CPTS 合格体験記
HTB Certified Penetration Testing Specialist (CPTS) 初回合格・14/14 フラグ完全制覇。複数サブネットを持つ企業模擬ネットワークへのフルスコープペンテスト、AD 攻撃の進め方、試験で意識した戦略とレポート作成まで詳しく解説。OSCP・CJCA との難易度比較も。
TL;DR
- 結果: CPTS 初回合格(2026-05 受験 → 2026-05 合格)
- 試験期間: 10 日間
- スコア: 14 / 14 フラグ完全制覇(合格ライン: 12 / 14 = 85%)
- キーポイント:
- 認証情報取得 → 即スプレー を徹底することで横展開が加速する
- BloodHound は foothold 直後に投入するのが正解
- 同じ手法で行き詰まったら早めに別ベクターへ切り替える
- 全フラグ取得後にレポート期間を確保できたことが品質に効いた
試験結果サマリー
| 項目 | 値 |
|---|---|
| 開始日 | 2026-05-09 |
| 結果 | PASSED |
CPTS とは
HTB Certified Penetration Testing Specialist(CPTS) は、HackTheBox Academy が提供するエンタープライズ向けの実技認定試験です。
| 項目 | 内容 |
|---|---|
| 試験時間 | 10 日間 |
| 環境 | 複数サブネットを持つ企業模擬ネットワーク |
| スコープ | Linux / Windows / Active Directory 混在 |
| フラグ数 | 14 フラグ |
| 合格ライン | 12 / 14 以上(85%) |
| レポート提出 | 英語ペンテストレポート(試験期間内に提出) |
OSCP が「24 時間の集中試験」であるのに対し、CPTS は 10 日間で複数ネットワークを段階的に侵害する実務に近い試験です。単一のフラグではなく、ネットワーク全体を横断する攻撃チェーンを組み立てる能力が問われます。
自己紹介・受験前の前提知識
- 保有資格: OSCP、CJCA、RISS、AWS SAP / SCS
- 業務経験: インフラ運用保守 8 年 + 脆弱性診断(2025-07〜)
- 受験時点での経験: OSCP 合格後、Proving Grounds / HTB を合計 100 台以上。Active Directory 環境は OSCP の AD セット + 各種 AD 特化 HTB マシンで反復練習済み
なぜ CPTS を受けようと思ったか
OSCP 合格後の次のステップとして、より実務に近いマルチネットワーク・AD 環境のペンテストに挑戦したかったからです。OSCP の AD セットは「1ドメイン + 数台」の比較的シンプルな構成ですが、実際の企業内ネットワークはより複雑です。CPTS はその実務ギャップを埋める試験として位置づけました。
試験戦略 — 事前に決めていた行動ルール
技術的な準備と並行して、作業の優先順位付けと時間管理のルールを事前に設定しておきました。これが合否に直結したと感じています。
ルール 1: 認証情報取得 → 即スプレー(他作業は中断)
新しい認証情報を取得した瞬間、他の作業を中断してすべてのサービス(SMB / SSH / WinRM / RDP 等)に対してスプレーを実施。「後でまとめて」という発想は横展開の遅延に直結するため禁止にしました。
ルール 2: foothold 取得から 30 分以内に BloodHound 収集
最初のドメインユーザー認証情報を入手したら、30 分以内に BloodHound を収集し、ACL 経路・委任・Kerberoast ターゲットを確認。「存在しない経路を延々探索する」無駄をこれで排除できます。
ルール 3: 同じ手法で 3 回失敗したら強制的に別ベクターへ
手法問わず 3 回連続で失敗したら、即座に別の攻撃ルートへ切り替え。「もう少しパラメータを変えれば…」という思考を禁止することで、時間を無駄に溶かすのを防ぎました。
ルール 4: 取得済みホストへの深掘りは最大 2 時間
フラグを取得したホストは、後続の横展開材料を取ることだけを目的に最大 2 時間まで。それ以上は未到達ホストへ時間を振り向けます。
タイムライン
| 日程 | 進捗 |
|---|---|
| Day 1 | 試験開始、偵察・列挙。外部公開サービスへの足掛かり確立 |
| Day 2〜3 | 内部ネットワークへの侵入。複数ネットワークを段階的に制圧 |
| Day 4〜5 | ピボット。Windows 環境の列挙開始 |
| Day 6 | AD 侵害。ドメイン制圧 |
| Day 7 | 14 / 14 フラグ完全制覇。レポート作業へ移行 |
| Day 8〜10 | レポート作成・推敲・提出 |
やってよかったこと
- BloodHound を早期投入したこと: ACL 経路がないと即確認できたことで、存在しない攻撃パスを追い続ける無駄を省けた。ただし BloodHound CE と旧 BloodHound で結果が異なるケースがあり、BloodHound の表示を鵜呑みにせずサーバ上で
PowerView.ps1を使って直接再確認する習慣が重要だと気づいた - 認証情報スプレーを徹底したこと: 早期スプレーが横展開の速度を大幅に上げた
- タイムボックスを守ったこと: 同一手法の試行回数に上限を設けたことで、行き詰まりから早く抜け出せた
- コマンドアウトプットをすべてログに残したこと: レポートの Steps to Reproduce 再構成が大幅にスムーズになった
- フラグ取得後すぐレポートに転記したこと: Day 7 に全フラグ制覇後、残り 3 日間をレポートに完全集中できた
- キャプチャを取りまくったこと: コマンド出力・スクリーンショット・タイムスタンプを惜しみなく記録した。レポートの Steps to Reproduce 再構成や各 Finding へのスクショ添付が格段に楽になった
やらなくてよかったこと
- フラグ取得済みホストへの過剰投資: 取得済みホストは「次の横展開素材の入手元」として割り切ることが重要。深掘りへの誘惑を断ち切れたことが時間配分に効いた
- 偵察を省略して手技に入ろうとする衝動: 列挙に時間を投資するほど後の侵害が速くなる。「まず動かしてみる」より「まず全部把握する」が正解でした
- 特定の認証情報を深追いすること: 見つからないものを延々と探すより、別の攻撃経路に切り替える判断が重要だと痛感した
OSCP / CJCA との比較
| OSCP | CJCA | CPTS | |
|---|---|---|---|
| 試験時間 | 24 時間 | 120 時間(5 日間) | 10 日間 |
| 主要スコープ | Standalone + AD | 5 マシン + SIEM | マルチネットワーク + AD |
| Blue Team | なし | SIEM triage | なし |
| レポート | あり | SysReptor(HTB 公式) | SysReptor(HTB 公式) |
| 合格難度の軸 | 技術 + 時間配分 | 技術 + 文章 + SIEM | 技術 + 戦略的時間管理 |
| フラグ数 | スタンドアロン 3台 + AD 3台 | 10 フラグ | 14 フラグ |
OSCP が「24 時間でどこまで侵害できるか」を問う試験だとすれば、CPTS は 「10 日間で企業ネットワーク全体を組織的に侵害できるか」 を問う試験です。個々の技術ではなく、全体最適の意思決定力が問われる点が最大の違いです。