NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Digital Acquisition and Rapid Triage
※本コースは中止となりました。次回開催をお待ちください。
Digital Forensics and Incident Response
English2025年3月3日(月)~2025年3月8日(土)
1日目: 9:00-17:30
2日目~6日目: 9:30-17:30
◆LiveOnline形式
オンライン
早期早割価格:1,300,000円(税込み 1,430,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,420,000円(税込み 1,562,000円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!次の手順に従って設定されたPCを持参してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定されたすべての要件を満たすシステムでご出席ください。
授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSは、あなたのシステムやデータについて責任を負いません。
コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。前日の夜にダウンロードを開始すると間に合わない可能性があります。
コース資料には「セットアップ手順」が含まれており、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順が詳しく説明されています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
時間は刻一刻と迫っている。最も価値のある証拠を優先的に処理する必要があります。その方法をお教えしましょう。
FOR498 デジタル収集と迅速なトリアージは、次のようなことに役立ちます:
どのような調査でも、最初のステップは証拠の収集です。デジタルフォレンジック調査も同じです。この種の調査で使用される証拠はデータであり、このデータは様々な形式や場所に存在します。まず、必要と思われるデータを特定し、そのデータがどこに存在するかを決定し、最後にそのデータを収集するための計画と手順を策定できなければなりません。
デジタル・フォレンジックの取得では、データを適切に収集するチャンスは通常一度しかありません。取得の管理を誤ると、調査に損害を与えるだけでなく、より重要なこととして、証拠として使用できたデータそのものを破壊してしまう危険性があります。
今日、市場にはさまざまな記憶媒体が出回っており、すべての媒体について標準化された方法論など、とうてい通用しない。デジタル証拠の収集において多くのミスが犯されており、これにより有罪の者が釈放され、さらに重要なこととして、無実の者が投獄される可能性がある。何百万ドル、何千万ドルという金額の処分は、あなたが適切に収集し、解釈する任務を負ったビットとバイトの中にある可能性がある。
審査官は、もはや1台のハードドライブの「デッドボックス」画像処理に頼ることはできない。今日のサイバー社会では、多くの人がデスクトップ、ラップトップ、タブレット、携帯電話を1日の中で使い分けています。この問題をさらに深刻にしているのが、クラウド・ストレージやプロバイダーの利用拡大であり、これらすべての領域からデータを適切に収集することは、かなりの負担になりかねない。
この綿密なデジタル収集およびデータ処理コースは、第一応答者や捜査官を問わず、幅広いストレージデバイスやリポジトリからのデータに適切に対応し、識別し、収集し、保存するために必要な高度なスキルを提供し、証拠の完全性を保証します。常に更新されるFOR498は、実際のケースに対処する際に捜査官が必要とする課題や技術に関する幅広い知識と理解に対する今日のニーズに対応しています。
コース全体を通して数多くの実習を行うことで、第一応答者、捜査官、デジタル・フォレンジック・チームは、ハードドライブ、メモリースティック、携帯電話、ネットワーク・ストレージ・エリア、およびその間にあるあらゆるものからデジタル取得を行う際に必要となる実践的な経験を積むことができます。
デジタル・フォレンジックへの対応や調査の際、調査が始まる前に終わってしまわないよう、組織は可能な限り熟練した対応者を必要とします。FOR498: デジタルアクイジションとラピッドトリアージは、データがどこに隠れていようが、どこに存在しようが、対応し、識別し、収集し、保存するために、あなたとあなたのチームを訓練します。
GIAC Battlefield Forensics and Acquisition (GBFA)認定は、個人が多くの形式のデータストレージの適切な収集、取得、および迅速なトリアージ分析について訓練され、資格を持っていることを証明します。
認定試験の詳細はこちら
