NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Hacker Tools, Techniques, Exploits and Incident Handling
Penetration Testing and Ethical Hacking
English2021年7月5日(月)~7月10日(土)
1日目: 8:30-19:15
2日目~6日目: 9:00-17:30
オンライン
810,000円(税込 891,000円)
※オプション価格は、講義と同時にお申込いただく場合にのみ有効です。
※講義へのお申し込み後、講義開始までの間に追加でお申し込みいただく場合は、事務手数料(10,000円(税込 11,000円))が必要です。
※講義開始後は、こちらのページ(英語)を参照のうえ、GIACへ直接お申し込みください。
※コース開始後の英語教材の追加お申し込みは承れませんのでご了承ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
SANSトレーニングを有意義に受講していただくには、以下の環境のノートPCが必要です。お持ちいただいたノートPCは、コースでご用意する演習用のネットワークに直接接続していただきますので、有線LANで接続できるよう、事前に正しく設定してください。以下のバージョンまたはそれ以上のVMwareを事前インストールする必要があります。
VMware Workstation Player 15、VMWare Fusion 11、またはVMware Workstaion 15、VMWare workStation Pro 15.5以上、Vmware Workstation Player 15.5以上、またはVmware Fusion 11.5以上を含みます。これらのいずれかを無料で30日間試用することができます。
本コースでは、VMwareイメージとして、12GBを超えるLinux仮想マシンファイルを使用します。そのため、HDD空き領域として100GBを超える空き領域があることだけではなく、ファイル単体で3GBといった大容量ファイルの読み書きができるファイルシステムである必要がありますので、NTFSファイルシステムで構成した環境をご用意ください。また、VMwareイメージとして、Windows10仮想マシンファイルも含まれているため、ラボでは、ホストシステムの代わりに使用することもできます。
重要事項:演習によっては、ウィルス対策ソフト(製品)を一時的に無効にしていただく場合がありますので、ウィルス対策ソフトを無効にできる管理者権限が利用できることを必ず確認してください。ウィルス対策ソフトのサービスやプロセスを停止すればよいか、という考えは間違いです。ほとんどのウィルス対策ソフトはたとえサービスやプロセスを停止したとしても、まだ機能は有効なままです。多くの企業でクライアントを管理しているウィルス対策ソフトは、クライアントのAdministratorアカウントと別のパスワードを設定してあります。必ずウィルス対策ソフトの管理者パスワードを確認しておいてください。
システムにエンタープライズグループポリシーを適用しないでください。これらのポリシーは、演習に影響を与える可能性があります。VPNクライアントは、講義に参加する際に必要なネットワーク構成を妨げる可能性がありますので、インストールされている場合には、アンインストールしてください。
演習では、VMwareを使用してWindowsとLinuxのOSを2つ同時に使用します。受講前に、VMware Workstationをシステムにインストールしておいてください。VMware Workstationのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
また、MacbookやMacbook Proを使用する場合には、VMware Fusionをインストールしておいてください。
VirtualBoxは本コースのサポート対象外となり演習の妨げになりますので、インストールしないでください。
このコースでは、アタックツール一式が入ったUSBメモリを受講者に配布し演習を行います。使用後にお持ち帰りいただき、すぐに今後の分析に役立てることができます。また、ツールを事前インストールしたLinuxイメージ も配布しますので、 VMware Workstation上ですぐにご利用いただけます。
