6,000以上の辞書ファイル(ワードリスト)を収録
- SecLists -
SecListsには、6,000を超える辞書ファイル(ワードリスト)が収録されており、脆弱性診断やペネトレーションテストにおいて幅広く活用されています。
本記事では、SecListsの概要からインストール方法、ディレクトリ構成、用途別の代表的なファイルまでを体系的に解説します。
目次
SecListsとは
SecListsは、脆弱性診断やペネトレーションテストで使用される辞書ファイル(ワードリスト)を体系的に集約したオープンソースのプロジェクトです。
GitHub上でDaniel Miessler氏によって管理されており、2025年12月時点で67,300以上のスター(Stars)が付けられていることからも、セキュリティエンジニアの間で広く支持されていることがわかります。
SecListsには6,000を超える辞書ファイル(ワードリスト)が収録されており、Burp Suiteやffuf、Gobusterなど主要なセキュリティ診断ツールとそのまま連携できる形式で提供されています。
主な利用目的
- Webサーバー上の隠れたパスの探索
- 脆弱なユーザー名・パスワードの検出
- SQLインジェクションやXSSの検証 など
リリース履歴
現在も活発にメンテナンスされているため、最新の脅威に対応したリストが定期的に追加されています。
| リリース日 | バージョン |
|---|---|
| 2025年9月19日 | 2025.3 |
| 2025年4月26日 | 2025.2 |
| 2025年2月22日 | 2025.1 |
| 2024年11月20日 | 2024.4 |
| 2024年8月13日 | 2024.3 |
| 2024年6月12日 | 2024.2 |
| 2024年2月17日 | 2024.1 |
| 〜 | 〜 |
| 2019年11月8日 | 2019.4 |
| 2019年8月18日 | 2019.3 |
| 2019年5月8日 | 2019.2 |
| 2019年1月30日 | 2019.1 |
| 2018年10月15日 | 2018.3 |
| 2018年8月1日 | 2018.2 |
| 2018年3月10日 | 1.3 |
ライセンス
SecListsはMITライセンスのもと提供されており、商用・非商用問わず自由に利用可能です。
あわせて読みたい
有名な辞書ファイルには、SecListsのほか、WordListsも挙げられます。
SecListsのインストール
SecListsはインストール手段が複数用意されており、利用環境に応じて選択することが可能です。
インストール方法
- ZIP形式のSecListsをダウンロード
- Gitリポジトリから最新コミットを取得(シャロークローン/Shallow Clone)
- Gitリポジトリから全コミット履歴を取得(フルクローン/Full Clone)
- Kali Linux公式リポジトリからインストール
ZIP形式のSecListsをダウンロード
# Zip形式のSecListsをダウンロード
$ wget -c https://github.com/danielmiessler/SecLists/archive/master.zip -O SecList.zip
# Zipファイルを解凍
$ unzip SecList.zip
# Zipファイルを削除
$ rm -f SecList.zipZIPファイル形式でSecListsを取得します。Gitを利用できない環境であっても、インターネットに接続可能であればSecListsをダウンロードできます。
Gitリポジトリから最新コミットを取得
$ git clone --depth 1 https://github.com/danielmiessler/SecLists.git--depth 1を指定して、最新コミットだけを取得します。(シャロークローン/Shallow Clone)
Gitリポジトリから全コミット履歴を取得
$ git clone https://github.com/danielmiessler/SecLists.git全てのコミット履歴を含む完全なクローンを取得します。(フルクローン/Full Clone)
Kali Linux公式リポジトリからインストール
前提条件
Kali Linux 2025.3
STEP
パッケージ情報の更新
$ sudo apt updateSTEP
SecListsパッケージの情報を確認
$ apt info seclists
Package: seclists
Version: 2025.3-0kali1
Priority: optional
Section: utils
Maintainer: Kali Developers <devel@kali.org>
Installed-Size: 1,935 MB
Depends: kali-defaults (>= 2019.3.6)
Homepage: https://github.com/danielmiessler/SecLists
Download-Size: 545 MB
APT-Sources: http://http.kali.org/kali kali-rolling/main amd64 Packages
Description: Collection of multiple types of security lists
SecLists is a collection of multiple types of lists used during security
assessments. List types include usernames, passwords, URLs, sensitive data grep
strings, fuzzing payloads, and many more.
