FORENSICS 585

FOR585 PC設定詳細

重要! 次の手順に従ってシステムをセットアップしておいてください。

この講義に参加するには、事前に適切にセットアップされたシステムが必要です。指示を注意深くお読みください。そうでないと、このコースで重要となる演習に参加できないためご参加の際の満足度が下がる可能性があります。指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。

講義の前にはシステムのバックアップを必ずお願いします。システムには機密情報を保存しないでください。SANSは、お客さまのシステムやデータに関して責任を負いません。

ノートパソコンのハードウェア要件

• CPU：64bit Intel i5/i7(第4世代以降) x64 2.0+ GHzプロセッサ以上（64bit必須）
  　　※M1プロセッサー使用のAppleシステムでは、必要な仮想化を実行できないため、このコースでは使用できません
• 64ビットのゲスト仮想マシンがラップトップ上で動作するためには、CPUとOSが64ビットをサポートしていることが重要です。VMware社は、ホストが64ビットのゲスト仮想マシンをサポートしているかどうかを検出するWindows用の無料ツールを提供しています。トラブルシューティングのために、この記事では、WindowsユーザーがCPUとOSの性能について詳しく調べるための手順を紹介しています。Macの場合は、Apple社のサポートページを参考にして、64ビットに対応しているかどうかを確認してください。
• BIOS： BIOSにおいて、仮想化技術（Intel-VT など）の利用が有効になっていること
• RAM：16GB以上（必須）
• NW：802.11規格に対応した無線LAN
• HDD/SSD：最低200GB以上の空き容量（仮想ホストマシンとして必要）
• その他：USB 3.0 Type-AポートでUSBメモリの読込ができること
• システムの管理者権限を持っていることを確認

ノートパソコンのソフトウェア要件（下記を事前にインストールしてください）

• ホストオペレーティングシステム:Windows 10の最新バージョンまたはmacOS 10.15.xの最新バージョン
  注:クラスの前にホストオペレーティングシステムを完全に更新し、最新のUSB 3.0デバイスを使用するための適切なドライバとパッチがインストールされている状態にしておく必要があります。
• VMware Workstation Pro 15.5.X以上、VMware Player 15.5.X以上、またはVMWare Fusion 11.5以上
  VMware WorkstationまたはFusionのライセンス版を所有していない場合は、VMwareから無料の30日間試用版をダウンロードできます。　VMwareのWebサイトでトライアルに登録すると、期限付きのシリアル番号が送信されます。
• 7 Zip (Windowsホストの場合) またはKeka (macOSの場合)

Live Onlineでのコースメディアの事前準備、テキストについて

コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、40 -50 GBの範囲内のものもあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

このコースを受講することにより、受講者は次の事柄について理解を深めることが可能です。

• スマートフォン上のどこに重要な証拠があるか
• データがスマートフォンにどのようにして格納されたか
• フォレンジックツールで検出できなかった削除済みモバイルデバイスデータを回復する方法
• サードパーティ製アプリケーションに保存されている証拠をデコードする方法
• モバイルマルウェアおよびスパイウェアの検出、逆コンパイル、および分析方法
• スマートフォン上のデータにアクセスするにあたって必要となる高度な専門用語とその技術
• ロックされた、または暗号化されたデバイス、アプリケーション、およびコンテナの処理方法
• アプリケーションやモバイルのアーティファクトが含まれるデータベースの適切な検査方法
• データセットに対して必要なツールを作成、検証、妥当性確認（バリデーション)する方法

スマートフォンのフォレンジックには、スマートフォンならではの考え方を必要とします。
システムの稼働履歴やアプリケーション間でのやりとりなどを、ユーザの操作によるものと誤報告するような過ちは避けましょう。今こそスマートになるときです！

