ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 518

Mac and iOS Forensic Analysis and Incident Response

Digital Forensics and Incident Response

English
日程

2025年9月8日(月)~2025年9月13日(土)

期間
6日間
講義時間

1日目:9:00-17:30 
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GIME
講師
Lee Whitfield|リー ウィットフィールド
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,300,000 円(税込み 1,430,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,420,000円(税込み 1,562,000 円)

申込締切日
早期割引価格:2025年7月25日(金)
通常価格:2025年8月29日(金)
オプション
  • GIAC試験 170,000 円(税込み 187,000 円)
  • OnDemand  170,000 円(税込み 187,000 円)
  • NetWars Continuous  290,000 円(税込み 319,000 円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR518 PC設定詳細

重要! 次の手順に従ってシステムを構成してください。

**************************重要:MACハードウェアが必要です*************************************

このコースにはMACのPCが必要です。MAC以外のPCでは演習に取り組めません。

このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、それに従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たすシステムでご出席ください。

授業の前にシステムのバックアップを取ってください。さらに良いのは、機密データや重要なデータがないシステムを使用することです。SANSは、お客様のシステムまたはデータについて責任を負いません。

ノートパソコンのハードウェア要件

システムハードウェアの必須要件

  • 16GB以上のRAMが必要です。
  • 200GB以上の空きストレージ容量が必要です。
  • 少なくとも 1 つの使用可能な USB 3.0 Type-A ポート。新しいラップトップには、Type-C から Type-A へのアダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアはUSBデバイスの使用を防止するため、授業の前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11標準)が必要です。教室には有線インターネットアクセスはありません。

追加要件

  • Apple MacOS 12以降が必要です。

ホスト構成とソフトウェア要件の必須要件

  • ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。IT チームにそう言わせないでください。あなたの会社がコースの期間中このアクセスを許可しない場合は、別のラップトップを持参する手配をする必要があります。
  • ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効になっているか、完全に削除されているか、またはそのための管理者権限があることを確認する必要があります。当社のコースの多くは、オペレーティングシステムへの完全な管理アクセスを必要とし、これらの製品によりラボの達成が妨げられる可能性があります。

コースメディアはダウンロードで配信されます。クラスのメディア ファイルは大きくなる可能性があります。多くは4050GBの範囲にあり、一部は100GBを超えています。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に依存します。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。授業の初日にすぐにコースメディアが必要になります。これらのファイルのダウンロードを開始するのは、授業の前夜まで待たないでください。

コース資料には、ライブクラスイベントに参加したり、オンラインクラスを開始したりする前に実行する必要がある重要な手順を詳しく説明した「セットアップ手順」ドキュメントが含まれています。これらの手順を完了するには、30分以上かかる場合があります。

FOR518コース概要

デジタルフォレンジックおよびインシデントレスポンスの調査員は、従来、Windowsマシンを扱ってきましたが、新しいAppleMacまたはiOSデバイスの前にいることに気付いたらどうなるでしょうか?Appleデバイスの人気の高まりは、コーヒーショップから企業の役員室まで、いたるところに見られます。調査員としてこれらのデバイスを扱うことは、もはやニッチなスキルではなく、すべての分析者は、遭遇するAppleデバイスを調査するために必要なコアスキルを持っている必要があります。

この一貫して更新されるFOR518コースは、ためらうことなくMacまたはiOSのケースに取り組むために必要なテクニックとスキルを提供します。このコースで教えられる集中的な実践的なフォレンジック分析とインシデント対応スキルにより、アナリストは能力を広げ、MacまたはiOSデバイスを快適に分析するための自信と知識を得ることができます。このコースでは、従来の調査に加えて、侵入とインシデント対応のシナリオを紹介し、アナリストがAppleデバイスを侵害した攻撃者を特定して追い詰める方法を学ぶのに役立ちます。