.
The goal is to enable a security tester to pull this repo onto a new testing
box and have access to every type of list that may be needed.Kali Linuxリポジトリの更新頻度は、GitHubの最新版より遅れる場合があります。
STEP
SecListsパッケージをインストール
$ sudo apt install seclistsSTEP
インストール後の確認
$ ls -l /usr/share/seclists
合計 40
drwxr-xr-x 9 root root 4096 12月 5 09:42 Discovery
drwxr-xr-x 9 root root 4096 12月 5 09:43 Fuzzing
drwxr-xr-x 8 root root 4096 12月 5 09:43 Miscellaneous
drwxr-xr-x 15 root root 4096 12月 5 09:43 Passwords
drwxr-xr-x 3 root root 4096 12月 5 09:43 Pattern-Matching
drwxr-xr-x 8 root root 4096 12月 5 09:43 Payloads
-rw-r--r-- 1 root root 4370 9月 19 14:28 README.md
drwxr-xr-x 4 root root 4096 12月 5 09:43 Usernames
drwxr-xr-x 10 root root 4096 12月 5 09:43 Web-Shellsインストールが正常に終了すると、/usr/share/seclistsに辞書ファイル(ワードリスト)が配置されます。
SecListsのディレクトリ構成
前提条件
SecLists バージョン2025.3
※ZIP形式でダウンロードしたSecLists 2025.3の内容に基づいて、解説しています。
$ tree -d SecLists-master
SecLists-master
├── Ai
│ └── LLM_Testing
│ ├── Bias_Testing
│ ├── Data_Leakage
│ ├── Divergence_attack
│ └── Memory_Recall_Testing
├── Discovery
│ ├── DNS
│ ├── File-System
│ ├── Infrastructure
│ ├── Mainframe
│ ├── SNMP
│ ├── Variables
│ └── Web-Content
│ ├── BurpSuite-ParamMiner
│ ├── CMS
│ │ └── trickest-cms-wordlist
│ ├── Domino-Hunter
│ ├── File-Extensions-Universal-SVNDigger-Project
│ │ ├── cat
│ │ │ ├── Conf
│ │ │ ├── Database
│ │ │ ├── Language
│ │ │ └── Project
│ │ └── context
│ ├── LEGACY-SERVICES
│ │ └── CGIs
│ ├── Programming-Language-Specific
│ │ └── ASP.NET
│ ├── Service-Specific
│ ├── URLs
│ ├── Web-Servers
│ ├── api
│ ├── dutch
│ │ └── new
│ └── trickest-robots-disallowed-wordlists
├── Fuzzing
│ ├── 403
│ ├── Amounts
│ ├── Databases
│ │ └── SQLi
│ ├── Dates
│ │ ├── 2019
│ │ ├── 2020
│ │ ├── 2021
│ │ ├── 2022
│ │ ├── 2023
│ │ ├── 2024
│ │ └── 2025
│ ├── LFI
│ ├── User-Agents
│ │ ├── hardware-type-specific
│ │ ├── layout-engine-name
│ │ ├── operating-platform
│ │ ├── operating-system-name
│ │ ├── software-name
│ │ └── software-type-specific
│ └── XSS
│ ├── Polyglots
│ ├── human-friendly
│ └── robot-friendly
├── Miscellaneous
│ ├── Danish-Wordlists-n0kovo
│ ├── List-Of-Swear-Words
│ ├── Security-Question-Answers
│ │ ├── us-colleges
│ │ ├── us-private-schools
│ │ └── us-public-schools
│ ├── Source-Code
│ │ └── c-linux
│ ├── Web
│ │ └── http-request-headers
│ └── Words
│ ├── EFF-Dice
│ └── Moby-Project
│ ├── Moby-Language-II
│ ├── Moby-Thesaurus-II
│ └── Moby-Words-II
├── Passwords
│ ├── Books
│ ├── Common-Credentials
│ │ └── Language-Specific
│ ├── Cracked-Hashes
│ ├── Default-Credentials
│ │ └── Routers
│ ├── Honeypot-Captures
│ ├── Keyboard-Walks
│ ├── Leaked-Databases
│ ├── Malware
│ ├── PHP-Hashes
│ │ ├── Floating-Comp
│ │ ├── Plaintext
│ │ ├── Pre-Hashed
│ │ └── Truncated
│ ├── Permutations
│ ├── Software
