NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Open-Source Intelligence (OSINT) Gathering and Analysis
Blue Team Operations
English2022年8月29日(月)~9月3日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
オンライン
960,000円(税込 1,056,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:以下の手順に従って設定されたPCを各自用意してください。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。また、利用するノートPCには個人情報や企業の情報を含まない、安全なものである必要があります。
注意 : M1プロセッサ搭載のapple社製品は現時点で必要な仮想化を行うことができないため、使用できません。
ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows 10、Mac OS 10.15.x、またはLinuxのいずれかの64bit版を使用してください。また、クラスでVMが正常に機能するためには、8GB以上のRAMが必要です。
最新のUSB 3.0デバイスを利用するために、事前にホストOSを完全にアップデートし、正しいドライバとパッチをインストールしておくことが必要です。
Linuxホストを使用する場合は、適切なカーネルまたはFUSEモジュールを使用してexFATパーティションにアクセスできるようにする必要があります。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。64 bit対応のノートPCを利用することに加えて、BIOS/UEFIがAMD-V、Intel VT-x、または同等の仮想化機能をサポートしており有効になっている必要があります
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation Pro 15.5、VMware Fusion 11.5、VMware Workstation Player 15.5以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
VirtualBoxやHyper-Vなどの他の仮想化ソフトウェアは、互換性やトラブルシューティングの問題があるため、適切ではありません。
Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10のCredential GuardおよびDevice Guardテクノロジーと互換性がありません。これらの機能がシステムで有効になっている場合は、授業中は無効にしてください。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)
コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、10 -15 GBといった大きさのものがあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
本コースは、オープンソース・インテリジェンス(OSINT)に関する情報収集の基礎コースであり、そのため、この分野の多くを迅速に知ることができます。このコースはOSINTについて学びたい人のための入門コースですが、学べる概念やツールは基本的なものとは程遠いものです。このコースの目標は、受講者がサイバーディフェンダー、脅威インテリジェンスアナリスト、保険金支払査定人、インテリジェンスアナリスト、警察関係の職員、または単にOSINTに興味がある人であるかどうかにかかわらず、それぞれの分野で実績を上げるためのOSINTの基礎知識を提供することです。
多くの人は、お気に入りのインターネットの検索エンジンを使えば、必要なデータを見つけるのに十分であると考えていて、インターネットのほとんどが検索エンジンによってインデックス付けされていないことに気付いていません。SEC487は、これらのデータを見つけるための効果的な方法を受講生にご提供します。法執行機関、私立探偵、サイバー攻撃者・防御者がインターネット上で発見された大量の情報を精査するために使用する実戦的なスキルとテクニックを学びます。情報が得られたら、それが正しいことを確認する方法、収集したものを分析する方法、および調査に役立つようにする方法を紹介します。
