NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Mobile Device Security and Ethical Hacking
Penetration Testing and Ethical Hacking
English2023年6月26日(月)~7月1日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
オンライン
【早期割引価格】1,080,000 円(税込み 1,188,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格 1,200,000円(税込み 1,320,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要! 次の手順に従ってシステムを構成してください。
この講義に完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読んで従わないと、このコースに不可欠な実践的な演習に参加できず、満足できないまま講義が終了してしまう可能性があります。したがって、指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
このコースでは、高度な演習システムを使用することで学習目的に費やす時間を最大化し、セットアップとトラブルシューティングに費やす時間を最小限に抑えます。
トレーニングには、最新バージョンのWindows 10またはmacOS 10.15.x以降を使用できます。講義のためのネットワークに接続するには、有線ネットワークアダプタが必要です。ノートパソコンのディスプレイが大きいほど、ラボでの操作性が向上します (スクロールの量が少なくなります) 。
注意:M1プロセッサを使用したApple社のシステムは、必要な仮想化機能を実行できないため、本コースに使用することは一切できません。
コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、40 -50 GBといった大きさのものがあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
攻撃対象面が組織全体・全ユーザに掌握されているような状況を想像してみてください。攻撃対象面は、定期的にある場所から別の非常に機密性の高い重要なデータを保存している場所へと移動し、攻撃にうってつけのさまざまな種類のワイヤレス・テクノロジーを弄びます。残念ながらそのような攻撃対象面が今日すでに存在してしまっています。それはモバイルデバイスです。モバイルデバイスはほとんどの組織において最大の攻撃対象となっている一方で、多くの組織は、デバイスを評価するために必要なスキルを持ち合わせていません。
SEC575: Mobile Device Security and Ethical Hackingは、Apple iOSおよびAndroidデバイスのセキュリティ上の長所と短所を理解するためのスキルを提供するよう設計されています。モバイルデバイスはもはやただ便利なだけのテクノロジーではありません。モバイルデバイスは既に世界中のユーザーが常に携帯する日常不可欠なツールとなっており、企業の日常活動におけるデータの必要性に応じて従来のコンピュータの代替となっています。こうした傾向は、世界中の企業、病院、銀行、学校、小売店などで見られています。ユーザーは今、かつてないほどモバイルデバイスに依存しています。SEC 575の講義では、こうしたデバイスの全領域を調査・確認していきます。
SEC 575で学んだスキルを使うことにより、ビルトインアプリケーションやサードパーティ製アプリケーションのセキュリティ上の弱点を評価できます。プラットフォームによる暗号化をバイパスし、クライアントのセキュリティー技術をかいくぐるためのアプリケーションの操作について学びます。自動・手動のモバイルアプリケーション分析ツールを活用して、モバイルアプリのネットワークトラフィック、ファイルシステムのストレージ、およびアプリ間通信チャネルの欠陥を見つけ出します。また、サンプルのモバイルマルウェアを使用してAndroidとiOSにおけるデータ漏えいとアクセスの脅威を把握し、ロック画面をかいくぐって紛失・盗難されたデバイスが悪用されるケースを学習します。
コースを通して、革新的なCorelliumプラットフォームを使用し、現実的な環境でiOSとAndroidのペネトレーションテストを体験することができます。Corelliumは、最新バージョンでもフルルートでアクセスできる仮想化されたiOSおよびAndroidデバイスを作成することができます。このプラットフォームを使用することで、SEC575の受講生は、SSH/ADB機能やさまざまな強力なツールにアクセスしながら、自分のブラウザ上ですぐに自分のスキルを試すことができます。