│ ├── WiFi-WPA
│ └── Wikipedia
├── Pattern-Matching
│ └── Source-Code-(PHP)
├── Payloads
│ ├── Anti-Virus
│ ├── File-Names
│ │ ├── exec
│ │ └── null-byte
│ ├── Flash
│ ├── Images
│ ├── Zip-Bombs
│ └── Zip-Traversal
├── Usernames
│ ├── Honeypot-Captures
│ └── Names
└── Web-Shells
├── CFM
├── FuzzDB
├── JSP
├── Magento
├── PHP
├── Vtiger
│ ├── languages
│ │ └── en_us
│ │ └── Settings
│ ├── modules
│ │ └── VtigerVulnPlugin
│ │ └── actions
│ └── settings
│ └── actions
├── WordPress
└── laudanum-1.0
├── asp
├── aspx
├── cfm
├── jsp
│ └── warfiles
│ ├── META-INF
│ └── WEB-INF
├── php
└── wordpress
└── templates
140 directories【用途別】代表的なファイル
SecListsには6,000を超えるワードリストが収録されており、脆弱性診断やペネトレーションテストの初学者がまず押さえるべきファイルがいくつか存在します。
ここでは、用途ごとに代表的なファイルの特徴を解説します。
前提条件
SecLists バージョン2025.3
※ZIP形式でダウンロードしたSecLists 2025.3の内容に基づいて、解説しています。
ディレクトリ・ファイル探索
Webアプリケーション診断で最も利用される用途の一つです。隠れたディレクトリやファイルを特定するためのワードリストが多数収録されています。
Discovery/Web-Content/common.txt
$ wc -l Discovery/Web-Content/common.txt
4749 Discovery/Web-Content/common.txtcommon.txtは、Webアプリケーションのパス探索において、最も広く利用されるワードリストの一つです。一般的なCMSの管理ページやよく利用されるファイル名が収録されています。
約4,700件の一般的なパスが含まれており、/admin/、/login/、/uploads/など、企業のWebアプリケーションで頻出するパスを網羅しています。
Discovery/Web-Content/raft-large-words.txt
$ wc -l Discovery/Web-Content/raft-*
56162 Discovery/Web-Content/raft-large-directories-lowercase.txt
62281 Discovery/Web-Content/raft-large-directories.txt
2367 Discovery/Web-Content/raft-large-extensions-lowercase.txt
2450 Discovery/Web-Content/raft-large-extensions.txt
35325 Discovery/Web-Content/raft-large-files-lowercase.txt
37050 Discovery/Web-Content/raft-large-files.txt
107982 Discovery/Web-Content/raft-large-words-lowercase.txt
119600 Discovery/Web-Content/raft-large-words.txt
26583 Discovery/Web-Content/raft-medium-directories-lowercase.txt
29999 Discovery/Web-Content/raft-medium-directories.txt
1234 Discovery/Web-Content/raft-medium-extensions-lowercase.txt
1290 Discovery/Web-Content/raft-medium-extensions.txt
16244 Discovery/Web-Content/raft-medium-files-lowercase.txt
17129 Discovery/Web-Content/raft-medium-files.txt
56293 Discovery/Web-Content/raft-medium-words-lowercase.txt
63088 Discovery/Web-Content/raft-medium-words.txt
17769 Discovery/Web-Content/raft-small-directories-lowercase.txt
20115 Discovery/Web-Content/raft-small-directories.txt
914 Discovery/Web-Content/raft-small-extensions-lowercase.txt
963 Discovery/Web-Content/raft-small-extensions.txt
10848 Discovery/Web-Content/raft-small-files-lowercase.txt
11424 Discovery/Web-Content/raft-small-files.txt
38267 Discovery/Web-Content/raft-small-words-lowercase.txt
43007 Discovery/Web-Content/raft-small-words.txtRAFTプロジェクトによって提供されるワードリストで、規模別にsmall/medium/largeが提供されています。
RAFTとは
Webアプリケーションの脆弱性を特定するためのテストツール
RAFT:Response Analysis and Further Testing Tool