このコースでは、インターネットやダークウェブを利用した25以上の実戦的な演習でコース教材を補強し、クイズなどで知識を確認することができます。単に教材を提供するだけでなく、その習得を支援するものなのです。また、調査目標を達成するための特定のツールやテクニックを学び、それぞれの手順を示したフローチャートを通じてプロセスを詳細に学びます。
このコースでは、法的調査のために容疑者を見つけようとしている場合でも、特定の職階に関する求人の候補者を特定しようとしている場合でも、ペネトレーションテストのためのホスト情報を集めようとしている場合でも、ディフェンダーとしてハニートークンを検索しようとしている場合でも、仕事に役立つテクニックを教えてくれます。SEC487が提供するOSINTに関連する知識は、次のような方に役立つでしょう。
・OSINT捜査に携わる方
・サイバーインシデント対応に携わる方
・スレットインテリジェンス・アナリスト
・デジタルフォレンジック・アナリスト
・金融犯罪捜査に携わる方
・人事担当
・保険調査員
・インテリジェンス・コミュニティの関係者
・法執行機関の関係者
・ペネトレーションテスト/オフェンシブセキュリティテストに携わる方
・私立探偵
・採用担当者/採用担当代行
・セキュリティ意識向上の担当者
GIAC Open Source Intelligence
GOSI認定資格は、実務家がOSINTの方法論とフレームワークに関する強固な基盤を持ち、データ収集、レポート、ターゲット分析に精通していることを確認するものです。
私は、インターネット上にあるデータの種類と量にいつも興味をそそられてきました。外国の街の美味しいレストランのリサーチから、ビデオカメラで人々を観察することまで、すべてが私を魅了しています。インターネットが進化するにつれ、より質の高いリアルタイムのリソースが利用できるようになり、毎日が休日のように、新しい不思議なツールやサイトがオンラインで自由にアクセスできるようになりました。
ある時点で、私はもはやウェブ上の素晴らしいリソースに畏敬の念を抱くことはなくなり、代わりに、人々が違法もしくは危険をさらす状況にある自分の画像を投稿したり、ユーザープロフィールにそのような露骨で詳細なコンテンツが含まれていることに驚きを覚えるようになりました。私の驚きは、このような人々への懸念へと変化しました。私が発見したのは、人、ネットワーク、会社の情報について、それらの情報が見つかりやすい場所が特定できれば、ほとんど何でも見つけることができるということでした。一見無意味に見えるデータの断片を、意味のあるストーリーにまとめることが、私の情熱となり、最終的にはこのコースを設立する理由となりました。
私は、OSINTに関する素晴らしいパフォーマンスを発揮する障壁は、インターネット上に無料のデータがないことではないと認識しています。インターネット上にはあまりにも多くのデータが存在してます。課題は『どうやって何かを見つけるか』から『どうやって必要なものだけを見つけるか』へと変化していきました。このコースは、インターネットからOSINTデータを効果的に収集し、分析するためのツールとテクニックを学びたい人たちを支援する必要性から設立されました。 -Micah Hoffman
1日目のセクションでは、このコースで使用する一般的な用語と技法を紹介します。すべての受講生が共通の言葉で会話でき、コアとなる概念を理解している状況を目指します。このSEC487コースは多様な受講生が受講しているため、すべての受講生の共通となるベースを作ることは、議論を円滑に進めるためだけでなく、日々高いレベルへと進んでいくために不可欠です。
このセクションでは、受講生がOSINTデータを収集し始める前に調査・準備しておく必要がある内容にフォーカスしています。OSINTとは何かについての議論、OSINT収集のプラットフォームのセットアップ、OSINTデータを客観的に文書化・分析するための方法、調査用のアカウントとサブアカウントの利用などが含まれています。
OSINT調査官は、ほとんどの評価で、検索エンジンのクエリ、画像の分析、ファイルのメタデータの調査など、特定のテクニックを実行します。このセクションでは、データの検索、ダウンロード、そのデータの意味の分析を行い、その後そのデータがオンライン上の他の場所に存在しているかどうかの確認まで行います。
検索エンジンはインターネット上のデータのインデックス作成に大きな役割を果たします。そのため、セクション2ではまず検索エンジンの仕組みとその使い方について詳しく説明します。続いて、コマンドラインやWebベースのツールを使って、ファイルやWeb上のデータを迅速かつ安全に取得するテクニックを学びます。ファイルやデータの収集方法をしっかりと理解した上で、画像のコンテンツを分析し、それらのファイルからメタデータを抽出する方法を学びます。これにより、遠隔地の調査や、調査に使えるビデオ映像の発見、ジオロケーションのテクニックなどに使える画像や地図サイトについて、話を進めていきます。
