ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 487

Open-Source Intelligence (OSINT) Gathering and Analysis

Blue Team Operations

English
日程

2022年8月29日(月)~9月3日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GOSI
講師
Jeff Lomas|ジェフ ローマス
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 point
受講料

960,000円(税込 1,056,000円)

申込締切日
2022年8月19日(金)
オプション
  • GIAC試験  125,000円(税込み 137,500円)
  • OnDemand  115,000円(税込み 126,500円)
  • NetWars Continuous  200,000円(税込み 220,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC487 PC設定詳細

重要:以下の手順に従って設定されたPCを各自用意してください。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。また、利用するノートPCには個人情報や企業の情報を含まない、安全なものである必要があります。

注意 : M1プロセッサ搭載のapple社製品は現時点で必要な仮想化を行うことができないため、使用できません。

ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows 10、Mac OS 10.15.x、またはLinuxのいずれかの64bit版を使用してください。また、クラスでVMが正常に機能するためには、8GB以上のRAMが必要です。

最新のUSB 3.0デバイスを利用するために、事前にホストOSを完全にアップデートし、正しいドライバとパッチをインストールしておくことが必要です。

Linuxホストを使用する場合は、適切なカーネルまたはFUSEモジュールを使用してexFATパーティションにアクセスできるようにする必要があります。

利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。64 bit対応のノートPCを利用することに加えて、BIOS/UEFIがAMD-V、Intel VT-x、または同等の仮想化機能をサポートしており有効になっている必要があります

事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation Pro 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。

VirtualBoxやHyper-Vなどの他の仮想化ソフトウェアは、互換性やトラブルシューティングの問題があるため、適切ではありません。

Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10のCredential GuardおよびDevice Guardテクノロジーと互換性がありません。これらの機能がシステムで有効になっている場合は、授業中は無効にしてください。

PCの必須ハードウェア要件

  • CPU:64 bit 2.0+GHz 以上のプロセッサ(必須)
  • BIOS/UEFI:: BIOS/UEFIにおいて、仮想化技術(VT-x, AMD-V など)の利用が有効になっていること
  • RAM:8GB以上(最小・必須)
  • NW:802.11/G/N/AC無線LAN
  • USB:USB 3.0ポート
  • HDD/SSD:最低30GB以上の空き容量(より大容量を推奨)

必要な事前ダウンロードファイル等

  • VMWare Workstation15.5,WorkstaionPlayer15.5,Fusion11.5 (もしくはこれより新しいもの)
  • その他:ホストOSのローカルアドミニストレーター権限(セキュリティツールを無効にできる権限)
  • Linuxの仮想マシン(VM)をこのコース用に配布します。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)

LiveOnlineでのコースメディアの事前準備、テキストについて

コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、10 -15 GBといった大きさのものがあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

SEC487コース概要

本コースは、オープンソース・インテリジェンス(OSINT)に関する情報収集の基礎コースであり、そのため、この分野の多くを迅速に知ることができます。このコースはOSINTについて学びたい人のための入門コースですが、学べる概念やツールは基本的なものとは程遠いものです。このコースの目標は、受講者がサイバーディフェンダー、脅威インテリジェンスアナリスト、保険金支払査定人、インテリジェンスアナリスト、警察関係の職員、または単にOSINTに興味がある人であるかどうかにかかわらず、それぞれの分野で実績を上げるためのOSINTの基礎知識を提供することです。

多くの人は、お気に入りのインターネットの検索エンジンを使えば、必要なデータを見つけるのに十分であると考えていて、インターネットのほとんどが検索エンジンによってインデックス付けされていないことに気付いていません。SEC487は、これらのデータを見つけるための効果的な方法を受講生にご提供します。法執行機関、私立探偵、サイバー攻撃者・防御者がインターネット上で発見された大量の情報を精査するために使用する実戦的なスキルとテクニックを学びます。情報が得られたら、それが正しいことを確認する方法、収集したものを分析する方法、および調査に役立つようにする方法を紹介します。

このコースでは、インターネットやダークウェブを利用した25以上の実戦的な演習でコース教材を補強し、クイズなどで知識を確認することができます。単に教材を提供するだけでなく、その習得を支援するものなのです。また、調査目標を達成するための特定のツールやテクニックを学び、それぞれの手順を示したフローチャートを通じてプロセスを詳細に学びます。

受講対象者

  • このコースでは、法的調査のために容疑者を見つけようとしている場合でも、特定の職階に関する求人の候補者を特定しようとしている場合でも、ペネトレーションテストのためのホスト情報を集めようとしている場合でも、ディフェンダーとしてハニートークンを検索しようとしている場合でも、仕事に役立つテクニックを教えてくれます。SEC487が提供するOSINTに関連する知識は、次のような方に役立つでしょう。

