Kali Linux 2021.1でCUPPを使用し人に関する情報に基づくパスワードリストの生成

Kali Linux 2021.1でCUPPを使用し人に関する情報に基づくパスワードリストの生成することについて解説しています。

サイバー攻撃者が、最もよく使うパスワードによるペンテスト(侵入)の方法のひとつに、「パスワード辞書攻撃」があります。「パスワード辞書(リスト)」と呼ばれるファイルに保存されているパスワードを順次チェックし、ペンテスト(侵入)を試みます。この時にパスワードを例えば、名字、名前、生年月日、子供の名前、電話番号、近親者の同じデータなどの組み合わせでパスワードを設定している場合があります。しかし、これらのパスワードは弱く、サイバー攻撃者からは狙われやすいと考えられます。

そんな名字、名前、生年月日、子供の名前、電話番号、近親者の同じデータなどの組み合わせで作られたパスワードを生成できるツールがあります。それが「CUPP」です。今回はこのツールを使ってみたいと思います。

なお、サイバーセキュリティ対策や情報セキュリティ教育が目的でツールを利用しますので、悪用・違法行為が目的はございません。ツールを利用することで発生したトラブルや損失、損害(ウイルス感染など)に対して、一切責任を負いません。

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。

■CUPPのインストール

#apt install cupp

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。CUPPをインストールします。

Enterキーを押すと、インストールが開始されて、しばらくすると完了となります。

■CUPPのインストール確認

#cupp –h

完了後、上記のコマンドを入力し、Enterキーを押します。インストール確認のために、ヘルプを表示してみます。

Enterキーを押すと、ヘルプが表示されます。

これでインストールの確認は完了となります。

■CUPPを実行する

#cupp -i

完了後、上記のコマンドを入力し、Enterキーを押します。CUPPを実行してみます。

Enterキーを押すと、CUPPが実行されます。「Insert the information about the victim to make a dictionary (被害者(ターゲットとなる人物)の情報を入れてパスワード辞書(リスト)を作る )」、「If you don't know all the info, just hit enter when asked!(すべての情報がわからなくても、質問されたらエンターキーを押せばOK!)」と書かれていますので、まずは「First Name(姓名):」と質問されています。

被害者(ターゲットとなる人物)となる人物の姓名を入力します。今回はセキュリティ教育のため、運営者の姓名、名前を入力します。

入力しEnterキーを押すと「Surname(姓名):」と質問されます。先ほど同じ質問なので、わからない場合はEnterキーを押すと、次の質問が表示されます。質問には「Nickname(ニックネーム)」や「Birthdate(生年月日)」、「Partners name(パートナーの名前)」、「Parners nickname(パートナーのニックネーム)」、「Partners birthdate(パートナーの生年月日)」、「Child's name(子供の名前)」、「Child's nickname(子供のニックネーム)」、「Child's birthdate(子供の生年月日)」、「Pet's name(ペットの名前)」、「Company name(会社の名前)」があります。

これらの質問の次に「Do you want to add some key words about the victim? Y/[N]:(被害者(ターゲットとなる人物)に関するキーワードを追加しますか?)Y/[N]:」と質問されますので、今回は「N」と入力し、Enterキーを押します。

Enterキーを押すと、「Do you want to add special chars at the end of words? Y/[N]:(単語の最後に特殊な文字を追加しますか?Y/[N]:)」と質問されますので、今回は「N」と入力し、Enterキーを押します。

Enterキーを押すと、「Do you want to add some random numbers at the end of words? Y/[N]: (単語の最後にランダムな数字を追加しますか?Y/[N]:)」と質問されますので、今回は「N」と入力し、Enterキーを押します。

Enterキーを押すと、「Leet mode? Y/[N]:(リートモード? Y/[N]:)」と質問されますので、今回は「N」と入力し、Enterキーを押します。

[+] Now making a dictionary ...(パスワード辞書(リスト)を作成中 ... ) [+] Sorting list and removing duplicates ...(リストのソートと重複の削除 ... ) [+] Saving dictionary to kobayashi.txt, counting 8 words,(辞書をkobayashi.txtに保存し、8単語をカウント。) [+] Now load your pistolero with kobayashi.txt and shoot! Good luck!(それでは、pistoleroにkobayashi.txtを読み込ませて、攻撃してみましょう。頑張ってください。)

Enterキーを押すと、パスワード辞書(リスト)の作成が開始され、txt形式のテキストファイルに保存されます。これでパスワード辞書(リスト)が完成となります。

完了後、作業ディレクトリ(カレントディレクトリ)内を確認するとテキストファイルが生成されていることが確認できました。

テキストファイルの中身を確認すると、今回は簡単なパスワード辞書(リスト)の作成ではありますが、ターゲットとなる人物のパスワード辞書(リスト)が作成できました。

これらのパスワード辞書(リスト)を利用し、サイバー攻撃者はWebサイトなどへ攻撃を仕掛けてきます。