モバイルデバイスの脆弱性や脅威を理解して特定すること自体は価値あるスキルですが、関連するリスクを伝える能力が伴わなくてはなりません。このコースでは、主要な関係者に対して脅威を効果的に伝える方法を学びます。OWASP Mobile Application Security Verification Standard (MASVS) などの業界標準によりアプリケーションを評価し、リスクを理解し、管理者層や意思決定者に対して脅威の特徴をつまびらかにする方法を学習します。また、開発者が社内アプリケーションのリスクに対処する際に使用できるサンプルコードとライブラリを提示します。
モバイルデバイスの導入は、悪質なマルウェア、データ漏洩、企業秘密・知的財産・攻撃者への個人情報の露呈など、組織に新たな脅威をもたらします。さらに問題を複雑にしているのは、安全に携帯電話やタブレットの配備について定義・管理するためのセキュリティスキルを備えた人材が不足していることです。このコースを修了すれば、モバイルデバイスのセキュリティを評価し、モバイルアプリケーションの欠陥を効果的に評価・特定し、モバイルデバイスのペネトレーションテスト (モバイルデバイス導入・展開を保護および防御するために必要なすべての重要スキル) を実施する準備が整った人物として、ご自身を差別化することが可能です。
GIAC Mobile Device Security Analyst (GMOB) として認定される過程を通じ、システムとネットワークの保護の担当者は、重要情報にアクセスするモバイルデバイスを適切に保護する方法を習得できます。GMOB認定の保有者は、モバイルデバイスとアプリケーションのセキュリティを評価・管理し、マルウェアやデバイスの盗難における被害を軽減することに関して知識をもつことが実証されている方です。
受講者は、SANS SEC 504でカバーしているネットワークペネトレーションテストの概念に精通している必要があります。
最初のiPhoneが発売されたのは2007年で、その時がスマートフォン時代の出発点と考えられています。過去10年間でスマートフォンは単純なものから、生体認証、顔認識、GPS、ハードウェアベースの暗号化、高解像度画面など信じられないほど高度な機能を備えた強力なデバイスへと成長しました。ここ数年でさまざまなスマートフォンプラットフォームが開発されてきましたが、AndroidとiOSが勝利を収めたのは明らかです。
スマートフォンは最初からしっかりしたユーザエクスペリエンスを提供してくれますが、アプリのエコシステムはおそらくモバイルOSの中で最も強力な側面です。Google PlayとApple App Storeのどちらにも、プラットフォームの有用性を高める何百万ものアプリケーションがあり、ゲームから金融アプリケーション、ナビゲーション、映画、音楽、その他数え切れないほどのサービスが含まれています。
多くの人のスマートフォンには個人的な生活と仕事の両方に関する信じられないほど大量のデータが含まれています。これらのデータの安全性を維持することは、OSとモバイルアプリケーション開発者の両方にとって最大の関心事です。しかし、今日では多くの企業が、スマートフォンをネットワークに接続することを許可する、個人所有デバイスの業務利用ポリシーを導入しています。こうしたデバイスはたきちんと管理されていないことが多いため、企業に新たなセキュリティ脅威をもたらしています。
このコースを開発したのは、モバイルセキュリティのさまざまな側面について上流から下流にいたるまでのすべてを教えるためです。このコースでは、モバイルアプリケーションをどうやって分析するのか、ネットワーク上のスマートフォンデバイス、あなた自身や仲介者、または他人がどのように攻撃されてしまうのか、どうやってデバイスのルート化、ジェイルブレイクを行うかを学習します。また、どのような種類のマルウェアが企業・従業員に脅威を与える可能性があるかを解説します。
モバイルセキュリティはとても楽しいものです。このコースに参加して、私たちの熱意をあなたと共有させてください!
- Jeroen Beckers
SEC575の最初のセクションは、iOSプラットフォームについて見ています。iOSの構造を調べる中で、iOSにはデフォルトで多くのセキュリティコントロールが組み込まれていること、そしてAppleがハードウェアとソフトウェアの両方を非常に厳しく管理していることを確認します。次に、デバイスを脱獄することで、さまざまなセキュリティ制御を無効にする方法について説明します。脱獄によって、侵入テストに役立つさまざまなツールをインストールすることができます。モバイル・デバイスには多くの機密情報が含まれているため、iOSとインストールされているアプリケーションの内部ファイル構造を見て、機密情報の安全でない保存などの問題を特定したり、完全な侵入テストに使用する興味深い情報を調べたりすることができます。もちろん、アプリケーションは他のアプリケーションから攻撃される可能性もあるため、iOS上のアプリケーションの相互作用を調べます。最後に、iOSのマルウェアを取り上げ、悪意のある行為者がプラットフォームとエンドユーザーの両方をどのように攻撃しようとしているのかを確認します。ハンズオンでは、Corelliumを使用して、インストールされたアプリケーションサービスやアプリケーションデータへの低レベルのアクセスを含む、仮想化環境で動作するiOSデバイスとのインタラクションを実施します。