     ・OSINT捜査に携わる方
        ・サイバーインシデント対応に携わる方
        ・スレットインテリジェンス・アナリスト
        ・デジタルフォレンジック・アナリスト
        ・金融犯罪捜査に携わる方
        ・人事担当
        ・保険調査員
        ・インテリジェンス・コミュニティの関係者
        ・法執行機関の関係者
        ・ペネトレーションテスト/オフェンシブセキュリティテストに携わる方
        ・私立探偵
        ・採用担当者/採用担当代行
        ・セキュリティ意識向上の担当者

※SEC487は、GIAC(GOSI)認定試験対象コースです。

GIAC Open Source Intelligence
GOSI認定資格は、実務家がOSINTの方法論とフレームワークに関する強固な基盤を持ち、データ収集、レポート、ターゲット分析に精通していることを確認するものです。

  • オープンソースインテリジェンスの方法論とフレームワーク
  • OSINTデータの収集、分析、およびレポート作成
  • ダークウェブからのデータ収集

講義内容の一例(講義を受講してできるようになること)

  • OSINTプロセスの構築
  • OSINT調査の実施
  • データ収集ライフサイクルの理解
  • データ収集のためのセキュアなプラットフォームの構築
  • 収集データの分析
  • データの取得と記録
  • Sock Puppetアカウントの作成
  • ウェブデータの収集
  • 人に関わるデータ検索の実施
  • ソーシャルメディアデータへのアクセス
  • オンラインカメラと地図情報をによる遠隔地の状態分析
  • ソーシャルメディアの位置情報の調査
  • 企業組織の事業内容の調査
  • ダークウエブからのデータ収集

コース開発者より

私は、インターネット上にあるデータの種類と量にいつも興味をそそられてきました。外国の街の美味しいレストランのリサーチから、ビデオカメラで人々を観察することまで、すべてが私を魅了しています。インターネットが進化するにつれ、より質の高いリアルタイムのリソースが利用できるようになり、毎日が休日のように、新しい不思議なツールやサイトがオンラインで自由にアクセスできるようになりました。

ある時点で、私はもはやウェブ上の素晴らしいリソースに畏敬の念を抱くことはなくなり、代わりに、人々が違法もしくは危険をさらす状況にある自分の画像を投稿したり、ユーザープロフィールにそのような露骨で詳細なコンテンツが含まれていることに驚きを覚えるようになりました。私の驚きは、このような人々への懸念へと変化しました。私が発見したのは、人、ネットワーク、会社の情報について、それらの情報が見つかりやすい場所が特定できれば、ほとんど何でも見つけることができるということでした。一見無意味に見えるデータの断片を、意味のあるストーリーにまとめることが、私の情熱となり、最終的にはこのコースを設立する理由となりました。

私は、OSINTに関する素晴らしいパフォーマンスを発揮する障壁は、インターネット上に無料のデータがないことではないと認識しています。インターネット上にはあまりにも多くのデータが存在してます。課題は『どうやって何かを見つけるか』から『どうやって必要なものだけを見つけるか』へと変化していきました。このコースは、インターネットからOSINTデータを効果的に収集し、分析するためのツールとテクニックを学びたい人たちを支援する必要性から設立されました。 -Micah Hoffman

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

Foundations of OSINT

1日目のセクションでは、このコースで使用する一般的な用語と技法を紹介します。すべての受講生が共通の言葉で会話でき、コアとなる概念を理解している状況を目指します。このSEC487コースは多様な受講生が受講しているため、すべての受講生の共通となるベースを作ることは、議論を円滑に進めるためだけでなく、日々高いレベルへと進んでいくために不可欠です。

このセクションでは、受講生がOSINTデータを収集し始める前に調査・準備しておく必要がある内容にフォーカスしています。OSINTとは何かについての議論、OSINT収集のプラットフォームのセットアップ、OSINTデータを客観的に文書化・分析するための方法、調査用のアカウントとサブアカウントの利用などが含まれています。

