jpskill.com
💼 ビジネス コミュニティ

social-engineer-toolkit

組織のセキュリティ意識向上や脆弱性検証のため、許可を得た上で、フィッシング詐欺の模擬やログインページの複製などを通して、人に対する防御策をテストするSkill。

📜 元の英語説明(参考)

Run authorized red team social engineering assessments with the Social Engineer Toolkit (SET). Use when a user asks to simulate a phishing campaign for security awareness training, clone a login page for a sanctioned exercise, or test an organization's human-layer defenses under a signed engagement.

🇯🇵 日本人クリエイター向け解説

一言でいうと

組織のセキュリティ意識向上や脆弱性検証のため、許可を得た上で、フィッシング詐欺の模擬やログインページの複製などを通して、人に対する防御策をテストするSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o social-engineer-toolkit.zip https://jpskill.com/download/15393.zip && unzip -o social-engineer-toolkit.zip && rm social-engineer-toolkit.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/15393.zip -OutFile "$d\social-engineer-toolkit.zip"; Expand-Archive "$d\social-engineer-toolkit.zip" -DestinationPath $d -Force; ri "$d\social-engineer-toolkit.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して social-engineer-toolkit.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → social-engineer-toolkit フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Social Engineer Toolkit (SET)

概要

SET は TrustedSec によるオープンソースのレッドチームフレームワークであり、許可されたソーシャルエンジニアリング演習のインフラストラクチャ側を自動化します。具体的には、認証情報を収集するためのシミュレーションを行うウェブサイトのクローン作成、スピアフィッシングメールの作成、QRコードの生成、ペイロードの配信などです。これは、署名済みの範囲指定された許可を得て実行するエンゲージメント(通常はセキュリティ意識向上プログラム、レッドチームオペレーション、およびテーブルトップ演習)専用です。SET をその範囲外で使用することは違法であり、このスキルはそのような行為をサポートしません。

手順

ステップ 1: 最初に承認、範囲指定、および文書化を行う

SET を操作する前に:

  1. 次の内容を網羅した署名済みの Rules of Engagement (ROE):ターゲットのメールドメイン、ターゲットのユーザーリスト、許可された口実、開始/終了日、エスカレーションパス。
  2. クライアント/雇用主からの書面による承認。これには、「シミュレートされたフィッシング、認証情報の収集、およびペイロードの配信を実施する権限がある」という明示的な条項が含まれます。
  3. セキュリティ/IT/法務担当者およびインシデント対応チームへの事前説明(これが訓練であることを知らされない数少ない人々)。
  4. デブリーフィング計画:結果の共有方法、収集された認証情報の処理方法、および被害者がその後トレーニングコンテンツを受け取る方法。

ROE がない場合 → SET は使用できません。ここで停止してください。

ステップ 2: 隔離された環境に SET をインストールする

# Kali にはプリインストールされています。それ以外の場合:
git clone https://github.com/trustedsec/social-engineer-toolkit.git set
cd set
sudo python3 setup.py install

# SET は専用の VM で実行してください。共有ホストでは絶対に実行しないでください
sudo setoolkit

ステップ 3: 認証情報収集シミュレーションのためにログインページをクローンする

# SET のメインメニューから:
1) Social-Engineering Attacks
  → 2) Website Attack Vectors
    → 3) Credential Harvester Attack Method
      → 2) Site Cloner

# プロンプト:
IP address for POST back in Harvester/Tabnabbing: 203.0.113.10  (攻撃者 VM の IP アドレス。ROE で承認された範囲内)
Enter the url to clone: https://login.acme-internal.com

# SET はページをクローンし、:80 でリッスンします
# 収集された認証情報は以下に書き込まれます:
/var/www/html/harvester_<timestamp>.txt

運用上の注意点:

  • ランディングドメインは、自分が所有し、ROE に記載されているドメインである必要があります(例:acme-internal-login.example)。
  • 認証情報は最終レポートで修正する必要があります。プレーンテキストは、封印された暗号化されたケースフォルダに保存し、デブリーフィング後に破棄してください。

ステップ 4: スピアフィッシングメールキャンペーンを作成する

From SET main menu:
1) Social-Engineering Attacks
  → 1) Spear-Phishing Attack Vectors
    → 1) Perform a Mass Email Attack

# プロンプトに従って以下を設定します:
#   テンプレートまたはカスタムの件名/本文
#   攻撃者の送信者プロファイル(承認された送信インフラストラクチャのみを使用)
#   ターゲットリスト(1 行に 1 つのメールアドレス。ROE の範囲と一致する必要あり)
#   SMTP サーバー(クライアントのものではなく、自分自身の承認されたリレー)

# 本文は別のファイルでテンプレート化し、送信前にクライアントのレビューを受けるようにしてください。

SET のデフォルトテンプレートは古くなっています。常に独自の口実を作成し、承認を得てから、ターゲットが受信する前に、社内の安全レビュープロセスで文言を A/B テストしてください。

