「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。
Smartphone Forensic Analysis In-Depth
Digital Forensics and Incident Response
English1日目:9:00-17:30
2日目~6日目:9:30-17:30
早期早割価格:1,300,000円(税込み 1,430,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,420,000円(税込み 1,562,000円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!次の手順に従って設定されたPCを持参してください。
この講義に参加するには、事前に適切にセットアップされたシステムが必要です。指示を注意深くお読みください。そうでないと、このコースで重要となる演習に参加できないためご参加の際の満足度が下がる可能性があります。指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
講義の前にはシステムのバックアップを必ずお願いします。システムには機密情報を保存しないでください。SANSは、お客さまのシステムやデータに関して責任を負いません。
コースメディアはダウンロード型で配信されます。授業で使用するメディアファイルは、サイズが非常に大きくダウンロードが完了するまでに十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。
コース教材には「セットアップ手順」という文書が含まれており、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳しく説明されています。これらの手順を完了するには、30分以上かかる場合があります。
クラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
スマートフォンのフォレンジックには、スマートフォンならではの考え方を必要とします。
システムの稼働履歴やアプリケーション間でのやりとりなどを、ユーザの操作によるものと誤報告するような過ちは避けましょう。今こそスマートになるときです!
いま、机にスマートフォンが置かれ、ユーザーが特定の日時に特定の場所にいたかどうかを判断する仕事があなたに与えられたとします。あなたはフォレンジックツールを頼って、データのダンプと解析に着手します。ツールによってデバイスにひもづいた位置情報が表示されます。さて、あなたはユーザーが確実にその場所にいたことを証明できるでしょうか。 特定の日付と時間にある場所で起こったことを、客観的に提示することはできるでしょうか。ツールで表示される情報が、ユーザがとった実際の行動ではない可能性があることを理解しているでしょうか。
モバイルデバイスは、多くの場合、刑事事件、不法侵入、知的財産権の窃取、セキュリティ上の脅威、事故調査などでの重要な要素となります。デバイスのデータを正しく活用する方法を理解することは、エキスパートとしてのあなたの立場と将来を左右する可能性があります。FOR 585では、そのようなスキルをお示しします。
スマートフォンが計算処理をしたり、何かをユーザに表示・提示したりするたびにデータが保存されます。フォレンジックツールがレポートする情報には、簡単に惑わされる可能性があります。スマートフォンのフォレンジック捜査は「証拠を確認する」と表示されたボタンを押して回答を得られるようなものではないのです。あなたのチームにはツールばかりに頼っていられる余裕はありません。デバイス上で起きたと思われることをツールに報告させるだけではなく、調査の指針として正しく使用する方法を理解する必要があります。市販のツールだけでは、スマートフォンのデータをすべて解析して、そのデータがデバイスにどのように書き込まれたかを理解することは不可能です。データの調査と解釈はあなた自身の仕事です。このコースではあなたとあなたの所属組織に、自信を持ってスマートフォンから正しい証拠を見つけ、抽出する能力を提供します。
スマートフォンのフォレンジックに関するこのコースでは、フォレンジックの実践者と調査者に高度なスキルを提供し、モバイルデバイスから回収された証拠を検出、デコード、復号し、正しく解釈するための知識を受講者にお伝えします。
FOR 585では、31のハンズオンラボやフォレンジックについての課題が提供され、受講生がスマートデバイスから様々なデータセットを分析し、フォレンジックツール、メソッド、自作のスクリプトを使いながら、スマートフォンのデータがいかに隠され、フォレンジックツールの誤用によって容易に誤解され得るかを学べるようになっています。各ラボは、各種のスマートフォンに適用できるように設計されています。複数のプラットフォームでさまざまなデータ形式に対する経験を積み、各種スマートデバイスでデータを保存・エンコードする方法を学習します。ラボでは、フォレンジックツールに100%依存してしまうことで見逃してしまう可能性がある要素に目を向けます。
6日間の集中的なコースは継続的にアップデートされています。最新のマルウェア、スマートフォンのOS、サードパーティーアプリケーション、ジェイルブレークとルート化)、暗号化などに対応します。FOR 585は、地球上で最もユニークで最先端の講義を提供しており、実務に戻った際すぐに適用できる、モバイルデバイスのフォレンジックの知識を提供します。
スマートフォンの技術は常に変化しており、多くのフォレンジック専門家は各テクノロジーのデータ形式に精通しきれていません。あなたのスキルを次のレベルに持っていきましょう。今、善人として活動している人たちはもっと賢くなるときです。そして悪人たちには、自分たちのスマートフォンでの行動はフォレンジックの専門家たちにより解析できてしまうこと、そして今後解析されてしまう可能性があることを知らしめるときなのです!!