VMware用のLinuxイメージを配布するので、受講者がLinuxシステムをご持参いただく必要はございませんが、仮想マシンを動作させるためVMware Workstationをご用意する必要があります。VirtualPCなどVMware以外の仮想化ソフトウエアは、受講時のサポート対象外となりますのでご注意ください。
Linuxにあまり慣れていない方向けに、Linuxを紹介した短時間の動画を用意しています。
このコースのワークショップでは、地球上で最も危険なネットワークのひとつに接続します。ご持参いただいたノートPCが攻撃を受けるかもしれません。したがって、システム上にいかなる機密情報も保存しないでください。演習中、他の受講者にアタックを仕掛けられたとしても、SANSは一切の責任を負いません。要件を満たした機器を事前に正しく設定してご持参いただければ、このコースで習得する内容を最大限に活用することができ、楽しんでいただけることでしょう。
※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されます。本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)
インターネット上には、強力なハッキングツールとそれらを大々的に使用する悪意ある者が存在します。組織のコンピュータシステムがインターネットに接続されている、または組織内部に不満を抱いた従業員がいるという場合、システムは攻撃を受ける可能性が高いと言えるでしょう。悪質ハッカーがインターネット経由で攻撃を仕掛けたり、内部関係者がたやすく重要な情報資産にアクセスしたり、アタッカーは悪質・巧妙な手口をさらに増幅させながら、組織のシステムをねらっています。そのため、ディフェンダーとしては、これらのハッキングツールや手法を理解することが必要となります。
このコースは、このような悪意者のねらいとその手口を詳細に理解し、それを踏まえた脆弱性の発見と侵入検知の実技経験を養い、総合的なインシデントハンドリングが行えるようになることを目的としています。受講を通じて得られる知識とスキルによってアタッカーより優位な立場に立てるでしょう。このコースでは、いまだ幅をきかせている”古き良き”タイプの攻撃から今まさに最新の狡猾な攻撃ベクトルに至るまで、あらゆる種類の攻撃手法を押さえます。単なるハッキング攻撃技術の講義にとどまらず、アタッカーによる攻撃手法を詳細に見ていくことで攻撃に対する準備、検知、レスポンスを可能にし、段階的なプロセスを経たコンピュータインシデントレスポンス手法の習得を目指します。そして、従業員の監視や法的措置を取る際の手順、証拠の保全といった、コンピュータアタックのレスポンスに絡む法的な問題についても取り上げます。最後に、受講生は、システムのスキャンやエクスプロイト、防御に焦点を当てた実践的なハンズオンワークショップを体験します。
このコースは、特にインシデントハンドリングに携わる方の受講をお勧めします。また、一般的なセキュリティ業務、システム管理、セキュリティ構築などを担当している方にも、攻撃の阻止、検知、レスポンスを行うためのシステム設計、構築、運用の方法が理解できるという点で有益でしょう。
ただし、このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、しかるべきテストを経て適用することも重要です。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
「私が18歳のとき、学校のカード目録サーバーをハッキングしたことが発覚しました。。その後私は学校から追い出されるのではなく、なんとそのまま学校職員になり、その後10年間を費やして、セキュリティーの改善に取り組む一方で、ハッカー向けツールの活用、エクスプロイトの作成、新しい手法の開発、そして猛威を振るう攻撃へのより良い対応方法の構築に努めてきました。こうした中で気が付いた点として、私が管理していたシステムの防御能力を評価し、改善するための方法として攻撃者のテクニックを理解することに多くのメリットがあるということでした。
SEC504では、インシデントレスポンス分析者の視点から、現代の攻撃者が使用しているハッカーツール、テクニック、およびエクスプロイトについて掘り下げています。ここでは、偵察から搾取、スキャンからデータ略奪まで、あらゆることを取り上げます。このコースの講義、実践的な演習、没入型のキャプストン・イベントでは、ネットワーク・セキュリティーに関する適切な判断を行うために必要なツールと手法を学ぶことができます。ハッカーの考えを学び、攻撃を識別し、高度な攻撃者からネットワークを保護するための準備が整います。」
