Engineering / コラム / システム開発・運用 / 品質

TryHackMeとは

TryHackMeとは、サイバーセキュリティトレーニングのプラットフォームです。
トレーニングで使用する攻撃対象のサーバが用意されており、学習コンテンツに沿ったお題でフラグをゲットすることでクリアできるようになっています。

事前の環境構築

VirtualBoxを使用し、kali linuxというセキュリティ関連ツールが初期インストールされているOSを使用します。
内容としては一般的なものと同じですので、詳細は割愛します。また、先述のTryHackMeというサービスへの登録も必要になります。

チュートリアルの実践

まずは環境の疎通確認を含め、Tutorialを実施します。
画面内の「Start Machine」を押下すると、kaliとの接続が始まり、開始から1分経過すると攻撃対象のIPアドレスが表示されます。
kaliとの接続を確認するために、pingコマンドで疎通を行います。
Tutorialは、kali内のブラウザより表示されたIPアドレスにアクセスを行うと、フラグを取得することができます。
最後に、取得したフラグをブラウザから入力し、クリアとなります。
以下のようなロードマップが提示されているので、今回はもう少し続きを進めてみます。

Offensive Security Intro

Tutorialが終わったあとのPre Securityの中で、以下のようにIntroductionが用意されています。
Offensive Security Introについて進めてみます。
学習を開始すると、以下のように仮想マシンが起動し、仮想の銀行アプリが用意されています。
Introductionのため、行なうべき操作等は具体的に示してくれます。
dirbコマンドで、ハッキング対象のURL(https://www.kali.org/tools/dirb/)のサブディレクトリを検索します。 
ubuntu@tryhackme:~/Desktop$ dirb http://fakebank.thm

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Sun Aug 17 11:12:35 2025
URL_BASE: http://fakebank.thm/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4609                                                          

---- Scanning URL: http://fakebank.thm/ ----
+ http://fakebank.thm/bank-deposit (CODE:200|SIZE:4663)                        
+ http://fakebank.thm/images (CODE:301|SIZE:179)                               

-----------------
END_TIME: Sun Aug 17 11:12:41 2025
DOWNLOADED: 4609 - FOUND: 2
ubuntu@tryhackme:~/Desktop$
すると「http://fakebank.thm/bank-deposit」というURLを見つけることができました。
先ほど見つけたURLにアクセスすると、8881口座から任意の金額を引き出すことができます。
今回は2,000ドルを引き出してレッスンを完了します。

まとめ

今回はTryHackMeの導入部分をトライしてみましたが、すでにいくつかのツールが登場しているようです。
これらのツールは悪用厳禁ではありますが、学習を通して攻撃者の観点や、考えていることなどを学ぶことで、自分の開発作業や日々のパスワード管理などに活かせるように感じました。また、各課題にはヒントもあり、関連サイトも充実しているため、英語に抵抗がなければゲームのようにハッキングを学ぶことができ、良いプラットフォームであると感じました。また、延長線にはOSCP(OffSec Certified Professional)といったペンテストの認定資格もあり、挑戦し甲斐があるなと感じました。