Androidは、圧倒的に人気のあるモバイルオペレーティングシステムです。Androidを搭載したデバイスは様々な形や大きさがあり、それが多くの断片化を引き起こしています。このコースでは、Androidの内部と、ユーザーの安全を守るために実装されているさまざまなセキュリティ制御について見ていきます。iOSとは対照的に、Androidはオープンソースです。また、サービス、インテント、ブロードキャストレシーバー、コンテンツプロバイダーなど、開発者が自分のアプリケーションを他のアプリケーションと相互作用させるためのさまざまな方法を提供しています。これらの相互作用はアプリケーションの攻撃対象領域を定義するため、どのように適切に保護し、悪用することができるかを詳しく見ていくことにします。Androidは、Android Debug Bridgeツールによってシェルアクセスを提供しますが、本当にフルアクセスしたい場合は、ブートローダをアンロックするか、デバイス固有のエクスプロイトを使用して、デバイスをルート化する必要があります。root化した後は、一般的なAndroidデバイスの内部ファイル構造とインストールされているアプリケーションを調べ、有用な情報を特定します。最後に、ランサムウェア、モバイルバンキング型トロイの木馬、スパイウェアなど、さまざまな種類のマルウェアが含まれるAndroidマルウェアを検証します。
モバイルセキュリティアナリストとして必要なコアスキルの1つは、モバイルアプリが組織にもたらすリスクと脅威を評価する能力です。この日の講義では、分析のためのスキルを駆使して重要なモバイルアプリケーションを評価し、モバイルアプリケーションにどんなデータアクセス上の脅威と情報漏えいの脅威かあるか特定する方法を説明します。自動・手動両方のアプリケーション評価ツールを使用し、iOSおよびAndroidのアプリケーションを静的に評価します。出だしではアプリケーションの理解は簡単に思えるかもしれませんが、セクションの終わりに向かっては、解析がはるかに困難で難読化されたアプリケーションへとその理解を掘り下げていきます。最後に、さまざまなアプリケーション・フレームワークと、それらを特殊なツールで分析する方法について説明します。
前日の講義でアプリケーションの静的分析を実施した後、この日は動的分析へと進みます。熟練したアナリストは、静的分析と動的分析の両方を組み合わせてアプリケーションのセキュリティ状況を評価します。動的インストルメンテーション・フレームワークを使用してアプリケーションを実行時に変更する方法、メソッド呼び出しをインターセプトして変更する方法、デバイスのネイティブ・メモリーに直接アクセスする方法を説明します。Frida、Objection、Needle、Drozer、Method Swizzlingについて学び、AndroidとiOSの両方のアプリケーションを完全に検査・検証します。最後に、OWASP Mobile Application Security Verification Standardを使用してモバイルアプリケーションのセキュリティを評価し、格付けするためのシステムについて説明します。こうして欠陥を特定することを通じ、実用的で有用なリスク指標を用いて組織へのスマートデバイスの展開リスクを評価できます。ペネトレーションテストを自身で実施するかアウトソースした結果を評価するかにかかわらず、ここで説明するテクニックを理解することによって、インシデントが実際に発生する前に脆弱性を特定して解決することができます。
アプリケーションを静的・動的に分析はしたものの、あるコンポーネント についてはまだ触れられていません。それはバックエンド・サーバーです。この日の講義では、ネットワーク上でARPスプーフィング攻撃を実行して中間者(Man-in-the-middle)の立場を取得する方法、AndroidとiOSにおいて機密情報の傍受からユーザーを保護する方法について説明します。次に、バックエンドサーバの脆弱性を検知するために、トラフィックを意図的に代行受信する検証用のデバイスを設定する方法を説明します。そのため、PINコードや生体認証で保護されたモバイルデバイスに侵入できるかどうかを検証します。このセクションでは、ユーザーをターゲットにして内部ネットワークにアクセスするために、リモートから侵入したデバイスまたはレッドチーム活動中に物理的に入手したデバイスにインストールできるリモートアクセストロイジャン(RAT)アプリケーションを作成することで締めくくります。
SEC 575の最終日の講義では、包括的なCapture-the-Flagイベントにより、コースで説明したすべての概念とテクノロジーをまとめます。実践的な演習では、いくつかのアプリケーションとフォレンジックイメージを検証して情報漏洩が起こりそうなデータソースと脆弱性を特定し、難読化されたマルウェアのサンプルを分析してその動作を検証していきます。所属組織に戻ったとき、ここで学んだスキルを実践してシステムを評価、攻撃者から防御して資産を保護できるよう、現実的な環境をシミュレーションした演習が行われます。