ステップ 5: 追跡、デブリーフィング、およびクリーンアップ

# 随時結果をエクスポートする
cp /var/www/html/harvester_*.txt cases/acme-2026-04/evidence/

# ウィンドウが閉じたら、SET リスナーを停止し、VM を破棄する
# (SET から Ctrl+C で抜け出し、次に:)
sudo systemctl stop apache2 2>/dev/null
sudo shutdown -h now

# レポートするメトリクス(個々の識別情報ではない)
#   - クリックスルー率
#   - 認証情報送信率
#   - セキュリティへの報告率
#   - 報告までの時間の中央値

ウィンドウの直後:

  • 実際に送信された認証情報をローテーションします。
  • すべてのターゲットユーザーに短いトレーニングモジュールを送信します(騙されたかどうかに関係なく)。
  • 匿名化されたメトリクスをリーダーシップに公開します。

例 1: 内部チーム向けの意識向上キャンペーン(承認済み)

Scope (from ROE):
  Client:       Acme Corp
  Targets:      120 employees in the Finance department
  Window:       2026-04-15 to 2026-04-19
  Pretexts:     "mandatory benefits update" landing page
  Sending infra: mail.acme-awareness.example (owned by Acme security team)
  Landing URL:  acme-benefits-update.example (registered, HTTPS, under security)

Run:
  1) Draft pretext → legal & HR approve
  2) Clone https://benefits.acme.com with SET Site Cloner
  3) Send emails via authorized relay on the approved day
  4) Monitor harvester logs for clicks and submissions
  5) Auto-redirect submissions to a "You've been phished" training page
  6) Rotate any submitted credentials same day
  7) Debrief Finance leadership and publish metrics

例 2: ストックテンプレートの代わりに独自のランディングページを作成する

# SET のクローンされたページはトレーニングシナリオには適していますが、HTML よりも口実が重要です
# 最小限のブランドページを自分の VM でホストし、ROE で承認されたドメインをそこに向けます:

mkdir -p /var/www/awareness && cd /var/www/awareness
# index.html: ブランド化された「福利厚生ポータル」の模倣。/collect に POST するアクション付き
# collect.php: {email, user-agent, click-time} をローカルの SQLite DB に記録します — パスワードは記録しません
cat > collect.php <<'PHP'
<?php
$db = new SQLite3('/var/www/awareness/clicks.db');
$db->exec('CREATE TABLE IF NOT EXISTS clicks (id INTEGER PRIMARY KEY, email TEXT, ua TEXT, t INTEGER)');
$stmt = $db->prepare('INSERT INTO clicks (email, ua, t) VALUES (?, ?, ?)');
$stmt->bindValue(1, $_POST['email'] ?? '');
$stmt->bindValue(2, $_SERVER['HTTP_USER_AGENT'] ?? '');
$stmt->bindValue(3, time());
$stmt->execute();
header('Location: /training/phished.html');
PHP

# 意識向上キャンペーンでは、パスワードをキャプチャする必要はありません — クリックだけで十分です
# 認証情報の収集は、別途承認が必要な特別な特権として扱ってください。

ガイドライン

  • 常に ROE を最初に。 書面による承認がない場合、SET は使用できません。これは、この作業が合法であるかどうかを判断する唯一のルールです。
  • 認証情報の収集よりもクリック追跡を優先します。クリックスルーとセキュリティへの報告が実際のメトリクスです。生のパスワードは法的リスクを高めます。

(原文がここで切り詰められています)

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Social Engineer Toolkit (SET)

Overview

SET is an open-source red-team framework by TrustedSec that automates the infrastructure side of authorized social engineering exercises: website cloning for credential-harvesting simulations, spear-phishing email staging, QR code generation, and payload delivery. It is strictly for engagements you have signed, scoped permission to run — typically security awareness programs, red team operations, and table-top exercises. Using SET outside of that scope is illegal and this skill does not support that.

Instructions

Step 1: Authorize, Scope, and Document First

Before touching SET:

  1. A signed Rules of Engagement (ROE) covering: target email domains, target user list, permitted pretexts, start/end dates, escalation path.
  2. Written authorization from the client/employer that includes an explicit "authorized to conduct simulated phishing, credential harvesting, and payload delivery" clause.
  3. Pre-briefing for the security/IT/legal contacts and the incident response team (the few people who will NOT be told it's a drill).
  4. Debrief plan: how results are shared, how captured credentials are handled, and how the victims receive training content afterward.

No ROE → no SET. Stop here.

