【TryHackMe】オタクくんさぁ、海外の銀行口座ハッキングして、自分の口座に入金したくね??【合法】

記事

海外のドラマ見てるときに目を奪われるキャラが、「PCカタカタやってどえらいことやっているハッカー」か「現役退きなお現役な老兵」である私です。豪雪です。

 

後者はキャリアを積むしかないですが、そんな体力ありません。でも、前者は合法的にかなえられるんです。

そう、TryHackMeならね。

TryHackMe | Cyber Security Training
TryHackMe is a free online platform for learning cyber security, using hands-on …
tryhackme.com

目次

TryHackMeとは

TryHackMeとは、ゲーム感覚でハッキングの勉強、もとい「セキュリティ」の勉強ができる無料のWebサイトです。海外のサイトなので日本語版はなさそうですが、そんなのごり押しすればいいわけですよ。

(DeepLでもGoogle翻訳でも好きなほう使ってください。)

初めてやる人はメールアドレスを使って会員登録してください。

 

あとこのサイトは基本的には無料ですが、課金したい人用にプレミアム版もあるっぽいので無限の金持ちはそっち使ってみてください。

私は万年口座残高3桁を自認しているので登録できません。

なので、課金したときのおすすめポイントとか、ぜひ教えてください。

※ここで得た知識を使って本当にハッキングしてはいけません

さて、ここからは実際にTryHackMeで銀行口座を操作し、自分の口座にお金を入金していくのですが。

くれぐれも現実世界でやろうとしないでください。

てか、そもそもできません。

よしんばできても足がつきます。

あと試すだけで下手したら怒られます。いろんなところから。○○未遂とかって。

 

ぶっちゃけここで得られる知識ってすでに明らかにされている手口とか、前提が超超超極めてガバガバなサイトとかなので。世の中そんなに甘くねぇっつうの。

なので、このサイトをいろいろ試してみて自己効力感上げるのは構いませんが、億が一にも「僕にもできる!」とか思わないでください。普通に犯罪です。あとお前にそんな力があれば政府がほっといてない。(詳しくはCEHで検索してください)

 

刃牙を読んで喧嘩したくなっても道行く人殴らないでしょう?それと一緒です。

殴っちゃう人はこんなの読まずに自首してこい。

海外口座にログインして、送金しよう!

前置きが長くなりましたが、さっそく他人の口座からお金をぶんどりましょう。

まず、このサイトで勉強できるのは大きく「攻撃」「防御」「検索知識」の3つです。

偉そうなこといっとるけど、やり始めたところです。

 

今回は他人の口座から盗む=「攻撃」したいので、「OffensiveSecurityIntro」をやっていきます。

 

ここではオフェンスセキュリティとは何ぞやとか、それを極めるとどんなキャリアになれるとかあるんですが、オタクにはそんなの興味ないので、かなぐり捨てて真ん中の「Hacking your first machine」をやっていきます。

ここでやることは、Mrs G.Benjamin(以下ベンジャミン)として、他の口座からお金を送金すること。上の「Start Machine」をクリックすると仮想PCが起動するので、その中でハッキング、やらさせていただきます。

これで表示されているのがベンジャミンの銀行口座。支払が終わったら1200ドル以上の借金になりそうです。ヤバイ。というか残高ないときにAppleで買い物しすぎか???

で、次にやることはこのサイトの「管理者ページ」がどこにあるか探すという作業。そのために使うのがハッカーがよく使ってる、「コンソール画面」というやつです。仮想PC上ではTerminalと呼ばれています。(Linux環境だからかな?まあ気にしなくていいっす。)

なんやかんや書いていますが、Terminalを起動して下の「gobuster」っていうコマンドを実行すればよさそう。

 

実際に「gobuster」というコマンドは、公開されているディレクトリをブルートフォースが云々かんぬんするコマンドらしいです。(特〇戦隊ゴー〇スターズの名前に関係あるのかはよくわかんない)

 

じゃあ、コマンド打ってみましょう。仮想PCのTerminalを開いたらコマンドをコピペして実行します。

結果的に、/bank-transferっていうのがつながるURL的な感じですね。(ディレクトリっていうのが正しかろうけど、うまく説明できん。)Status:200ってのがHTTP通信で通信がうまくいってますよ、のやつです。

404エラーとかしっとるじゃろ?あれのエラーじゃないやつ。

 

ということで、銀行サイトのURLの後ろにbank-transferをつけてアクセスしてみましょう。きっとよからぬサイトですよ。

 

これを

こうじゃ。

すごい!銀行口座の管理者ページにログインも不要で入れちゃった!

こんなページに簡単には入れていいわけないだろ。

実際にはあり得ません。しかしもう私は送金するしかないので。

 

やれることは一つ。送信元と送信先、送信金額を入力して、SendMoneyを押しちゃいましょう。(入力内容は問題文にある)

ボタンを押したら以下画面に遷移します。

まあさ、言いたいことは尽きないんだけど、こんな簡単に送金出来たらいくらでも何でもできるんだよね。。。

じゃあ、ちゃんと自分の口座にお金が来てるか確認しましょうね。

やったね!2000ドル入金されてるよ!これで支払い終わってもお金が余りまっせ!

ちなみに白抜きしているところがクリアコードになるので、念のため隠しています。こういうタイプのセキュリティテストを「CTF(Capture The Flag)」って言ったりします。

実際、映画の中の偽装送金とかがこんなレベルで済んでいるとはおもっていないし、こんなレベルで終わると世の中の銀行がすべて崩壊します。

 

あくまでゲームであること、忘れないでください。

マジで犯罪になるから、実際にやるのはやめとこうな。無理だし。

こういう風に遊びながら勉強できるというのは非常に楽しくてガンガン進めてしまう。ただし、最初に言った通り、セキュリティの勉強なのでここで得た知識を間違っても実際の世界で犯罪のように使うのだけはやめてください。

 

というか、やっても誰も幸せにならないので、あきらめてください。

このサイトはあくまで、攻撃の手法を知ってどうやって守るか勉強するのが趣旨です。

そこんところ、間違えたらおわりだかんな。

 

・・・この先は野暮か。

現場からは以上です。