いま、机にスマートフォンが置かれ、ユーザーが特定の日時に特定の場所にいたかどうかを判断する仕事があなたに与えられたとします。あなたはフォレンジックツールを頼って、データのダンプと解析に着手します。ツールによってデバイスにひもづいた位置情報が表示されます。さて、あなたはユーザーが確実にその場所にいたことを証明できるでしょうか。 特定の日付と時間にある場所で起こったことを、客観的に提示することはできるでしょうか。ツールで表示される情報が、ユーザがとった実際の行動ではない可能性があることを理解しているでしょうか。

スマートフォンのフォレンジックに関するこのコースでは、フォレンジックの実践者と調査者に高度なスキルを提供し、モバイルデバイスから回収された証拠を検出、デコード、復号し、正しく解釈するための知識を受講者にお伝えします。

モバイルデバイスは、多くの場合、刑事事件、不法侵入、知的財産権の窃取、セキュリティ上の脅威、事故調査などでの重要な要素となります。デバイスのデータを正しく活用する方法を理解することは、エキスパートとしてのあなたの立場と将来を左右する可能性があります。FOR 585では、そのようなスキルをお示しします。

スマートフォンが計算処理をしたり、何かをユーザに表示・提示したりするたびにデータが保存されます。フォレンジックツールがレポートする情報には、簡単に惑わされる可能性があります。スマートフォンのフォレンジック捜査は「証拠を確認する」と表示されたボタンを押して回答を得られるようなものではないのです。あなたのチームにはツールばかりに頼っていられる余裕はありません。デバイス上で起きたと思われることをツールに報告させるだけではなく、調査の指針として正しく使用する方法を理解する必要があります。市販のツールだけでは、スマートフォンのデータをすべて解析して、そのデータがデバイスにどのように書き込まれたかを理解することは不可能です。データの調査と解釈はあなた自身の仕事です。このコースではあなたとあなたの所属組織に、自信を持ってスマートフォンから正しい証拠を見つけ、抽出する能力を提供します。

FOR 585では、31のハンズオンラボやフォレンジックについての課題が提供され、受講生がスマートデバイスから様々なデータセットを分析し、フォレンジックツール、メソッド、自作のスクリプトを使いながら、スマートフォンのデータがいかに隠され、フォレンジックツールの誤用によって容易に誤解され得るかを学べるようになっています。各ラボは、各種のスマートフォンに適用できるように設計されています。複数のプラットフォームでさまざまなデータ形式に対する経験を積み、各種スマートデバイスでデータを保存・エンコードする方法を学習します。ラボでは、フォレンジックツールに100%依存してしまうことで見逃してしまう可能性がある要素に目を向けます。

6日間の集中的なコースは継続的にアップデートされています。最新のマルウェア、スマートフォンのOS、サードパーティーアプリケーション、ジェイルブレークとルート化)、暗号化などに対応します。FOR 585は、地球上で最もユニークで最先端の講義を提供しており、実務に戻った際すぐに適用できる、モバイルデバイスのフォレンジックの知識を提供します。

スマートフォンの技術は常に変化しており、多くのフォレンジック専門家は各テクノロジーのデータ形式に精通しきれていません。あなたのスキルを次のレベルに持っていきましょう。今、善人として活動している人たちはもっと賢くなるときです。そして悪人たちには、自分たちのスマートフォンでの行動はフォレンジックの専門家たちにより解析できてしまうこと、そして今後解析されてしまう可能性があることを知らしめるときなのです！!