トピック

  • OSINTの概要
    • OSINTとは何か?
    • 誰が、なぜOSINTを使うのか?
  • インテリジェンス・プロセス
    • インテリジェンス・プロセスとは何か、OSINTにどう適用するのか?
  • OSINTプロセスの段階を作り、理解する
  • OSINT収集の目標
  • OSINTプラットフォームのセットアップ
    • 仮想OSINTシステムとモバイルエミュレータの使用
    • 調査員の匿名性を低下させる可能性のある問題を理解する
    • OSINT作業にVPNを使用する
    • 様々なウェブブラウザ、ブラウザアドオン、エクステンションを活用する
  • ドキュメンテーション
    • OSINT調査におけるデータの記録方法
    • リンク分析ツール、マインドマップアプリケーション、活動記録プログラムの検討
  • ソックパペット
    • OSINTソックパペットまたは偽のアイデンティティとは何か?
    • どのような場合に、どのようにソックパペットを調査において効果的に使用するのか
    • ソックパペットの作成方法
    • ソックパペット・アカウントを無効化される可能性のある問題
  • データ分析
    • インターネットから取得したデータの分析方法
    • 論理と推論の種類
    • 論理的誤謬や偏りの識別とその低減方法
    • ネットワーク理論とリンク分析技術

Core OSINT Skills

OSINT調査官は、ほとんどの評価で、検索エンジンのクエリ、画像の分析、ファイルのメタデータの調査など、特定のテクニックを実行します。このセクションでは、データの検索、ダウンロード、そのデータの意味の分析を行い、その後そのデータがオンライン上の他の場所に存在しているかどうかの確認まで行います。

検索エンジンはインターネット上のデータのインデックス作成に大きな役割を果たします。そのため、セクション2ではまず検索エンジンの仕組みとその使い方について詳しく説明します。続いて、コマンドラインやWebベースのツールを使って、ファイルやWeb上のデータを迅速かつ安全に取得するテクニックを学びます。ファイルやデータの収集方法をしっかりと理解した上で、画像のコンテンツを分析し、それらのファイルからメタデータを抽出する方法を学びます。これにより、遠隔地の調査や、調査に使えるビデオ映像の発見、ジオロケーションのテクニックなどに使える画像や地図サイトについて、話を進めていきます。

トピック

  • 検索エンジンの活用
    • 検索エンジンを利用するための準備
    • 高度な検索オペレータの活用
  • ウェブデータの収集
    • インターネットソースからファイルをダウンロードするためのテクニックとツール
  • ファイルのメタデータ分析
    • ファイルからのメタデータの抽出と検証
  • リバース・イメージ・サーチ
    • リバース・イメージ・サーチとは何か、OSINT調査での使用方法
  • 画像解析
    • 画像を解析して地理的な位置を特定し、意味のあるデータポイントを抽出する方法す。
  • 画像と地図
    • OSINT作業における地図とイメージの使用方法の検討
    • 様々な画像データソースの比較
  • 言語翻訳
    • 外国語のテキストを抽出し、翻訳するための複数の方法

People Investigations

人が行動をすることにより、ネットワーク上にはデータが生成されます。例えば、写真や動画がある場所で投稿されたり、共有されたり、それらについての議論が始まったりします。これらの情報はOSINT調査で重要となる内容です。ほとんどのOSINT調査者は、人が何をどこで行うか、に調査の重点を置いています。一部の調査者にとっては、その重要度は低いかもしれませんが。

受講生のみなさんが人に関するOSINT情報にどの程度の重点を置くかはさておき、3日目は人に関する調査のスキルを教えます。人に関する情報、例えばメールアドレスやユーザ名などから講義が始まり、それらの情報をもとにしたユーザ行動の調査へと発展させていきます。また、そうした情報はソーシャルメディアプラットフォームに蓄積されていることが多いので、かなりの時間をソーシャルメディアに関する説明に費やします。

トピック

  • メールアドレス
    • メールアドレスの検索
  • ユーザー名
    • ユーザー名の意味解析
    • ユーザー名を利用し、複数のサイトでそのアクティビティを分析する
  • アバターと画像検索
    • アバターを分析し、アバターが使用されている場所や意味を発見する
  • 住所と電話番号
    • 住所や電話番号を利用して、ターゲットに関する追加データを発見する
  • 人名検索エンジン
    • 人名検索エンジンとは何か?
    • OSINTプロセスのどこで役に立つのか?
  • ソーシャルメディア入門
    • ソーシャルメディアの調査において使用される一般的なテクニックに関する一般的な議
  • Facebook
    • Facebookにおけるシンプルで高度な検索と抽出
  • Twitter
    • Twitterにおけるシンプルで高度な検索と抽出
  • ジオロケーション
    • インターネットデータを地球上の場所に関連付けるための一般的な方法と新しい方法の探求

Website, Domain, and IP Investigations

4日目はコンピュータに焦点を当てたOSINTデータについて講義を進め、ドメイン、IPアドレス、ウェブサイトの調査方法など、OSINT調査者にとって必要な能力を学びます。このセクションでは、人の活動とソーシャルメディアに主に焦点を当て、あたらしい技法をご紹介します。ITとサイバーセキュリティの深いスキルを持つ受講生には、ドメインやWebサイトの調査を強力に行うためのツールとその活用のテクニックをご紹介します。