「繰り返しになりますが、SANSは市場が提供する最高の技術トレーニングを提供することが証明されています。サラは、包括的で、一貫性があり、やりがいがあり、実に楽しい(陽気すぎるですか?)コースをまとめました。FOR518は、私が望んでいたものすべてであり、それ以上のものです。「Impera Magis, Aliter Cogita」というフレーズが本当に適切であることに、私は今になってようやく理解しました。このコースで成功したいのであれば、コマンドラインを受け入れ、Windowsについて知っているすべてのものを放棄してください。私はこのコースを受講することに興奮しており、MacOSiOSのフォレンジックが提供する無限のニュアンスにさらに深く飛び込むのが待ちきれません。」

受講対象者

  • 経験豊富なデジタルフォレンジックアナリストで、ファイルシステムのフォレンジックと高度なMac分析についての理解を深めたいと考えている方。
  • 法執行官、連邦捜査官、および刑事は、高度なコンピューターフォレンジックを習得し、調査スキルセットを拡大したいと考えています。
  • Macシステムから必要な重要なデータをどこで見つけるかを知る必要があるメディアエクスプロイテーションアナリスト。
  • インシデント対応チーム 巧妙な敵対者からの複雑なセキュリティインシデント/侵入に対応しており、侵害されたシステムを調査する際に何をすべきかを知る必要があるメンバー。
  • MacOSおよびiOSシステムの内部について知識を深めたい情報セキュリティの専門家。
  • SANS FOR500FOR508SEC575、およびFOR585の卒業生は、フォレンジックスキルの向上を目指している。

※FOR518は、GIAC(GIME)認定試験対象コースです。

GIAC iOS and macOS Examiner

GIAC iOSおよびmacOSエキスパート(GIME)認定は、実践者のMacおよびiOSコンピュータフォレンジック分析とインシデント対応スキルを検証します。GIME認定を取得した専門家は、伝統的な調査だけでなく、侵害されたAppleデバイスにおける侵入分析シナリオにも精通しています。

  • MacおよびiOSファイルシステム、システムトリアージ、およびアプリケーションデータ
  • MacおよびiOSインシデント対応、マルウェア、および侵入分析
  • MacおよびiOSユーザーデータとタイムライン分析

詳細はこちら

シラバス

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

MaciOSの基本

概要

このセクションでは、MaciOSの習得、タイムスタンプ、論理ファイルシステム、ディスク構造などの基本事項を学生に紹介します。取得の基本はMacデバイスとiOSデバイスで同じですが、分析のためにMaciOSシステムを正常に収集するために使用できるヒントとコツがいくつかあります。Windowsのフォレンジック分析に慣れている学生は、Macシステム上のわずかな違いを簡単に学ぶことができます-データは同じで、形式が異なるだけです。

演習

  • コースラボのセットアップ
  • ディスクとボリューム
  • 買収のマウントとレビュー
  • トリアージ
  • フォレンジックテスト

トピック

  • Apple Essentials とデバイスのセキュリティ
    • プラットフォームとバージョン
    • タイムスタンプ
    • ファイルの種類
    • セキュリティの概念
    • ディスクとボリューム
  • ディスクとボリュームの構造
    • GPTとその他のパーティションスキーム
    • FileVault とハードウェアの暗号化
    • ディスクイメージ
    • APFSコンテナ
  • macOS取得ツールと方法
    • 買収の落とし穴と考慮事項
    • 商用および無料ツール
    • 揮発性データ
    • メモリ取得および解析
  • iOS 取得ツールと方法
    • 商用および無料ツール
    • ジェイルブレイク取得タイプと相違点
    • ローカルバックアップとiCloudバックアップ
    • Sysdiagnose ファイル
    • 取得と分析のためのツール
  • データ整理、トリアージ、iCloud
    • データのドメイン構成
    • コンテナとサンドボックス
    • iOSバックアップの正規化
    • アプリケーションデータ構造
    • トリアージ分析
    • アカウント
    • iCloud
  • フォレンジックテスト
    • デバイスのセットアップ
    • ツール - Corellium、無料、オープンソース
    • SQLiteデータベースクエリ
    • データベース構造