largeは10万件規模で網羅性が高く、時間より精度を優先したいケースで有用です。
サブドメイン列挙
サブドメインの列挙は、自社システムの攻撃対象領域(Attack Surface)を正確に把握するうえで欠かせないプロセスです。
Discovery/DNS/subdomains-top1million-110000.txt
$ wc -l Discovery/DNS/subdomains-top1million-*
4989 Discovery/DNS/subdomains-top1million-5000.txt
19966 Discovery/DNS/subdomains-top1million-20000.txt
114442 Discovery/DNS/subdomains-top1million-110000.txtAlexa Top 1 Millionから抽出された頻出サブドメインのリストです。全世界の上位100万ドメインを対象に収集したサブドメインの統計データに基づいて構成されています。
パスワード診断
パスワードの強度チェックやログインフォームに対するブルートフォース攻撃の耐性評価では、SecListsが提供するパスワードリストが活用されます。
Passwords/Common-Credentials/xato-net-10-million-passwords-1000000.txt
$ wc -l Passwords/Common-Credentials/xato-net-10-million-passwords*
10 Passwords/Common-Credentials/xato-net-10-million-passwords-10.txt
100 Passwords/Common-Credentials/xato-net-10-million-passwords-100.txt
1000 Passwords/Common-Credentials/xato-net-10-million-passwords-1000.txt
10000 Passwords/Common-Credentials/xato-net-10-million-passwords-10000.txt
100000 Passwords/Common-Credentials/xato-net-10-million-passwords-100000.txt
1000000 Passwords/Common-Credentials/xato-net-10-million-passwords-1000000.txt
755995 Passwords/Common-Credentials/xato-net-10-million-passwords-dup.txt
5189454 Passwords/Common-Credentials/xato-net-10-million-passwords.txtXato(Mark Burnett氏)が収集した1,000万件規模のパスワードデータから、特に利用頻度の高いパスワードを抽出したリストです。
名称の通り、100万件のパスワードが収録されており、弱い認証設定を検出する際の検証データとして用いられます。
Passwords/Common-Credentials/probable-v2_top-12000.txt
$ wc -l Passwords/Common-Credentials/probable-v2_top-*
207 Passwords/Common-Credentials/probable-v2_top-207.txt
1575 Passwords/Common-Credentials/probable-v2_top-1575.txt
12645 Passwords/Common-Credentials/probable-v2_top-12000.txtprobable-v2系列は、複数の漏えいデータセットを元に利用頻度を分析し、人気順に並べられたパスワードリストです。
このリストは、Probable Wordlistsプロジェクトによって作成され、GitHub上で公開されています。
Passwords/Common-Credentials/darkweb2017_top-10000.txt
$ wc -l Passwords/Common-Credentials/darkweb2017_top-*
10 Passwords/Common-Credentials/darkweb2017_top-10.txt
99 Passwords/Common-Credentials/darkweb2017_top-100.txt
999 Passwords/Common-Credentials/darkweb2017_top-1000.txt
9999 Passwords/Common-Credentials/darkweb2017_top-10000.txt2017年にダークウェブ上で観測された漏えいパスワードを基に作成されたリストです。
Passwords/Common-Credentials/10k-most-common.txt
$ wc -l Passwords/Common-Credentials/10k-most-common.txt
10000 Passwords/Common-Credentials/10k-most-common.txt名称の通り、1万件の最も一般的なパスワードを収録したシンプルなリストです。既知の弱いパスワード(password、123456、qwertyなど)が中心で、設定ミスや弱いパスワードの検知が目的のセキュリティ診断では一定の効果があります。
Passwords/Leaked-Databases/rockyou.txt.tar.gz
$ zcat Passwords/Leaked-Databases/rockyou.txt.tar.gz | wc -l
143443912009年に発生したRockYou社のデータ漏えい事件で流出したパスワードを収録したリストです。1,400万件以上のパスワードが含まれているため、.tar.gz形式で圧縮されています。
ユーザー名・アカウント名推測
認証まわりの潜在的なリスクの洗い出しには、一般的な個人名やIT製品のデフォルトユーザー名をまとめたリストが有効です。
Usernames/Names/names.txt