WebサイトはOSINTの研究者にとってメインとなる調査対象であるため、4日目はその調査方法から講義を開始します。次に、サイト上のデータの調査を取り上げ、最後にWebサイトをホストするサーバーの分析方法で講義を締めくくります。多くのWebサイトはドメインに関連付けられているため、コースのトピックは、ドメインの所有者と登録場所を調査するための方法へと進んでいきます。ドメインは通常IPアドレスとひもづけられるため、IPアドレスの調査方法や、IPアドレスによりネットワーク上のデータを検索する方法について学びます。

ネットワーク接続に関する情報をもとに、他のIT基盤との関連性を導き出せる場合があります。4日目の講義では、Webサイトで取得できる情報だけでなく、それ以外の情報に至るまで、あらゆる側面の情報を調査するテクニックを学びます。

トピックス

  • Webサイト調査
    • 第三者データの活用によるウェブサイトコンテンツの探索方法の理解
    • Webサイトデータの能動的な発見
    • Webサイトを運営するインフラの分析
  • WHOIS
    • WHOISとは何か、OSINT業務においてWHOISデータをどのように利用できるか?
  • DNS
    • DNSとは何か、またDNSレコードを理解することがOSINT調査にどのように役立つのか?
  • IPアドレス
    • IPアドレスの調査方法とジオロケーション
  • コンピュータインフラストラクチャ
    • インターネットに接続されたホストの発見と分析
  • ワイヤレスOSINT
    • 収集したワイヤレスデータをOSINT評価に利用する方法を探る

Business and Dark Web OSINT

5日目の主なトピックは、ビジネスOSINTとダークウェブの2点です。受講生は会社名(ビジネスネーム)について学び、誰がビジネスを運営しているのか、どこで会社が仕事をしているのか、その会社のブランドや評判について人々がどう考えているのかを把握できるようになります。

その後、コースの内容はダークウェブへと移ります。学生は、ダークウェブがどのように機能しているのか、そして人々がなぜそれらを使用するのか、OSINT調査においてどのようにダークウェブにアクセスするかを学びます。また、Tor(ダークウェブネットワーク)がどのように機能するか、Torのオニオンサービスにアクセスするためにはどのようなソフトウェアを使用するか、Tor内のデータをどのように調査するかについても学びます。

第5章では、自動化されたWebサイトやツールを使ってオンラインデータを効率的に収集・利用する方法を紹介し、違反データをOSINT捜査に利用する方法を明らかにします。
このセクションの最後には、Solo Capture-the-Flag (CTF)と呼ばれる大規模な演習が用意されています。楽しくかつやりがいのある演習を通して、コースで学んだツールやスキルを実践していきます。コースで学んだ概念の多くに触れるガイド付きのウォークスルーを通じて、学生は自分のスピードでCTFチャレンジの問題に取り組みます。授業で学んだOSINTのプロセスを整理して取り組む時間を設けることで、重要なコンセプトをより理解し、OSINTのプロセス、手順、テクニックを実行する練習ができます。

トピックス

  • ビジネスOSINT
    • オンラインビジネス登録とドキュメントの分析
    • 企業が業務で使用するリソースの調査
  • 表層ウェブ、深層ウェブ、ダーク・ウェブ
    • これらは何であり、なぜOSINT業務で重要なのか?
  • いくつかのダークウェブの概要
    • いくつかの主要なダークウェブネットワークの比較、人々がそれらを使用する理由そしてそれらのネットワークでOSINTを実行する方法
  • Tor
    • Torとは何か?
    • 捜査官やターゲットにどのように利用されるのか?
    • Torで発見されたデータを調査するテクニック
  • OSINTの自動化
    • アプリケーションを使った効率的な作業
  • 侵害データ
    • 侵害データ使用の倫理的分析
    • 侵害データがOSINT作業をどのように補強できるかの調査

Capstone: Capture (and Present) the Flag

6日目には、本コースの総仕上げとして、コース全体で学んだことをまとめて実践するグループイベントが実施されます。このイベントは、特定のフラッグが埋められていて、チームがそれを見つけなければならない定型のキャプチャー・ザ・フラッグイベントではありません。これは、各チームがあるターゲットに関する特定のOSINTデータを収集する競技です。この作業のアウトプットは、「クライアント」(インストラクターやクラスメイト)に「成果物」として提出されます。この数時間のハンズオンイベントは、直前のセクションで実施したソロCTFで練習した内容がさらに強化され、プレッシャーが与えられる中、グループでOSINT評価を行うことの難しさの要素が加わっています。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。