ログ分析、ユーザーデータ、システム構成

概要

MacおよびiOSデバイスには、デバイスがどのように使用されたか(または不正使用されたか)を示す多くのシステム設定が含まれています。デバイスのユーザーは、有用なフォレンジック インサイトを提供できる特定の構成を変更できます。多くの場合、これらの構成アクションはログにも含まれており、デバイスがどのように使用されたかの詳細なストーリーを作成するための履歴コンテキストを提供します。

このセクションでは、ログ分析と並行してシステムおよびデータの構成に焦点を当てます。これらのデバイスには、さまざまな種類のログがあり、それぞれに独自の分析方法とコンテンツ作成方法があります。ログエントリは、システム上で見つかったユーザーデータおよびシステムデータと関連付けて、ケースを迅速かつ効率的に解決するために使用できる詳細なタイムラインを作成できます。

演習

  • システムログの解析
  • ユーザーアーティファクトとユーザーインターフェース
  • ボリューム、印刷、およびシステム状態
  • ネットワークとBluetooth

トピック

  • システムログの解析
    • ログの基本
    • ログの種類 (UnixBSM AuditApple System Logs (ASL)Unified)
    • ログ設定
    • 解析方法と解析ツール
  • ユーザーアカウント
    • 削除されたユーザー
    • ユーザーログイン
    • 権限昇格
    • 最近使用したアイテム (MRU)
    • NSKeyedArchiver plist ファイル
    • 管理対象ユーザー
  • ユーザーインターフェース
    • キーボード
    • 通知
    • iOSスプリングボード
    • macOSファインダー
    • 保存されたアプリケーションの状態
  • ボリューム
    • ログとファイルの分析
    • 接続されたデバイス
    • ネットワークシェア
  • 印刷
    • 制御ファイル
    • データファイル
  • システム状態
    • ログとファイルの分析
  • ネットワーク
    • デバイス設定
    • セルラーデータ
    • Wi-Fiアクセスポイント接続
    • リモートアクセス
    • ログとファイルの分析
  • Bluetooth
    • デバイス接続
    • Appleのコンティニュイティテクノロジー
    • エアドロップ
    • ログとファイルの分析

ファイル・システムおよび関連アーティファクト

概要

APFSがどのように機能するかを確認した後、学生は、ファイルシステムによって使用され、学生が過去に見た他のオペレーティングシステムとはかなり異なるさまざまな魅力的なアーティファクトを見ていきます。これには、メタデータを含む多くの成果物が含まれ、調査に関するより多くのコンテキストを提供できます。

追加のボーナスラボでは、学生はMaciOSのフォレンジックの構成要素を学び、Appleファイルシステム(APFS)を深く理解します。HEXエディターを使用して、学生はMacOSおよびiOSシステムに実装された主要なファイルシステムの基本構造を学びます。

演習

  • APFS の解析 (ボーナス)
  • ディスクとボリュームのアーティファクト
  • 拡張属性
  • スポットライト
  • ドキュメントバージョン
  • FSイベント(英語)

トピック

  • ボリューム・ファイル・システムのアーティファクト
    • APFSの概要
    • データ構造
    • APFSの利点と注意事項
    • APFSクローン
    • APFSスナップショット
    • Macが残したアーティファクト
    • さまざまなファイルシステムとの違い
    • DS_Storeファイル
    • The Sleuth Kit(TSK)によるAPFS解析
  • 拡張属性
    • 内容
    • 解析
    • フォレンジックに有用な属性
  • スポットライト
    • インデックス付きアイテム
    • 分析方法とツール
    • 実用的なクエリ
  • ドキュメントバージョン
    • バージョン メタデータ
    • バージョンデータベース
    • 世代
    • チャンク ストレージ
  • ファイル システム イベント ストア データベース (FSEvents)
    • 使用方法
    • ツールによる解析
    • 実用的な分析

