【2025年最新版】初心者向けKali Linuxインストールと使い方ガイド

パスワード変更が終わったら、次に以下の設定を行いましょう。

パッケージの更新とアップグレード

まず、システム全体を最新の状態にします。ターミナル（端末）を開き、以下のコマンドを1行ずつ実行します。実行中に新しいパスワードを求められます。

# パッケージリストを更新
sudo apt update

# パッケージをアップグレード
sudo apt upgrade -y

# 不要なパッケージを削除
sudo apt autoremove -y

sudoは管理者権限でコマンドを実行するという意味です。

日本語入力の設定

デフォルトでは日本語入力ができないため、以下のコマンドで日本語入力システム（Mozc）をインストールします。その前に、settingsからkeybord選択し、キーボードレイアウトを日本語版にしておく。

 dpkg -l | grep fcitx #結果をchatgptにわたし、fcitx（旧版）削除し、fcitx5（最新）に入れ替えるコマンドを入手し実行
sudo apt install fcitx5-mozc 

インストール後、一度再起動。次にfcitx5のGUI起動。入力メソッドをMozcにする。

Mozcの設定開き、初期モードを直接入力にする。

さらに、以下のコマンドでfcitx5の設定を自動化しておく。

vim ~/.xprofile

# .xprofileの中身

export GTK_IM_MODULE=fcitx5
export QT_IM_MODULE=fcitx5
export XMODIFIERS="@im=fcitx"
exec fcitx5 &

さて、いよいよKali Linuxのツールを使ってみましょう。ここでは、許可された自身の管理下にあるテスト用Webサイトに対して、基本的な脆弱性診断を行う手順を紹介します。

はじめに：倫理と法律について【重要】

警告：許可なく他人のWebサイトやネットワークにこれから紹介するツールを使用することは、不正アクセス禁止法などの法律に抵触する犯罪行為です。 必ずご自身で用意した仮想環境上のテストサイトなど、実験が許可された環境でのみ行ってください。この記事は学習目的であり、違法行為を助長するものではありません。

ステップ1：情報収集（ターゲットの調査）- Nmap

まずはターゲットの基本的な情報を集めます。ここでは、強力なポートスキャナーであるNmapを使います。ターゲットのIPアドレスで、どのようなサービス（ポート）が動いているかを調査します。

# -sV: バージョン情報取得, -p-: 全ポート対象
# <ターゲットのIPアドレス> は自分のテスト環境のアドレスに置き換える
nmap -sV -p- <ターゲットのIPアドレス>

ステップ2：脆弱性スキャン – Nikto

次に、Webサーバーに既知の脆弱性がないかをスキャンします。Niktoは、Webサーバーの設定ミスや古いソフトウェアなどを自動で検出してくれるツールです。

# -h: ターゲットのホストを指定
nikto -h http://<ターゲットのIPアドレス>/

ステップ3：ディレクトリ・ファイル探索 – Gobuster

Webサイトには、リンクが貼られていない隠された管理ページや設定ファイルが存在することがあります。gobusterは、辞書ファイルを使ってそれらのディレクトリやファイルを総当たりで探し出します。

# <URL> にターゲットのURLを指定
gobuster dir -u <URL> -w /usr/share/wordlists/dirb/common.txt

ステップ4：パスワードクラック（辞書攻撃）- Hydra

ログインフォームなどを見つけた場合、簡単なパスワードが使われていないかをテストします。Hydraは、ユーザー名とパスワードのリストを使って、総当たりでログインを試みるツールです。

※これは非常に攻撃的な手法です。必ず自分のテスト環境でのみ実施してください。

# -L: ユーザー名リスト, -P: パスワードリスト, -s: ポート番号
# <ターゲットIP> http-post-form "/login.php:user=^USER^&pass=^PASS^:F=Login failed"
hydra -L users.txt -P passwords.txt -s 80 <ターゲットIP> http-post-form "/login.php:user=^USER^&pass=^PASS^:F=Login failed"

ステップ5：結果の整理と報告

最後に、Nmap, Nikto, Dirb, Hydraなどで見つかった情報を整理し、どのような脆弱性があり、どのような対策が必要かをレポートにまとめます。これがペネトレーションテストの最終的な成果物となります。

Level 1: 基本操作とLinuxコマンドの習得

まずはKali Linuxのデスクトップ環境に慣れ、ターミナル操作の基本をマスターしましょう。ls, cd, pwd, mkdir, rm, cat, grepなどの基本的なLinuxコマンドは必須です。

Level 2: 主要ツールの使い方をマスターする

この記事で紹介したNmap, Niktoのほか、WebアプリケーションプロキシのBurp Suite、脆弱性攻撃フレームワークのMetasploit Frameworkなど、中核となるツールの使い方を一つずつ集中的に学びます。

Level 3: CTF（Capture The Flag）に挑戦する

CTFは、サーバーに隠された「旗（Flag）」と呼ばれる文字列を見つけ出す競技です。TryHackMeやHack The Boxといったプラットフォームには、初心者向けの練習問題が豊富に用意されており、実践的なスキルをゲーム感覚で磨くことができます。

Level 4: 脆弱性診断のレポートを作成してみる

Level 1〜3で得た知識を元に、自分で構築したテスト環境に対して脆弱性診断を実施し、本格的なレポートを作成してみましょう。発見した脆弱性の内容、再現手順、危険度、推奨される対策などをまとめることで、プロの仕事の流れを体験できます。

Kali Undercover Mode（Windowsになりすます）

公共の場で作業する際などに、見た目を一瞬でWindows 10そっくりに変える機能です。ターミナルで以下のコマンドを実行するだけですぐに切り替えられます。

kali-undercover

知っておくと便利！ターミナル操作ショートカット集

おすすめの学習リソース

• Kali Linux公式サイト: ツールの使い方など公式ドキュメントが最も正確です。
• TryHackMe: ゲーム感覚で学べる初心者向けのサイバーセキュリティ学習プラットフォーム。
• Hack The Box: より実践的で難易度の高いCTFプラットフォーム。

⚠️ 悪用厳禁: Kali Linuxのツールは非常に強力です。学習目的であっても、絶対に許可のないネットワークやシステムに対して使用しないでください。 あなたのキャリアを終わらせるだけでなく、法的な責任を問われる可能性があります。

⚠️ 自己責任: ツールの使用によって何らかの損害が発生した場合、その責任はすべてあなた自身にあります。常に倫理観を持ち、責任ある行動を心がけてください。