「FBIで特別捜査官として勤務していた頃、デジタル・フォレンジック・コミュニティは、大量のデータを効率的な方法で調べ、迅速に答えを導き出すためのより良い方法を必要としていることが明らかになりました。ストレージの容量が増えるにつれ、従来の方法では収集や分析の観点から時間がかかるようになりました。このため、私は法執行機関(およびそれ以外)のコミュニティで使用するトリアージ・ソフトウェアを作り始めた。この問題は、私がFBIを辞めてからも変わっておらず、むしろ増え続けている。そのため、私はこの問題に対して新たなアプローチを取ることにしたのだが、今回はデジタル・フォレンジック・コミュニティーの全員に配布できるような方法で行うことにした。その結果がKAPEであり、インシデント対応者の判断で迅速に収集・分析できるようにした。もちろん、データを処理することは方程式の一部に過ぎないので、このコースでは、取得について、つまり、遭遇したデバイスからデジタルデータを取得する方法について、かなりの時間を費やしています。特定の機器や状況に対する具体的なテクニックについて話すだけでなく、取り上げるトピックの多くについて、新しい機器に遭遇したときに成功するためのフレームワークを提供します。このコースでは、「答えのあるデータを得る」「データから答えを抽出する」という2つの重要な分野に焦点を当てます。クラスでお会いできるのを楽しみにしています。」
「私のデジタル・フォレンジックの経験は1990年代半ばに始まりました。当時は、16進エディターが検査官の最も重要なツールでした。フォレンジックを効果的に行うには、最も基本的なレベルでデータを理解する必要がありました。今日に至っては、フォレンジック検査者が必要とするほとんどのタスクを実行するツールが無数にある。この副産物として、検査者は利用可能なツールの量だけでなく、レビューが必要なデータの量に圧倒される可能性があります。私たちは、膨大な量の不要なノイズを排除し、ハードディスク・ドライブ上の最も重要な情報に焦点を絞ったアプローチが業界に必要であることを認識しました。また、審査官は、削除されたデータと、これまで見逃してきた最も重要な情報のいくつかを抽出する方法について、よりよく理解する必要があることも認識しました。最後に、私たちは近年、マシンから取り外すことができないストレージを含むデバイスが数多く使用されていることに注目しています。これにライブ・レスポンスや静止状態で暗号化されたデータが加わると、ある種のアプローチを変えなければならないことを認識しなければなりません。こうしてFOR498が誕生しました。私たちがこのクラスを書くのを楽しんだのと同じように、みなさんがこのクラスを受けるのを楽しんでくれることを願っています。」
「FOR498は素晴らしいコースです!ケビン・リパは内容を面白く伝える素晴らしい仕事をしてくれました。また、ケビン・リパは、内容を面白く伝える素晴らしい仕事をしてくれました。彼の個人的な話や例は、コースを魅力的で現実に根ざしたものにしてくれました。」
- Christopher Coy, Microsoft
データを理解する
現場管理と証拠取得
デバイスとインターフェースの識別
データの押収や取得に2度目のチャンスはない。初回から確実に成功させましょう。
ポータブル・デバイスは、独自の課題をもたらします。これらのデバイスはコンピュータよりもユビキタスです。今日、携帯端末が含まれていないケースはめったにありません。残念ながら、セルラーOSには標準がない。ブランド内でも、データストレージが大きく異なることがあります。このコースでは、いくつかのデバイスと、それらを取得するためのツールを紹介します。
捜査官や第一応答者は、最新のツール、デジタル・コンテナ・アクセス技術、膨大な種類のデバイスやリポジトリを識別し、アクセスし、証拠を保全するための企業手法で武装しなければならなりません。また、企業内の何千ものシステムにわたって、識別と収集を拡張できなければなりません。エンタープライズおよびクラウドストレージの収集技術は、多くのデバイスに意図的または非意図的に広がっている活動を追跡するための要件となっています。このような多数のシステムに対応することは、標準的な「ハードディスクを抜き取る」フォレンジック検査方法では達成できません。そのようなアプローチは、ハードディスク全体をフォレンジック的に画像化するのに時間がかかるため、機会を失うことになります。さらに、捜査官は、可能な限り迅速かつ責任を持って、実用的なインテリジェンスを必要としています。このコースでは、現場への最初の到着から、静止状態のデータを理解し、収集を成功させるために必要なデバイス、インターフェイス、ツールを適切に識別するための基礎まで、証拠収集の基礎を学びます。
また、データについて最善の判断ができるように、アダプターや識別はもちろんのこと、無数の収集ハードウェアとソフトウェアについても探求します。
スマートフォンの取得
スマートフォンの分析
アンドロイド
買収ハードウェアとソフトウェア
取得方法
データの発見と操作
Quick Win Forensicsは、事件を前進させるために必要な1パーセントのデジタル証拠を見つけ、抽出し、処理することを優先します。
必要な証拠の99パーセントは、通常、取得したデータの1~2パーセントに存在することを考えると、今日のデジタル・フォレンジックの世界で、通常の手順に従っていかに多くの時間を無駄にすることができるかは、容易に理解できます。その代わりに、この1~2パーセントに焦点を当て、調査をより早く開始するために使用できる、非常に迅速なトリアージコレクションを実行しましょう!