人が行動をすることにより、ネットワーク上にはデータが生成されます。例えば、写真や動画がある場所で投稿されたり、共有されたり、それらについての議論が始まったりします。これらの情報はOSINT調査で重要となる内容です。ほとんどのOSINT調査者は、人が何をどこで行うか、に調査の重点を置いています。一部の調査者にとっては、その重要度は低いかもしれませんが。
受講生のみなさんが人に関するOSINT情報にどの程度の重点を置くかはさておき、3日目は人に関する調査のスキルを教えます。人に関する情報、例えばメールアドレスやユーザ名などから講義が始まり、それらの情報をもとにしたユーザ行動の調査へと発展させていきます。また、そうした情報はソーシャルメディアプラットフォームに蓄積されていることが多いので、かなりの時間をソーシャルメディアに関する説明に費やします。
4日目はコンピュータに焦点を当てたOSINTデータについて講義を進め、ドメイン、IPアドレス、ウェブサイトの調査方法など、OSINT調査者にとって必要な能力を学びます。このセクションでは、人の活動とソーシャルメディアに主に焦点を当て、あたらしい技法をご紹介します。ITとサイバーセキュリティの深いスキルを持つ受講生には、ドメインやWebサイトの調査を強力に行うためのツールとその活用のテクニックをご紹介します。
WebサイトはOSINTの研究者にとってメインとなる調査対象であるため、4日目はその調査方法から講義を開始します。次に、サイト上のデータの調査を取り上げ、最後にWebサイトをホストするサーバーの分析方法で講義を締めくくります。多くのWebサイトはドメインに関連付けられているため、コースのトピックは、ドメインの所有者と登録場所を調査するための方法へと進んでいきます。ドメインは通常IPアドレスとひもづけられるため、IPアドレスの調査方法や、IPアドレスによりネットワーク上のデータを検索する方法について学びます。
ネットワーク接続に関する情報をもとに、他のIT基盤との関連性を導き出せる場合があります。4日目の講義では、Webサイトで取得できる情報だけでなく、それ以外の情報に至るまで、あらゆる側面の情報を調査するテクニックを学びます。
5日目の主なトピックは、ビジネスOSINTとダークウェブの2点です。受講生は会社名(ビジネスネーム)について学び、誰がビジネスを運営しているのか、どこで会社が仕事をしているのか、その会社のブランドや評判について人々がどう考えているのかを把握できるようになります。
その後、コースの内容はダークウェブへと移ります。学生は、ダークウェブがどのように機能しているのか、そして人々がなぜそれらを使用するのか、OSINT調査においてどのようにダークウェブにアクセスするかを学びます。また、Tor(ダークウェブネットワーク)がどのように機能するか、Torのオニオンサービスにアクセスするためにはどのようなソフトウェアを使用するか、Tor内のデータをどのように調査するかについても学びます。
第5章では、自動化されたWebサイトやツールを使ってオンラインデータを効率的に収集・利用する方法を紹介し、違反データをOSINT捜査に利用する方法を明らかにします。
このセクションの最後には、Solo Capture-the-Flag (CTF)と呼ばれる大規模な演習が用意されています。楽しくかつやりがいのある演習を通して、コースで学んだツールやスキルを実践していきます。コースで学んだ概念の多くに触れるガイド付きのウォークスルーを通じて、学生は自分のスピードでCTFチャレンジの問題に取り組みます。授業で学んだOSINTのプロセスを整理して取り組む時間を設けることで、重要なコンセプトをより理解し、OSINTのプロセス、手順、テクニックを実行する練習ができます。
6日目には、本コースの総仕上げとして、コース全体で学んだことをまとめて実践するグループイベントが実施されます。このイベントは、特定のフラッグが埋められていて、チームがそれを見つけなければならない定型のキャプチャー・ザ・フラッグイベントではありません。これは、各チームがあるターゲットに関する特定のOSINTデータを収集する競技です。この作業のアウトプットは、「クライアント」(インストラクターやクラスメイト)に「成果物」として提出されます。この数時間のハンズオンイベントは、直前のセクションで実施したソロCTFで練習した内容がさらに強化され、プレッシャーが与えられる中、グループでOSINT評価を行うことの難しさの要素が加わっています。