Joshua Wright
どのような規模にせよインシデント対応することは複雑な作業です。効果的なインシデントレスポンスには、ビジネスや情報セキュリティに関する懸念事項を含む、複数の利害関係者との慎重な検討とインプットが必要です。日々新たな脆弱性が発見されており、常に侵入の可能性はあります。オンラインの侵入に加えて、火災、洪水、犯罪などの物理的なインシデントには、システムやサービスを可能な限り迅速かつ安全にオンラインに戻すために、しっかりとしたインシデントレスポンスのアプローチが必要です。
Day1では、インシデントレスポンスとデジタル調査の両方の重要な要素を検討することから始まります。いくつかのインシデントから情報を得て、ビジネス運営とセキュリティの両方にとって重要な目標と結果を検討します。提示されたダイナミックなアプローチは、個々のビジネスやインシデントに関する特定のニーズに適用可能です。次に、より実践的な課題へと移行し、ライブシステムを取り巻く問題を検討し、異常な活動を特定します。さらに実践的な焦点を継続しつつ、ネットワークとメモリからの証拠を調査するための調査技術にも注目します。また、未知のプログラムが悪意のあるものかどうかを判断し、悪意のあるものであれば、どのような足跡が残されているかを判断するための技術も取り上げます。
皆さんの会社のネットワークは、潜在的な攻撃者に膨大な量の情報を提供しています。情報漏洩やオープンソース情報(OSINT)に加え、攻撃者はシステムの詳細なスキャンを行い、防御を突破するための突破口を探索しています。攻撃者は、ネットワークに侵入するために、脆弱なDMZシステムやプラットフォーム、脆弱なWi-Fiや独自の無線システムなど、侵入チャンスのあるターゲットを探し出しています。さらに攻撃者は、複雑な Windows Active Directory ドメインの詳細なスキャンと調査を行い、構成ポリシーを識別して操作することで、より有利な立場に立とうとしてます。
Day2では、多くのサイバー攻撃の初期段階に関わる詳細情報をカバーしています。MITRE ATT&CK Frameworkを通して、モダンな攻撃者のツール、技術、実践(TTP)を理解するための重要なフレームワークを紹介し、攻撃者が行う攻撃前のステップを調査する出発点としています。さらに、ローカルおよびクラウドベースのツールを活用して、ターゲット組織の効果的な偵察を行い、最初の侵害の弱点に関する情報を開示・特定します。次に、ネットワークの観点から、また最新の Windows Active Directory フフォレストの複雑さに焦点を当て、攻撃者に特権的なアクセスを与える攻撃計画を作成するためのスキャン技術を深く掘り下げていきます。また、組織への攻撃を検出するための優位性を提供する無料のオープンソースのツールを使用した防御技術にも注目します。
パスワードの漏洩はエクスプロイトの漏洩よりまだ良い、とどの攻撃者も同じことを言うでしょう。有効なユーザ名とパスワードによるシステムアクセスは、エクスプロイトよりも信頼性が高いだけでなく、認証された資格情報を使用することで、通常のシステム使用に溶け込み、検出につながるログやシステムの異常を見せにくくすることができます。このような攻撃が非常に蔓延しているため、パスワードベースの攻撃を詳細に掘り下げ、防御しなければならない高度な攻撃者と同じスキルとテクニックでシステムをテストするためのツールを提供しています。
Day3は、簡単なパスワード推測攻撃から始まり、アカウントロックアウトなどの防御システムを回避する効果的なプロセスを採用するために攻撃者が採用しているテクニックを素早く調査します。別のネットワーク侵害から効果的なパスワード推測リストを作成することや、攻撃者がどのようにしてユーザーのパスワードを再利用して組織を攻撃するかなど、重要なトピックを調査します。また、パスワードハッシュの背後にあるアルゴリズムを掘り下げ、いくつかのツールを使用して、クラッキングプロセスを数年ではなく数日で完了させるようにを最適化しながらパスワードの平文復元を行います。また、簡単なバックドア、フォワードシェルとリバースシェル、組織内でのデータ転送の離散などを利用して、本質的なネットワーク攻撃のトピックを理解するための第一歩を、気取らないシステムバイナリを通して踏み出します。また、組織内の認証ログを監視するためのドメインパスワード監査ツール(DPAT)やElastic Stack(旧ELK)ツールの使用など、業務に戻ってからすぐに活用できる防御策についても調査します。