$ wc -l Usernames/Names/names.txt
10713 Usernames/Names/names.txt欧米圏で一般的に使用されている姓・名を中心に、約1万件の個人名が収録されています。例えば、johnやtom、'smith'など、個人名として広く使われる単語を網羅しています。
Usernames/cirt-default-usernames.txt
$ wc -l Usernames/cirt-default-usernames.txt
828 Usernames/cirt-default-usernames.txtChris Sullo氏が設立したCIRT.netにて公開されたユーザー名リストです。
CIRT.netとは
Webサーバー向け脆弱性診断ツール「Nikto」の開発元として広く認知されています。
ネットワーク機器、ミドルウェア、商用アプライアンスなどで使われるデフォルトのユーザー名が約800件収録されています。例えば、admin、guest、operatorなどが含まれ、初期設定のまま稼働しているシステムの検査に活用できます。
Usernames/xato-net-10-million-usernames.txt
$ wc -l Usernames/xato-net-10-million-usernames.txt
8295455 Usernames/xato-net-10-million-usernames.txt前述のXato(Mark Burnett氏)が収集した約800万件のユーザー名リストです。
脆弱性テスト
URLパラメータおよびフォームパラメータに対して、意図的に不正値や想定外の値を入力し、アプリケーションの堅牢性を検証します。
Fuzzing/Databases/SQLi/Generic-SQLi.txt
$ wc -l Fuzzing/Databases/SQLi/Generic-SQLi.txt
268 Fuzzing/Databases/SQLi/Generic-SQLi.txtSQLインジェクションの検証文字列をまとめたリストで、or 1=1--やUNION SELECTなど代表的なパターンが網羅されています。
約260種類の検証文字列が収録されており、Webアプリケーションの入力バリデーションやWAFの検知ロジックの検証に役立ちます。
Fuzzing/big-list-of-naughty-strings.txt
$ grep -vE '^(#|$)' Fuzzing/big-list-of-naughty-strings.txt | wc -l
505このファイルは、文字列処理において不具合や想定外の挙動を引き起こす可能性のある文字列をまとめたリストです。Unicode文字、SQL/XSSペイロード、システムコマンドなど、約500件が収録されており、アプリケーションの文字列処理の堅牢性を確認する際に有効です。
例)収録されている文字列
- 予約文字列
- 特殊文字
- Unicode文字
- 引用符
- 2バイト文字
- 絵文字
- 地域表示記号
- インジェクション系 など
その他
Discovery/Infrastructure/nmap-ports-top1000.txt
$ cat Discovery/Infrastructure/nmap-ports-top1000.txt
1,3-4,6-7,9,13,17,19-26,30,32-33,37,42-43,49,53,70,79-85,88-90,99-100,106,109-111,113,119,125,135,139,143-144,146,161,163,179,199,211-212,222,254-256,259,264,280,301,306,311,340,366,389,406-407,416-417,425,427,443-445,458,464-465,481,497,500,512-515,524,541,543-545,548,554-555,563,587,593,616-617,625,631,636,646,648,666-668,683,687,691,700,705,711,714,720,722,726,749,765,777,783,787,800-801,808,843,873,880,888,898,900-903,911-912,981,987,990,992-993,995,999-1002,1007,1009-1011,1021-1100,1102,1104-1108,1110-1114,1117,1119,1121-1124,1126,1130-1132,1137-1138,1141,1145,1147-1149,1151-1152,1154,1163-1166,1169,1174-1175,1183,1185-1187,1192,1198-1199,1201,1213,1216-1218,1233-1234,1236,1244,1247-1248,1259,1271-1272,1277,1287,1296,1300-1301,1309-1311,1322,1328,1334,1352,1417,1433-1434,1443,1455,1461,1494,1500-1501,1503,1521,1524,1533,1556,1580,1583,1594,1600,1641,1658,1666,1687-1688,1700,1717-1721,1723,1755,1761,1782-1783,1801,1805,1812,1839-1840,1862-1864,1875,1900,1914,1935,1947,1971-1972,1974,1984,1998-2010,2013,2020-2022,2030,2033-2035,2038,2040-2043,2045-2049,2065,2068,2099-2100,2103,2105-2107,2111,2119,2121,2126,2135,2144,2160-2161,2170,2179,2190-2191,2196,2200,2222,2251,2260,2288,2301,2323,2366,2381-2383,2393-2394,2399,2401,2492,2500,2522,2525,2557,2601-2602,2604-2605,2607-2608,2638,2701-2702,2710,2717-2718,2