2021年に読みたいハッキング本(日本語)をまとめてみた
今回は2021年に読みたい「ハッキング本」をまとめました。
2020年までに発売された「ハッキング本」の中でも、日本語のみに焦点を絞って紹介していきます。(英語版の方は今後作成する予定です。)
ハッキング・ラボのつくりかた ― 仮想環境におけるハッカー体験学習
wizerdbibleを主宰していたIPUSIRON氏が執筆している本。
ハッキングを実際に試しながら勉強を進めたい場合、自分の管理している環境以外にハッキングすることはNGなので、自分で構築した環境に攻撃をする必要がある。
本書は、じっくりと攻撃用の環境構築について丁寧に解説をしながら、読者と一緒に環境を構築する構成となっている。
取り扱うハッキングの内容としては、「windows」「Linux」「無線LAN」など多岐にわたっており、網羅的に学習ができるようになっている。
「情報セキュリティに興味はあるけど、何をしていいのかわからない!」「ハッキングに何となく興味はあるけれども、どんな勉強をしたらいいのかわからない!」といった方にオススメな本です。
Hacking: 美しき策謀 第2版 ―脆弱性攻撃の理論と実際
初心者でこの本を読むのはなかなかの気合が必要となる本書であるが、発売より多くの人に読まれてきた1冊である。C言語やアセンブリ言語の知識を持っていれば読む際の敷居は下がるだろう。
本書冒頭に掲載されているサンプルプログラムを基に脆弱性についての解説をしていくが、ページが進むにつれて、「ところでサンプルプログラムには、ある脆弱性がある。気づいただろうか?」のように、おちゃめなところもある。
バッファオーバーフローや暗号における脆弱性についての解説もあるので、初心者向けではないがオススメである。
またプログラムは32bitなので、できれば32bit環境を用意して遊ぶとより理解が深まる。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
いわゆる徳丸本。元京セラ株式会社で現EGセキュアソリューションズ株式会社代表取締役である、徳丸浩氏執筆の1冊。日本のセキュリティを黎明期から支えてきた人物の書籍。
WEBアプリケーション特化な本書は第2版からOWASP Top 10 - 2017対応した内容に加筆修正された。
構成は、脆弱性の解説はもちろんだが、WEBアプリケーションを支える技術の章や、脆弱性診断を実際にやってみる章もあるなど、これから学ぼうとしている初心者にとってはオススメな書籍となっている。
Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術
株式会社トライコーダ代表取締役、OWASP Japan チャプターリーダー、ScanNetSecurity編集長など様々な活動をしている上野氏をはじめとする人たちによるWEBアプリケーションセキュリティに関する初心者向けの1冊。
巻末には、WEBアプリケーション脆弱性診断の手法付きである。
徳丸本と並び初心者向けの本といえるだろう。
サイバーセキュリティ レッドチーム実践ガイド
『The Hacker Playbook 3』の日本語版。脆弱性診断ではなく、ペネトレーションテストについて、手法、ツール、考えかたを分かりやすく解説している書籍。
基本的に仮想環境に実習環境を用意するのだが、攻撃用の環境+被害者側の環境だけでPCのメモリが最低でも32G必要となってくるほどの規模になる。
セキュリティの知識ゼロで本書を理解することは難しいため、上で紹介した本を読破した後にさらなる力を求めるなら読むといった流れでプランを立てればよいだろう。
ハッカーの技術書
日本のIoT関係のセキュリティ技術者では有名な黒林檎氏(本名ではない)による書籍。
セキュリティキャンプでもIoTセキュリティの講師を担当するなど活動している。
Windows、Linuxはもちろんの事、最近流行のクラウドについても触れている。
また、フィッシングやマルウェアについても解説がされている。
実習はAD環境を構築したりなどするが、レビューを見ると環境構築でつまずいている方を散見するので、ガッツリ学習したい場合はある程度サーバ構築をした経験があるなど、前提知識が必要かもしれない。
初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る
とりわけ初心者に対して、マルウェア解析技術を解説している書籍。2020/12刊行で比較的新しい。
マルウェア解析に必要な技術である、「表層解析」「動的解析」「静的解析」「メモリ解析」などについて基礎から解説。
完全に初心者向けかというと、アセンブリ言語を多少知っている必要があるので、ある程度知識がある人向けだろう。
リバースエンジニアリングツールGhidra実践ガイド
NSA(アメリカ国家安全保障局)が開発した、機密ツール「Ghidra」について、実際にマルウェアを解析しながら、操作方法を学習できる1冊。
基本的にこのツールが出てくるまでは、よく引き合いに出るIDA Proが主流だったが、あちらが有料かつ販売する人物に条件があるなど制約がるのに対し、こちらは無料で誰でも使えるパワフルなツールなので、これからメキメキ台頭してくるツールとなるだろう。
著者がCompass上でこの書籍の知識がある人を前提とした勉強会を開催しているので、ある程度勉強が進んだら参加してみるのも良いだろう。
内容は完全な初心者向けではないので、「初めてのマルウェア解析」と同様にある程度知識がある人向けだろう。