Step 2: Install SET in an Isolated Environment

# Preinstalled on Kali. Otherwise:
git clone https://github.com/trustedsec/social-engineer-toolkit.git set
cd set
sudo python3 setup.py install

# Run SET in a dedicated VM — never on a shared host
sudo setoolkit

Step 3: Clone a Login Page for a Credential Harvest Simulation

# From the SET main menu:
1) Social-Engineering Attacks
  → 2) Website Attack Vectors
    → 3) Credential Harvester Attack Method
      → 2) Site Cloner

# Prompts:
IP address for POST back in Harvester/Tabnabbing: 203.0.113.10  (your attacker VM, inside the ROE-approved range)
Enter the url to clone: https://login.acme-internal.com

# SET clones the page and listens on :80
# Collected credentials are written to:
/var/www/html/harvester_<timestamp>.txt

Operational notes:

  • The landing domain must be one you own and is listed in the ROE (e.g., acme-internal-login.example).
  • Credentials must be redacted in the final report. Store plaintext in a sealed, encrypted case folder and destroy after debrief.

Step 4: Stage a Spear-Phishing Email Campaign

From SET main menu:
1) Social-Engineering Attacks
  → 1) Spear-Phishing Attack Vectors
    → 1) Perform a Mass Email Attack

# Prompts walk you through:
#   Template or custom subject/body
#   Attacker sender profile (use authorized sending infrastructure only)
#   Target list (one email per line, must match the ROE scope)
#   SMTP server (your own authorized relay, never the client's)

# Template the body in a separate file so it goes through client review BEFORE sending.

SET's default templates are dated. Always write your own pretext, have it approved, and A/B the wording with your internal safety-review process before any target receives it.

Step 5: Track, Debrief, and Clean Up

# Export results as you go
cp /var/www/html/harvester_*.txt cases/acme-2026-04/evidence/

# Stop SET listeners and tear down the VM when the window closes
# (Ctrl+C out of SET, then:)
sudo systemctl stop apache2 2>/dev/null
sudo shutdown -h now

# Metrics to report (not individual identification)
#   - click-through rate
#   - credential-submission rate
#   - report-to-security rate
#   - median time-to-report

Immediately after the window:

  • Rotate any credentials that were actually submitted.
  • Send every targeted user to a short training module (whether they fell for it or not).
  • Publish anonymized metrics to leadership.

Examples

Example 1: Awareness Campaign for an Internal Team (Authorized)

Scope (from ROE):
  Client:       Acme Corp
  Targets:      120 employees in the Finance department
  Window:       2026-04-15 to 2026-04-19
  Pretexts:     "mandatory benefits update" landing page
  Sending infra: mail.acme-awareness.example (owned by Acme security team)
  Landing URL:  acme-benefits-update.example (registered, HTTPS, under security)

Run:
  1) Draft pretext → legal & HR approve
  2) Clone https://benefits.acme.com with SET Site Cloner
  3) Send emails via authorized relay on the approved day
  4) Monitor harvester logs for clicks and submissions
  5) Auto-redirect submissions to a "You've been phished" training page
  6) Rotate any submitted credentials same day
  7) Debrief Finance leadership and publish metrics

Example 2: Writing Your Own Landing Page Instead of the Stock Template

# SET's cloned pages are fine for training scenarios, but the pretext matters more
# than the HTML. Host a minimal, branded page on your own VM and point the ROE-
# approved domain at it:

mkdir -p /var/www/awareness && cd /var/www/awareness
# index.html: branded "Benefits Portal" mimic, with an action that POSTs to /collect
# collect.php: records {email, user-agent, click-time} to a local SQLite DB — NOT the password
cat > collect.php <<'PHP'
<?php
$db = new SQLite3('/var/www/awareness/clicks.db');
$db->exec('CREATE TABLE IF NOT EXISTS clicks (id INTEGER PRIMARY KEY, email TEXT, ua TEXT, t INTEGER)');
$stmt = $db->prepare('INSERT INTO clicks (email, ua, t) VALUES (?, ?, ?)');
$stmt->bindValue(1, $_POST['email'] ?? '');
$stmt->bindValue(2, $_SERVER['HTTP_USER_AGENT'] ?? '');
$stmt->bindValue(3, time());
$stmt->execute();
header('Location: /training/phished.html');
PHP

# For an awareness campaign you DO NOT need to capture passwords — clicks are enough.
# Treat credential collection as an extra privilege that must be separately authorized.

Guidelines

  • ROE first, always. No written authorization, no SET. This is the single rule that determines whether this work is lawful.
  • Prefer click-tracking over credential-harvesting. Click-through and report-to-security are the real metrics; raw passwords add legal risk without improving outcomes.
  • Never reuse client infrastructure to send simulated phishing. Use your own authorized domain and relay.
  • Handle captured data as PII: encrypted at rest, access-logged, destroyed on a fixed timeline, never shared outside the engagement team.
  • Debrief fast. Employees deserve training the same day they fall for a simulation, not weeks later.
  • Exclude the IR/security team unless the ROE explicitly names them as in-scope — otherwise you are running a surprise drill on the people who defend the company, and you will get calls at 2 AM.
  • Report metrics in aggregate. Naming individuals destroys the trust that makes future exercises useful.
  • Modern alternatives to SET worth knowing: GoPhish (open source, better reporting), King Phisher, and commercial platforms (KnowBe4, Proofpoint) — SET is fine for labs and quick red team ops, but long-running awareness programs usually need one of those.