スマートフォンのデータは永遠に隠し通せるものではありません。モバイル端末との戦いにうまく勝ち抜いていきましょう！

このコースを通じて、次の事柄について理解を深めることができます。

• スマートフォンのデータを効果的に分析するために最も効果的なフォレンジックツール、手法、および手順を選ぶ
• スマートフォンからの情報を活用した時間軸展開やリンク分析など、犯罪を取り巻く事象を描き上げる (誰が誰と、どこで、いつやりとりしたか)
• スマートフォンのファイルシステムにどのようにデータが保存されるか、また、それらがどのように異なるか、各デバイスにどのように証拠が保存されるかを理解する
• スマートフォン上のファイルシステムを理解し、ユーザーが通常アクセスできない情報を把握する
• 証拠がモバイルデバイスにどのように取り込まれたかを特定する。ユーザーがデータを作成したかどうかを知る方法を理解する。そのことにより、ツールから取得した誤った証拠を報告するという重大なミスを回避する。
• スマートフォンやモバイル機器から削除されたデータを復元するために手動でデコードをする
• ユーザーとスマートフォンと特定の日時や場所との関連を紐解く
• スマートフォン上のアプリケーションから非表示にされた、または難読化された通信を回復する
• フォレンジックツールで解析されないアプリケーションデータを復号、またはデコードする
• マルウェアやスパイウェアに感染したスマートフォンをフォレンジック手法で検出する
• オープンソースツールを使ったモバイルマルウェアのデコンパイルと分析をする
• スマートフォンの暗号化処理に対してバイパス、クラック、手動でロックコードを解析するなどして対処する(iTunes で暗号化されたiOSバックアップファイルを解読することを含む)。
• スマートフォンのコンポーネント (SDカード) にデータがどのように保存されているか、暗号化されたファイルがどのように検証されるかを理解する
• スマートフォンなど（Android、iOS、BlackBerry 10、Windows Phone、中国製のコピー製品、SDカード）からの情報の抽出と活用（ボーナスラボではBlackBerry、BlackBerry backup、Nokia（Symbian）、SIMカードのデコードについてフォーカスします）
• 多くのツールでは追いきれない、端末のデータ構造の奥深くへのフォレンジックの実行
• SQLiteデータベースとダンプデータの解析による削除情報のリカバリ
• 高度なテクニックを用いた欠落または削除されたデータの復元
• コースで習得した知識を応用して、複数のデバイスを使用し、実際のスマートフォンの調査をモデルとした1日がかりのスマートフォン・キャップストーン・イベントを実施します

コース受講に当たっての注意事項：

このコースの参加にあたっての前提条件はありませんが、フォレンジックに関連するファイルの構造や用語の基本的な理解をすすめておけば、高度なトピックを理解するのに有用です。過去にモバイルデバイスのフォレンジックについてのトレーニングを受講していれば役に立ちますが、必須ではありません。基本的なフォレンジックの情報取得手法はこの講座では取り上げませんが、ボーナスコースの教材でカバーしています。

FOR 585は、SANS SEC 575、FOR 308、FOR 563、FOR 508、FOR 526、FOR 572、FOR 610、FOR 518の既受講者で、次のレベルのスキルを身につけたいと思っている方に最適なコースです。ただし、これらのコースのほとんどは、どのような順番で受講しても良いようにデザインされています。

FOR585は、スマートフォンやモバイルデバイスのフォレンジックを経験しており、新たに足を踏み入れる方々に向けてデザインされています。デジタルフォレンジックの担当者がスマートフォンなどのモバイルデバイスを扱う際の基本となる知識と、実践的なスキルを学びます。次のようなお客さまにとっては"Must"の存在です。

• デジタルフォレンジックの領域では多くの経験を持つが、その知識と経験を今後モバイルデバイス (特にスマートフォン) のフォレンジックに広げていきたいと考えている方
• デジタルメディアの不正利用についてのアナリストで、スマートフォンやモバイルデバイスの意図的な不正に利用や、ドキュメントファイル、各種メディアの不正な利用を検知する必要がある方
• 情報セキュリティの専門家で、データ漏洩事件や不正アクセスに対応する方
• インシデント対応チームにおいて、スマートフォンが情報の侵害においてどのように使われたかを特定する任務を持つ方
• 執行官、捜査担当者、刑事などの方々で、デジタルフォレンジック全般を超えた幅広いスキルを身に付けるために、スマートフォンのフォレンジックについて深く理解したいと考えている方
• インシデントからの復旧を担当する方で、特定の期間に、電話に対してどのようなアクセス履歴があるか、または電話がどのように使用されたかを判断する必要がある方
• IT監査の担当者で、どのようにするとスマートフォンが機密情報を外部に露呈してしまう可能性があるかを理解したい方
• SANS SEC 575、FOR 308、FOR 498、FOR 563、FOR 500、FOR 508、FOR 572、FOR 526、FOR 610、FOR 518の既受講者で、次のレベルのスキルを身につけたいと思っている方
  