アプリケーションデータ分析

概要

ユーザードメインにあるすべての構成情報と設定情報に加えて、ユーザーはインターネット、電子メール、通信、写真、位置データなど、さまざまなネイティブAppleアプリケーションと対話できます。これらのデータは、アナリストに、誰が、何を、どこで、なぜ、どのように調査を行うかを提供できます。

このセクションでは、データが保存されているさまざまなデータベースやその他のファイルについて説明します。学生は、商用ツールパーサーの助けを借りずに、この情報を手で解析することができます。

演習

  • アプリケーションの基礎
  • サファリとウォレット
  • メールとコミュニケーション
  • ノート、写真、地図

トピック

  • アプリケーションの基礎
    • アプリケーションバンドル
    • Mach-O 実行可能ファイル
    • 拡張 機能
    • ソフトウェアアップデート
    • iOS アプリケーションのスナップショット
    • 権限
  • Safariブラウザ
    • 履歴
    • キャッシュ
    • セッションデータ
  • ウォレット
    • カード
    • パストランザクション
  • メール
    • 電子メール ファイル
    • 添付 ファイル
    • ダウンロードしたアイテム
  • 通信
    • メッセージ
    • FaceTime
    • 通話履歴
    • ボイスメール
  • メモ
    • データベース分析
    • Protobuf
  • 写真
    • メディア分析
    • 写真のメタデータ
  • マップ
    • データベース分析
    • Protobuf

高度な分析トピック

概要

Appleのシステムは、MacおよびiOSデバイスを使用しているユーザーのみが利用できるテクノロジーを実装しています。このセクションでは、さまざまな調査に役立つさまざまなトピックについて学びます。生活パターンなどのトピックでは、特定のユーザーとデバイスのアクティビティが詳細に説明され、正確な時間にどのアプリが使用されていたか、何歩歩いたか、デバイスのロックが解除されたか、デバイスがどこにあったかを特定できます。その他の高度なトピックには、暗号化されたコンテナに隠されたデータの解読、侵害の兆候、セキュリティの強化、およびFindMyAirTagsTimeMachineなど、他のすべてのAppleの「もの」が含まれます。

演習

  • 生活パターン
  • パスワードクラッキング
  • マルウェアとLive Response
  • One More Thing(その他のAppleテクノロジー)

トピック

  • 生活のパターン
    • スクリーンタイム
    • ナレッジC
    • バイオーム
    • パワーログ
    • アプリケーションの使用方法
    • メディア使用量
    • デバイスのステータス
    • 健康
    • 位置情報
  • パスワードクラッキング
    • パスワードシャドウファイル
    • パスワードの解読
    • キーホルダー
    • ファイルボルト
    • ディクショナリファイル
    • 暗号化されたディスクイメージ
  • マルウェアとLive Response
    • マルウェアの例
    • ファイル検疫
    • XProtect
    • ゲートキーパー
    • 公証
    • 自動実行
    • ファイアウォール設定
    • ヴェロキラプトル
  • 追加
    • タイムマシン
    • Apple Watch
    • CarPlay
    • FindMy
    • AirTagsHomeKit
    • VisionPro

Mac フォレンジック & インシデント対応の課題

概要

この最終コースセクションでは、受講生は実際のシナリオを実行することにより、新しいAll-Things-Appleのフォレンジックスキルをテストします。

トピック

  • ファイルシステムの詳細な調査
  • ファイル・システム・タイムライン分析
  • 高度なコンピュータフォレンジック方法論
  • ファイル・システム・データ分析
  • メタデータ分析
  • 主要なMacファイルの回復
  • データベース分析
  • ボリュームとディスクのイメージ分析
  • Apple特有のテクノロジーの分析
  • 高度なログ分析と相関

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