あまりにも多くの場合、コンピュータは「オン」の状態で押収され、「それがいつものやり方だから」という理由ですぐに電源が落とされます。今日のコンピューターでは、これは何ギガバイトものデータを捨てている(実質的に破壊している)ことを意味します。コンピュータのRAMは、キー入力からネットワーク接続、実行中のサービス、そして極めて重要なパスワードや復号化キーに至るまで、データの宝庫です。ファイルレス・マルウェアの普及が著しくなっている現在、多くの場合、証拠が存在するのはメモリ上だけです。もう一つ見落とされがちなのが、フルディスクの暗号化です。このような場合、「ライブ」取得が唯一の希望となります。
収集プロセスの開始
証拠のマウント
トリアージ取得
メモリ取得と暗号化チェック
ホストベースのライブ取得
デッドボックスの取得
クラウドコンピューティングとストレージはますます一般的になりつつあります。これらの重要なデータを収集する方法をご存知でしょうか。
取得というと、通常はコンピュータの側面を開け、ハードディスクを取り出し、書き込みブロッカーや画像処理装置に接続し、作業を完了させることです。これは必ずしも不正確な評価にはならないですが、今日の多くのデータを取り巻くアクセスや取得に関する多くの疑問には対処できません。もしフルディスクイメージングが必要なら、ストレージ自体から直接行う方が簡単で早いのは確かです。しかし、iPad、Surface Book、その他ネジの代わりに接着剤で固定されている機器などはどうなるのでしょう。
ボリュームシャドウコピーには、捜査当局にとって非常に有用な履歴データが豊富に含まれています。Windowsオペレーティングシステムが関係する事件では、これらのシャドーコピーにアクセスしてデータを収集する方法を知ることが重要です。
迅速なトリアージは、デジタル・フォレンジックの最先端と考えられています。コンピュータのどこに最も価値のあるデータが存在するのか、そしてそれらを可能な限り速く入手する方法についての深い知識が必要である。効果的な致命的フォレンジケーターは、90分以内に実用的なインテリジェンスを抽出する必要がありますが、フォレンジック・イメージングが完了した時点から時計が始まるわけではありません。むしろ、デバイスを手にした瞬間から始まるのです。
このコースでは、非伝統的な保存領域にあるデータを特定し、アクセスする方法を学びます。今日の世界では、非常に多くのデータがオフサイトで保管されており、それらのデータにアクセスし、適切に取得する方法はほとんどありません。SharePoint、Exchange、Webメール、ネットワークロケーション、クラウドストレージ、ソーシャルメディアはもちろん、Dropbox、Google Drive、Internet of Thingsなど、これらのロケーションを特定します。また、RAIDストレージや、構成に関係なくこれらのデバイスを最適に収集する方法も含まれます。ほとんどのエンタープライズ調査の最前線に移動し、vSphereと仮想マシンのコレクションも調査します!
ファイルシステム再訪
KAPEによる迅速なトリアージ
マルチドライブストレージ
EMC/非従来フォーマット
リモート取得
アップルは、従来のデバイスとは全く異なるアプローチが必要である。
このコースでは、アップル社製デバイスからデータを取得するための基本を探ります。Windowsに比べ、Apple製品のデータ取得に関して利用できるツールやテクニックは非常に少ない。存在するツールは非常に高価で、無料のツールはほとんどありません。このコースでは、メモリーを取得し、CoreStorageテクノロジーとフルディスク暗号化を実行しているシステムを特定します。また、APFSがもたらす課題も見ていきます。アップルのシステムの多くはクローズド・システムであり、ハードディスク・ドライブはマザーボードに直接はんだ付けされているため、取り外すことができません。データストレージの独自性から、別の取得方法が要求されます。
このコースでは、iPad、MacBook、その他のHFS+デバイスにアクセスし、コマンドラインを使ってフォレンジック・イメージする方法と、最新のハードウェアで最新のmacOSバージョンもイメージできる、無料の取得用ブートディスクを作成する方法を学びます。
私たちの冷蔵庫、サーモスタット、防犯カメラ、ドアロックなどを制御している「モノのインターネット」も見逃せません。それは受動的に耳を傾け、実行するための指示を辛抱強く待っています。このセクションでは、これらのデバイスがどのように通信しているのか、そしてさらに重要なのは、誰がそれらを制御しているのかを学びます。
Apple MacOSデバイスの概要と取得
モノのインターネット(IoT)
ツールは失敗し、テクニックは古くなる。
IP、電子メール、ウェブアドレスからアーティファクトを突き止めました。さて、どうしますか?このコースでは、適切な収集から法的文書化まで、帰属を決定するための最善の方法を学びます。
ファイルやストリームのカービングの有用性は、いくら強調してもしすぎることはありません。データの中には、ビューワが容易にアクセスできる定義されたファイル・スペースに存在しないものもあります。部分的に上書きされたデータから削除されたデータまで、従来のツールでは対応できない場合のテクニックを探ります。
データの切り分けは、ますます重要なスキルです。ファイルへの参照が破壊された後、どのようにしてデータを復元できるのでしょうか?ファイル・カービング・ツールはこれを支援しますが、検査者はツールの限界を理解する必要があります。元のファイルの適切な断片がなければ、カービングは役に立ちません。
オンライン資産所有者の特定
ファイルとストリームの復元
高度なデータの切り分けと再構築
ここからどこへ行くのか