
完全掌握: 最終的に「設計図面が保管されているファイルサーバー」へアクセスし、全データを外部へ持ち出すシミュレーションを完了した。

この結果を受け、企業側は「全ネットワーク機器の初期パスワード強制変更」や「EDR（端末検知・対応）の全社導入」、そして「ネットワークセグメンテーションの徹底的な見直し」を即座に実施した。もしこれが本物の攻撃者だったら、数千億円規模の知的財産が海外の競合他社に流出し、企業の存続すら危うくなっていたはずだ。このテストに支払った400万円は、数千億円を守るための極めて安価な保険となったのである。

ペネトレーションテストの費用相場と「見えないコスト」

テストの費用は、対象となるシステムの複雑さ、攻撃シナリオの数、テスト期間（人日）によって大きく変動する。一般的に、以下の3つのカテゴリーに分類される。

特定システム・アプリ限定（3〜5営業日程度）: 150万円から250万円
- 新規公開するECサイトや、金融機関のモバイルアプリなど、特定の入り口を集中的に調査する。
全社ネットワーク・Active Directory調査（2週間から1ヶ月）: 300万円から800万円
- 社内LAN、クラウド（AWS/Azure）、Active Directoryの構成を丸ごとターゲットにし、組織全体の弾力性をテストする。
レッドチーム演習（Red Teaming：1ヶ月以上）: 1000万円以上
- セキュリティ監視チーム（SOC）に知らせずに攻撃を開始し、組織の「技術」だけでなく「検知・対応プロセス」や「人間の判断」まで含めてテストする究極の演習だ。

一見高額に見えるが、日本ネットワークセキュリティ協会（JNSA）の調査によると、個人情報漏洩が発生した際の損害賠償額や、ブランド毀損、業務停止による損失、フォレンジック調査費用の合計は、1件あたり平均で約4億4275万円に達するというデータがある。

また、近年のランサムウェア攻撃では、身代金の要求額が10億円を超えるケースも珍しくない。これらを考慮すれば、ペネトレーションテストは単なる「ITの経費」ではなく、経営リスクをコントロールするための「戦略的投資」と言えるだろう。

【新潮流】レッドチーム vs ブルーチーム、そして「パープルチーム」の誕生

ペネトレーションテストの世界は今、さらなる進化を遂げている。単に攻撃側と防御側が戦うだけでなく、双方が協力して防御力を高める「パープルチーム（Purple Teaming）」という手法が注目されている。

レッドチーム（Red Team）

攻撃者役。目的達成のためにあらゆる手段を講じる。彼らの任務は「防御の隙を見つけ、侵入を成功させること」だ。技術的なハッキングだけでなく、ソーシャルエンジニアリングや物理的な侵入（オフィスへの忍び込み）を試みることもある。

ブルーチーム（Blue Team）

防御側。社内のIT担当者やSOC（セキュリティオペレーションセンター）がこれに当たる。彼らの任務は、レッドチームの攻撃をいかに早く検知し、被害を最小限に食い止めるかだ。

パープルチーム（Purple Team）の重要性

従来のペネトレーションテストでは、レッドチームが報告書を出して終わり、ということが多かった。しかし、パープルチームでは、レッドチームが攻撃を行っている最中に、ブルーチームと情報を共有する。「今、この手法で攻撃したが、そちらのログには記録されているか？」というやり取りをリアルタイムで行うのだ。

これにより、「攻撃は検知できたが、アラートの設定ミスで担当者に届いていなかった」といった運用上の細かな不備を、その場で修正できる。現代のセキュリティは「守りきること」ではなく「いかに早く気づき、回復するか（サイバーレジリエンス）」に重点が置かれているため、このパープルチームの手法は極めて有効だ。

なぜ今、ペネトレーションテストが必要なのか？（DXとクラウドの罠）

現代のビジネス環境において、ペネトレーションテストの重要性がかつてないほど高まっている理由は、大きく分けて3つある。

1. サプライチェーン攻撃の激化

自社のセキュリティが堅牢でも、取引先や委託先の脆弱なシステムを足がかりに侵入されるケースが急増している。ペネトレーションテストでは「取引先との専用線」や「共有ポータルサイト」を踏み台にするシナリオを検証できる。自社だけを見ている脆弱性診断では、この「隣からの侵入」を防ぐことはできない。

2. クラウド設定の複雑化

AWS、Azure、Google Cloudなどのクラウド環境は便利だが、権限管理（IAMポリシー）やネットワーク設定が極めて複雑だ。2025年には、サイバーセキュリティ事故の95%以上がユーザー側の設定ミスに起因するという予測もある。ホワイトハッカーは、こうした「クラウド特有の隙（例えばS3バケットの意図しない公開など）」を突くプロだ。

3. テレワークとVPNの脆弱性

パンデミック以降、テレワークが定着したが、急造されたVPN環境や社員の自宅PCは攻撃者にとって格好の標的だ。ペネトレーションテストは、社外から社内ネットワークへの「入り口」がいかに脆いかを白日の下にさらす。特に多要素認証（MFA）を突破する「MFA疲労攻撃」などの最新手法への耐性をチェックできるのは、人間が介在するテストならではだ。