外部からの攻撃やDrive-By攻撃は、組織にとって深刻なリスクであり、組織を標的とする攻撃者にとっては一般的な攻撃トレンドとなっています。ウェブアプリケーション、VPNサーバ、電子メールシステム、およびその他のサポートプロトコルなどに対する外部からの攻撃ターゲットは、攻撃者によって迅速に特定され、脆弱性を評価されます。Drive-By攻撃では、攻撃者はサードパーティの正当なウェブサイトを利用し、ユーザーを騙してシステムを脆弱にするような行動を取らせます。
Day4では、Metasploit などのエクスプロイトフレームワークを使用して、公開されたシステムを侵害するハッカーツールを調査します。また、Drive-By攻撃や水飲み場攻撃の背後にある概念とテクニックを掘り下げ、悪意のあるインストーラ、ブラウザのJavaScript、悪意のあるMicrosoft Office文書を介して、攻撃者がどのようにしてエクスプロイトやシステム侵害ツールを作成するかを調べます。また、組織におけるWebアプリケーションに特有の攻撃を、認証されていないユーザと認証されたユーザの両方の観点から、最も一般的なWebアプリケーションの脆弱性に対する実践的な悪用手順とともに検証します。ハッカーツールの調査に加えて、Windows SRUMデータベースを使用したシステムアクティビティの履歴レポート作成や、Webサーバのログデータを調査して攻撃の兆候を特定するためのElastic Stack (旧ELK)ツールの使用など、いつでも利用可能で実用的ないくつかの防御策を調査します。
攻撃者の目的は、単にシステムを侵害することではありません。多くの場合、攻撃者による侵害はあくまでも最初のステップであり、その後、さらなるネットワークアクセスや組織内の機密データの取得を目的としたポストエクスプロイト攻撃が行われます。その過程で攻撃者は、エンドポイント保護、サーバのロックダウン、制限された特権者環境など、その攻撃活動を阻止するために設計された防御策に対処しなければなりません。
Day5では、初期の侵害が終わった後の攻撃者のステップを検証します。EDRプラットフォームを回避した後、攻撃者がマルウェアを埋め込むために使用するテクニック、サードパーティ製および組み込みのツールを使用してネットワークを踏み台を経由して移動する方法、ネットワークの内部スキャンおよび情報資産探索のためのネットワーク上のはじめの一歩の活用方法を掘り下げていきます。さらに、1つのホストの侵害が、攻撃者に特権的なネットワークインサイダーアクセスを与え、攻撃が新しい分野を切り開く方法と、そのアクセスを賢く利用して、検出システムを回避するためにホストやネットワーク上の痕跡を隠蔽する方法を見ていきます。また、攻撃者が最初のアクセスを確立したのち、侵害されたネットワークからどのようにアクセスし、データを収集し、流出させるかを見ていきます。そして、新しいスキルを永続的で長期的な記憶に変えるためのリソースとベストプラクティスを検討し、コース終了後のゴールはどこかを見定めて、コースの講義のコンポーネントを終了します。
長年にわたり、セキュリティ業界は攻撃者を食い止めるために、より賢く、より効果的になってきました。残念ながら、攻撃者自身も賢くなり、より洗練されてきています。攻撃者を阻止する最も効果的な方法の1つは、攻撃者が使用するのと同じツールや戦術で実際に環境をテストすることです。このCapture-the-Flagイベントは、最近侵害された架空の会社のコンサルタントとして働くという、1日体験型のイベントです。最新の洗練されたネットワーク環境を侵害するために攻撃者が使用するのと同じテクニックを使用して、授業で学んだスキルをすべて活用します。グループでチームを組んで、Windows、Linux、Io T、クラウドなど、サイバー上のさまざまなターゲットシステムを対象に、スキャン、エクスプロイト、ポストエクスプロイトのタスクを行います。このハンズオンチャレンジは、現代のネットワークを再現した環境の中で、各プレイヤーがそれぞれのスキルを練習し、コース全体で学んだ概念を強化することができるように設計されています。NetWarsエンジンを搭載したこのイベントでは、ターゲットシステムへの侵入、エンドポイント保護プラットフォームの回避、内部ネットワークの高価値ホストへの移行、ターゲット組織にとって最大の価値を持つデータの流出を成功させるためのガイドをプレイヤーに提供します。優勝者にはSEC504チャレンジコインが贈られます。