サイバー脅威と詐欺から家族を守る、実践ニュースメディア

CTF・セキュリティ学習ハブ｜攻撃者の思考で本当の防御を学ぶ

安全に生きたい編集部

「攻撃者がどう考えるか」を理解すれば、本当の意味で守れるようになる。このページは、CTF（Capture The Flag）を通じてサイバーセキュリティを実践的に学ぶ人のための学習ハブです。問題ごとの「答え」ではなく、何を見て、何を疑い、何を試すか — そういう思考の型を提供します。

本シリーズで扱う技術は、必ずCTF環境・公式ラボ・自分の検証環境内でのみ使用してください。他人のシステム・サービスに対して試すことは、不正アクセス禁止法・刑法等に違反する可能性があり、教育目的であっても許されません。学んだ知識は「守るために」使ってください。

Contents

このシリーズの考え方
学習ロードマップ
📚 思考フレームワークシリーズ｜Webフォーム編（公開中）
攻撃者と防御者、両方の視点で読む
最新の更新

このシリーズの考え方

writeup（特定問題の答え）は世の中にあふれています。しかし、それを読んでも次の問題は解けません。なぜなら、CTFで本当に身につくのは「目の前の入力欄、URL、レスポンスから何を読み取るか」という観察と仮説の立て方だからです。本シリーズは、5フェーズの思考プロセスで全ての記事を構成しています。

観察 — まず何を見るか

URL構造、入力フィールド、エラーメッセージ、レスポンスタイム、ヘッダー、Cookie。前提を疑わず事実だけを集める。

仮説 — 何が脆弱性になりうるか

観察した事実から「ここに穴があるかも」という仮説を複数立てる。SQLi、XSS、IDOR、認証バイパスなど。

検証 — どう確かめるか

Burp Suite、curl、ffuf などで仮説を検証する。失敗もログを取る。

攻撃 — どう繋げるか

確認できた脆弱性をペイロードとして組み立て、フラッグを取得する。

対策 — どう守るか

同じ手口を実環境で防ぐには何が必要か。これが本サイトの本来の主題。

学習ロードマップ

レベルに応じた読む順番です。まずは入門・環境構築で土台を作り、思考フレームワークで型を覚え、実践ラボで型を当てはめる練習をする流れが最短経路です。

Step 1：CTF入門・環境構築

CTFって何？種類と参加方法を完全初心者向けに解説（準備中）
初心者におすすめのCTFプラットフォーム5選：picoCTF・TryHackMe・HackTheBox 比較（準備中）
環境構築：Kali Linux と Burp Suite を最短で動かす（準備中）

Step 2：思考フレームワーク（メインシリーズ）⚡公開中 7記事

#01 【ログイン画面の攻撃者目線】何を狙う？どう守る？
#02 【新規登録フォームの裏側】サインアップから漏れる情報と防御策
#03 【パスワード再設定の罠】リセットリンクから乗っ取る手口と対策
#04 【検索フォームは脆弱性の宝庫】XSS・SQLi・入力検証の急所
#05 【お問い合わせフォームの危険】スパム・CSRF・メール改ざん対策
#06 【ファイルアップロード編】二重拡張子・MIME偽装・RCEの入り口
#07 【プロフィール編集編】IDOR・マスアサインメント・保存型XSSの罠
Webフォーム編 #08～#20（認証・API・JWT・Cookie・サポート他）順次公開予定

📚 思考フレームワークシリーズ｜Webフォーム編（公開中）

公開済みの記事をカードで一覧できます。気になるテーマから読み始めるのがおすすめです。

【ログイン画面の攻撃者目線】

ログイン画面の前で攻撃者は何を考えているのか？観察→仮説→検証→攻撃→対策の5ステップで「攻撃者の思考フレームワーク」を追体験。守る側が本当にやるべきことが見え…

【新規登録フォームの裏側】

「メアドとパスワード入れて登録するだけ」のサインアップフォーム。実はここから既存ユーザー列挙、弱いパスワードの強要、大量Bot登録まで起きる。観察→仮説→検証→…

【パスワード再設定の罠】

パスワードリセット機能は実装ミスが多発する地雷原。トークン推測、Host Header Injection、ユーザー列挙——アカウント乗っ取りに直結する脆弱性を…

【検索フォームは脆弱性の宝庫】

検索フォームは反射型XSS・SQLi・ReDoS・コマンド注入が一同に集まる地雷原。攻撃者が3秒で何を試すか、どう守るかを5ステップで実戦解説。…

【お問い合わせフォームの危険】

お問い合わせフォームの送信ボタンの裏で、メール送信・DB保存・外部API・ファイル保存と複数の処理が動く。SSRF・Mail Header Injection・…

【ファイルアップロード編】

ファイルアップロード機能を攻撃者目線で観察。二重拡張子、MIME偽装、パストラバーサル、ImageTragickなど、RCEに直結する手口と防御策を思考フレーム…

【プロフィール編集編】

プロフィール編集ページを攻撃者目線で観察。IDOR、マスアサインメント、保存型XSSなど「自分のデータしか触れないはず」の前提が崩れる手口と防御策を思考フレーム…

Step 3：実践ラボ・writeup

picoCTF General Skills 入門5問writeup（準備中）
TryHackMe / HackTheBox 実践記録（準備中）

Step 4：大会・コミュニティ

SECCON / CODEBLUE 参加レポート（準備中）
国内外CTF大会カレンダー（準備中）

攻撃者と防御者、両方の視点で読む

攻撃者は「ログインページのレスポンスタイムが、存在するユーザー名と存在しないユーザー名で 30ms 違う」ことに気づく。これだけで admin が実在することが特定できる。仮説は事実の差分から生まれる。

同じ脆弱性を実環境で防ぐには、エラーメッセージの統一、レスポンスタイムの正規化、レート制限が必要です。詳しい防御策はパスワードセキュリティ完全ガイドとビッシング詐欺とAI音声クローニング対策を参照してください。

最新の更新

シリーズの記事は順次公開予定です。本ページは新記事公開のたびに更新され、常に最新の学習導線を提供します。RSSフィード（/feed/）またはCTFカテゴリページもご活用ください。

繰り返しの注意：本シリーズの内容を実環境のシステムに対して試すことは違法です。必ずCTFプラットフォーム、自分の検証環境、または許可された脆弱性診断スコープ内でのみ実施してください。

記事URLをコピーしました