  
  

GIAC Advanced Smartphone Forensics

仕事や私生活におけるモバイルデバイスの普及は、ますます広範で複雑なものになっています。連絡先リスト、電子メール、業務文書、SMSメッセージ、画像、インターネット閲覧履歴、アプリケーション固有のデータなど、これらのデバイスが持つデータの量と種類は、デバイスを持ち歩く個人にとって重要であり、フォレンジック調査のための豊富なデータソースとなります。

• モバイルフォレンジックの基礎とフォレンジック調査の実施
• デバイスのファイルシステム分析とモバイルアプリケーションの動作
• イベントアーティファクト分析とモバイルデバイスのマルウェアの識別と分析

• インシデント対応におけるモバイルデバイスの位置づけ
• マルウェアやスパイウェアが存在しているかどうかの確認
• マルウェアを隔離するための処理
• 詳細分析のためのマルウェアのデコンパイル
• セキュリティが破られた対象の特定

• Android OS
• Apple iOS
• SDカード
• クラウドベースのバックアップとストレージ
• Googleやその他のクラウドで同期されるデータ
• アプリケーションの削除、消去、非表示など意図的に変更されたデバイス

• スマートフォンから削除された情報の復元
• SQLiteデータベースの詳細な調査
• スマートフォン上でのユーザ活動の痕跡調査
• サードパーティー製アプリケーションからのデータのリカバリー
• スマートフォンでのユーザーのオンライン活動追跡(メッセージングやソーシャルネットワーキングなど)
• アプリケーションのファイルの調査
• 手作業によるデータの回復と結果の検証
• データベースから情報を抽出するためのSQLクエリの作成
• ユーザー・ベースおよびスマートフォン・ベースのアーティファクトの理解
• システムとアプリケーションの利用ログにより、アプリケーションが使用されていた場所・状況を確認する

• ツールの詳細な利用方法
• カスタム・スクリプトを使用した削除済みデータの解析
• スクリプトを利用したフォレンジック分析
• データの復元
• カスタムSQLクエリの作成
• 物理的・論理的キーワード検索
• スマートフォンの情報を利用した、手動でのタイムライン生成・リンク解析
• 信頼できるデータセットを使ったツールの妥当性確認

• アーティファクトが生成された場所に容疑者を配置することを目的とした、スマートフォンおよびスマートフォンコンポーネントからの位置情報情報の利用

• ロックされたスマートフォンからの証拠情報抽出
• 暗号化のバイパス (カーネルおよびアプリケーションレベル)
• パスコードのクラッキング
• スマートフォンのバックアップの復号
• サードパーティーのアプリケーションファイルの復号
• SDカードからの暗号化データの確認

• デバイスへの変更適用
• ホットデバイスとコールドデバイスの取り扱い方法
• デバイスのリモートアクセスを防止する方法
• 特定の時間におけるユーザーまたはアクティビティをデバイスに結び付ける方法
• モバイルデバイスマネジメントが有害となるケース

FOR 585では、31の実践的なラボと最終チャレンジ課題を用意しており、受講者はテキストで学ぶだけでなく、データを手動で回復するテクニックを実際に試すことができます。一部のラボではあなた自身が実施内容を選べ、特定のデバイスについて知識を深める必要がある方は時間の許す限り他のラボを実施することができます。
このコースのラボでは、次のトピックについて取り上げます。