725,2800,2809,2811,2869,2875,2909-2910,2920,2967-2968,2998,3000-3001,3003,3005-3007,3011,3013,3017,3030-3031,3052,3071,3077,3128,3168,3211,3221,3260-3261,3268-3269,3283,3300-3301,3306,3322-3325,3333,3351,3367,3369-3372,3389-3390,3404,3476,3493,3517,3527,3546,3551,3580,3659,3689-3690,3703,3737,3766,3784,3800-3801,3809,3814,3826-3828,3851,3869,3871,3878,3880,3889,3905,3914,3918,3920,3945,3971,3986,3995,3998,4000-4006,4045,4111,4125-4126,4129,4224,4242,4279,4321,4343,4443-4446,4449,4550,4567,4662,4848,4899-4900,4998,5000-5004,5009,5030,5033,5050-5051,5054,5060-5061,5080,5087,5100-5102,5120,5190,5200,5214,5221-5222,5225-5226,5269,5280,5298,5357,5405,5414,5431-5432,5440,5500,5510,5544,5550,5555,5560,5566,5631,5633,5666,5678-5679,5718,5730,5800-5802,5810-5811,5815,5822,5825,5850,5859,5862,5877,5900-5904,5906-5907,5910-5911,5915,5922,5925,5950,5952,5959-5963,5987-5989,5998-6007,6009,6025,6059,6100-6101,6106,6112,6123,6129,6156,6346,6389,6502,6510,6543,6547,6565-6567,6580,6646,6666-6669,6689,6692,6699,6779,6788-6789,6792,6839,6881,6901,6969,7000-7002,7004,7007,7019,7025,7070,7100,7103,7106,7200-7201,7402,7435,7443,7496,7512,7625,7627,7676,7741,7777-7778,7800,7911,7920-7921,7937-7938,7999-8002,8007-8011,8021-8022,8031,8042,8045,8080-8090,8093,8099-8100,8180-8181,8192-8194,8200,8222,8254,8290-8292,8300,8333,8383,8400,8402,8443,8500,8600,8649,8651-8652,8654,8701,8800,8873,8888,8899,8994,9000-9003,9009-9011,9040,9050,9071,9080-9081,9090-9091,9099-9103,9110-9111,9200,9207,9220,9290,9415,9418,9485,9500,9502-9503,9535,9575,9593-9595,9618,9666,9876-9878,9898,9900,9917,9929,9943-9944,9968,9998-10004,10009-10010,10012,10024-10025,10082,10180,10215,10243,10566,10616-10617,10621,10626,10628-10629,10778,11110-11111,11967,12000,12174,12265,12345,13456,13722,13782-13783,14000,14238,14441-14442,15000,15002-15004,15660,15742,16000-16001,16012,16016,16018,16080,16113,16992-16993,17877,17988,18040,18101,18988,19101,19283,19315,19350,19780,19801,19842,20000,20005,20031,20221-20222,20828,21571,22939,23502,24444,24800,25734-25735,26214,27000,27352-27353,27355-27356,27715,28201,30000,30718,30951,31038,31337,32768-32785,33354,33899,34571-34573,35500,38292,40193,40911,41511,42510,44176,44442-44443,44501,45100,48080,49152-49161,49163,49165,49167,49175-49176,49400,49999-50003,50006,50300,50389,50500,50636,50800,51103,51493,52673,52822,52848,52869,54045,54328,55055-55056,55555,55600,56737-56738,57294,57797,58080,60020,60443,61532,61900,62078,63331,64623,64680,65000,65129,65389,280,4567,7001,8008,9080このファイルは、Nmapが利用する上位1,000ポートのリストです。このポートは、実際のインターネット上の利用頻度に基づいて選定されており、スキャン効率を高めるための重要なリストとなっています。
あわせて読みたい
【ポートスキャン実例付き】Nmapとは?コマンドの使い方を徹底解説!
Nmapについてゼロから学びたい方のために、「Nmapとは」から「具体的なコマンドの使い方」までを分かりやすく解説します。ネットワーク診断やセキュリティ対策に活用できるコマンド例も具体的に取り上げ、実務に役立つ知識を身につけられる内容となっています。