「*Hacking for Profit. Working method*」と題されたフォーラムのスレッドは、地下コミュニティが脆弱性の悪用やハッキング技術に関する情報をチュートリアルの形式でどのように伝達しているかを垣間見ることができます。**Hercules**という名前を使用する攻撃者によって書かれたこの投稿は、特に長文でも技術的でもありません。その価値は、複雑なプロセスを明確で実行可能なステップに分解し、実際の脆弱性のスキャン、検出、評価、悪用、収益化の方法をカバーしている点にあり、脆弱性開示プログラムの重要性についても貴重な洞察を提供しています。 **Flare**の研究者は、数ヶ月にわたる元の投稿とその応答を分析しました。スレッド周辺の活動は、その影響が元の投稿に限定されないことを示していました。複数のユーザーが**Hercules**に感謝し、プライベートでの連絡を求め、自身を初心者だと述べたり、理論学習から実践的なハッキングへの移行に関するガイダンスを求めたりしました。この投稿は非常に人気があったため、同じ方法が4つの追加フォーラムで再投稿および議論され、初心者攻撃者に脆弱性の悪用とそこから収益を得る方法を理解するためのシンプルなフレームワークを提供しました。   ## チュートリアルが示すもの **Hercules**は、脆弱性の発見を収益化する方法を説明しています。彼は、特にリモートコード実行、認証バイパス、アカウント乗っ取り、IDOR、データ漏洩などの影響力の大きいクラスの脆弱性を検索する方法に関するアドバイスから始めます。次に、公開されているシステムを特定し、それらのシステムが脆弱である可能性があるかどうかを確認し、結果を報告、販売、または悪用するかどうかを決定します。  攻撃者のチュートリアルでは、次の3つの側面が際立っています。 1. **ProjectDiscovery.io**の**Nuclei**フレームワークの使用。これは、攻撃的なセキュリティ実践者の間で非常に人気があります。 2. 防御者が新しく発見された脆弱性のパッチを適用する際に直面する課題の理解。これらのトピックは、**Aqua Security**のブログで**Yakir Kadkoda**と**Ilay Goldman**による「50 shades of vulnerabilities: Uncovering Flaws in Open-Source Vulnerability Disclosure」という教育的なブログでさらに議論されています。 3. チュートリアルは「合法」と「違法」の部分に分かれています。これは、読者が任意の段階で停止し、脆弱性開示からハッキングに移行することを決定できることを意味します。 ## アクセシビリティが主なセールスポイント チュートリアルの最も効果的な部分は技術的なトリックではありません。それはトーンです。**Hercules**は平易な言葉で書き、プロセスを行動を通じて学習できるものとして提示しています。彼は、多くのチュートリアルがコンピュータサイエンス、オペレーティングシステム、プログラミング、またはスキャナーパラメータに焦点を当てすぎていると主張していますが、初心者は「ハッキング」、「侵入」、「アクセス権の取得」を求めています。 彼はまた、ユーザーは始めるために高度なソフトウェアエンジニアである必要はないと示唆しています。公開ツール、コミュニティテンプレート、自動化、さらにはAIアシスタンスが障壁を減らす方法として提示されており、プログラミングスキルは有用だが必須ではないと説明されています。根本的なメッセージはシンプルです。技術的なギャップは、初心者が考えているよりも小さいということです。 そのメッセージは、フォーラムの応答の多くを説明しています。あるユーザーは、多くのハッキングコースを修了したが、それでも現実世界で適用できないと述べました。別のユーザーは、プログラミングの方法さえ知らないと述べ、それが問題になるかどうか尋ねました。他のユーザーは、**Hercules**にプライベートで連絡するように求め、彼の指導の下で学びたいと述べたり、投稿を明確でよく構成されていると賞賛したりしました。  ## 収益化レイヤー この方法の最も興味深い部分は収益化ロジックです。**Hercules**は、脆弱性が発見された後に彼の「生徒」が取ることができるいくつかの行動を説明しています。 1. サーバー/ウェブサイトまたはホスティング会社の所有者に連絡し、脆弱性情報と引き換えに支払いを求める。**Hercules**は、脆弱性開示に対して支払いを行う人もいると指摘しており、「…お金を持ち帰り、誇りに思うことができます。」と述べています。 2. 地下市場で発見されたものを提供する。**Hercules**は、攻撃者が同時に被害者に連絡して情報を他の場所で販売することもできると提案しています。 3. 脆弱性を悪用し、サーバー上にあるものを検出する。 リモートコード実行は、botnetオペレーターに販売されるアクセス、不正なリソースの乱用に利用される、またはデータ窃盗に利用される可能性があります。アカウント乗っ取り、IDOR、およびデータ漏洩の脆弱性は、迅速に販売できる資産として提示されています。**Hercules**は、下流の詐欺を実行するよりも迅速に販売することを好み、詐欺師ではなくハッカーとして自身を説明しています。 ## フォーラムの反応：実践的なメンターシップへの需要 返信は、投稿が情報だけでなく、経験と自信を提供したために共鳴したことを示しています。ユーザーは繰り返しプライベート連絡、メンターシップ、追加のガイダンスを求めました。一部はフォーラムの制限によってブロックされ、まだプライベートメッセージを送信できないと述べました。他のユーザーは、投稿を有用な出発点として説明し、フォローアップ資料を待っていました。以下は、スレッドからのいくつかの返信です。   この長い尾のエンゲージメントは重要です。洗練されたエクスプロイトの書き込みは技術的な読者を引き付けるかもしれませんが、シンプルでモチベーションを高めるワークフローはより広いオーディエンスを引き付けることができます。特定の脆弱性に依存しないため、数ヶ月間関連性を保つことができます。それは再利用可能な考え方を教えています。新しい脆弱性を監視し、公開されているシステムを見つけ、検証し、収益化し、繰り返すというものです。 脅威インテリジェンスの観点から見ると、これはユニークなインジケーターがなくても、スレッドを価値あるものにします。新しい攻撃者がどのように考えさせられているか、どの脆弱性クラスを優先するように奨励されているか、そして経験豊富なフォーラムメンバーが好奇心を参加にどのように変換しているかを明らかにします。この投稿はソフトな採用チャネルでもあり、**Hercules**は繰り返しユーザーにプライベートで連絡するように招待しています。 ## 防御者にとってなぜ重要なのか このチュートリアルは、効果的な脆弱性管理プログラムにとっていくつかの重要な側面を強調しています。 1. **重要脆弱性の優先順位付け**: 初心者ハッカーによるRCE、認証バイパス、アカウント乗っ取りなどの高影響脆弱性への焦点は、組織がこれらの特定の種類の欠陥のパッチ適用と軽減を優先する必要があることを示しています。 2. **攻撃者の考え方の理解**: このチュートリアルは、新しい攻撃者がどのように訓練されているか、どのツール（**Nuclei**）を使用しているか、そしてどのように脆弱性を特定して悪用しているかについての貴重な洞察を提供します。この知識は、防御戦略と脅威インテリジェンスの取り組みに情報を提供できます。 3. **「合法」対「違法」の移行**: チュートリアル内の責任ある開示と直接的な悪用の明確な区別は、たとえ意図された脆弱性研究であっても、悪意のある活動に迅速に移行する可能性があることを厳しく思い出させるものであり、堅牢なセキュリティ対策と監視の重要性を強調しています。