• Malware and Spyware -- ここでは2つのラボが用意されており、Androidデバイスから回収されたマルウェアを調査、識別、手動で逆コンパイルし、分析する方法を受講生が理解できるようになっています。ここで使用されるプロセスは、一般に流通しているフォレンジック調査のやりかたやキットをはるかに超えたものです。練習用に、ボーナスでIPAおよびAPKファイルが用意されています。USBにはさらに2つのボーナスラボが格納されています。
• Android Analysis -- ここでは4つのラボが用意されており、ロックされたデバイスを手動でクラックしたり、削除されたデータを復元したり、ツールの出力結果を検証したり、ユーザーをアーティファクトの示す文脈に沿って置いたりします。また、サードパーティーのアプリケーションファイルを解析して、市販のフォレンジックツールでは一般的に解析されないユーザーデータを取得する方法を教えるように設計されています。追加ラボでは、Androidデバイスからロックコードを手作業で解読する方法を教えます。ボーナスラボでは、稼働中のデバイスを手動で操作し、情報を引き出す方法を教えます。
• iOS Analysis -- 5つのラボを通じ、削除されたデータの復元、ツールの出力結果の検証、plistやデータベースの手動解析、サードパーティー製のアプリケーションのファイル解析などを行い、市販のフォレンジックツールでは一般的に解析されないユーザーデータを取得する方法を教えます。さらに、暗号化されたイメージからデータを解析するためにツールを「だます」手法がラボに組み込まれています。ボーナスラボでは、稼働中のデバイスを手動で操作して、費用が掛からないやりかたで関連情報を引き出す方法を生徒に教えます。コースUSBには他のボーナスラボが格納されています。
• Backup File Analysis -- 3つのラボを通じ、iOSとAndroidのバックアップファイルを解析する方法を教えます。これらのラボでは、データベース、plist、サード・パーティーのアプリケーション・データからデータを解析します。BlackBerryのバックアップに関するボーナスラボが提供されます。
• Wiped Phone Analysis -- 受講生にとってもっとも難しいラボの1つです。なぜならば、ここで使用するデバイスは事前に消去されているためです。受講生はこのコースで学ぶあらゆる方法を駆使し、スマートフォンからどのような情報を回収できるのか確かめられます。
• BlackBerry 10 Analysis --このラボでは、外部メディア (SIMカード) をデバイスに接続し、データが手動でどのように分割・解析されるかを理解し、BlackBerry 10アプリケーションがAndroidやiOSとどのように異なるかを理解する機会を受講生に提供します。このラボで使用する方法は、SIMカードを搭載し、サードパーティーのアプリケーション(Android、Windows Phone、Nokiaなど。)を利用する他のスマートフォンにも適用されます。
• Knock-off Phone Analysis --このラボでは、コピー製品のデバイスの処理、ファイルシステムの理解、市販のツールで解析されなかったデータのデコードに重点を置いています。
• Third-Party Application Analysis --このラボでは、複数のスマートフォンデバイスにおけるサードパーティー製アプリケーションを調べたり、市販のツールでは一般的に解析されないアプリケーションを手動で解析します。
• Parsing Application Databases -- 3つのラボにより、テーブルを解析するためのSQLクエリーを作成し、添付ファイルをチャットプリケーションからリカバリーできます。ラボでは、商用ツールができる以上のことを深く掘り下げて実施するよう、生徒が挑戦することが要求されています。
• Browser Analysis --このラボでは、コンピュータとモバイルデバイスの間でのブラウザのアーティファクトの類似点と相違点を示します。市販のツールは何らかの証拠を解析するのに適しているかもしれませんが、このラボではその観点で見逃されているものに焦点を当てます。
• Smartphone Forensic Capstone -- コース最後のチャレンジでは、通信、サードパーティー製アプリケーション、インターネットの履歴、クラウドとネットワークのアクティビティ、共有データなど、このコースを通じて学んだことを一通り振り返ります。様々な種類のスマートフォンを対象とします。この演習は、FOR 585で学んだことを深く掘り下げることで、実務に戻った後すぐに今回の知識を活用できるようになっています。