スマートフォンのデータは永遠に隠し通せるものではありません。モバイル端末との戦いにうまく勝ち抜いていきましょう。
このコースの参加にあたっての前提条件はありませんが、フォレンジックに関連するファイルの構造や用語の基本的な理解をすすめておけば、高度なトピックを理解するのに有用です。過去にモバイルデバイスのフォレンジックについてのトレーニングを受講していれば役に立ちますが、必須ではありません。基本的なフォレンジックの情報取得手法はこの講座では取り上げませんが、ボーナスコースの教材でカバーしています。このクラスは、分析、高度なアクセス方法、スマートフォンのアーティファクトの理解に重点を置いています。
FOR585は、スマートフォンやモバイルデバイスのフォレンジックを経験しており、新たに足を踏み入れる方々に向けてデザインされています。デジタルフォレンジックの担当者がスマートフォンなどのモバイルデバイスを扱う際の基本となる知識と、実践的なスキルを学びます。次のようなお客さまにとっては"Must"の存在です。
仕事や私生活におけるモバイルデバイスの普及は、ますます広範で複雑なものになっています。連絡先リスト、電子メール、業務文書、SMSメッセージ、画像、インターネット閲覧履歴、アプリケーション固有のデータなど、これらのデバイスが持つデータの量と種類は、デバイスを持ち歩く個人にとって重要であり、フォレンジック調査のための豊富なデータソースとなります。
アーティファクトが生成された場所に容疑者を配置することを目的とした、スマートフォンおよびスマートフォンコンポーネントからの位置情報情報の利用
スマートフォンのインシデント・レスポンス・テクニック
FOR 585では、23+の実践的なラボと最終チャレンジ課題を用意しており、受講者はテキストで学ぶだけでなく、データを手動で回復するテクニックを実際に試すことができます。一部のラボではあなた自身が実施内容を選べ、特定のデバイスについて知識を深める必要がある方は時間の許す限り他のラボを実施することができます。
このコースのラボでは、次のトピックについて取り上げます。
「デジタルフォレンジックにおいては、ほぼすべてのケースで、スマートフォンやモバイル機器が関係しています。多くの場合、スマートフォンは捜査に関連する、唯一のデジタルな証拠となり、最も個人に近いデバイスです。スマートフォンをパソコンと同じように共有する人はどれくらいいるでしょうか。おそらく多くはないでしょう。スマートフォン上に存在する全てのデータを回復する方法を知ることは、私たちに最も期待されていることなのです。フォレンジックを行う者は、スマートフォンの取り扱いやデータ回復、ロックされたデバイスへのアクセス、デバイスに隠れされているデータを手動でリカバリーする基礎などを理解しなければなりません。FOR 585は、モバイルデバイスのフォレンジックの初心者とモバイルデバイスの専門家に必要な知識を提供します。このコースには皆さんになんらか提供できるものがあります! このコースとGIAC認定と競合するものはありません。」- Heather Mahalik
「今日、世界人口の約85%が携帯電話を持つようになっています。米国単体で見ると、その半数がスマートフォンとなっています。これらの機器から情報を抽出したり、分析したりするためのツールや技術は日々変化しています。携帯電話がより洗練された形で個人データを保持し、データが難読化しているため、ツールやフォレンジック調査の実践者は、関連するデータをつまびらかにするため挑戦をする毎日です。FOR 585では、現在、市場で入手できるスマートデバイス分析ツールのうち最良なもののいくつかを掘り下げるだけでなく、新しいアプリケーションや課題が発生したときにスマートデバイスをより深く調査・分析するためのベストプラクティスやテクニックをフォレンジックの実践者に提供します。FOR 585は、受講生を常に最先端の存在として居させ続けるのです。」- Domenica Crognale
スマートフォンフォレンジックの概念はデジタルフォレンジックの概念に似ていますが、スマートフォンのファイルシステムの構造は異なり、デバイスから取得したデータを正しく解釈するためには特殊なデコードスキルが必要です。1日目は、スマートフォンフォレンジックのハンドリング、デバイスの機能、取得方法、SQLiteデータベースの検査、およびクエリの開発を学びます。またAndroid端末の概要についても説明します。一日の最後には、AndroidとGoogleに関連するAndroidのバックアップとクラウドのデータを検証します。受講者は、スマートフォンのデータの包括的な検査を完了させるために必要なフォレンジックツールに慣熟できます。
スマートフォンの普及により、デジタルフォレンジックへの期待が高まっています。このパートでは、まず最初にスマートフォンの概念とフォレンジックの意味合いを手早く復習します。暗号化、パスワード、破損したデバイスなど、一般的な課題に対処するためのアプローチを提示します。受講生は、ホット/コールドデバイスのような異なる状態のデバイスの取り合い方を学びます。フォレンジックの観点からモバイルデバイス上のデータを処理およびデコードする方法について解説し、フォレンジックツールでは取得できない情報を復元するための戦術について説明します。
フォレンジック調査者は、スマートフォン上の情報を解釈および分析するための考え方と、これらのデバイスからデータを抽出するための既存の方法の限界を理解しなければなりません。このコースでは、暗号化の問題への対処法、スマートフォンのコンポーネント、普段目にすることのないミスフィット・デバイスに関するボーナス資料、SQLiteの概要、クエリ言語、テーブル結合など、盛りだくさんの内容となっています。
クラスで使用されるSIFT Workstationには、スマートフォンのフォレンジックツールセットが搭載されており、1週間を通じたツールキットと作業環境として提供されます。
Androidデバイスは世界で最も広く使用されているスマートフォンの1つであり、フォレンジックにおける対象となることはまず間違いありません。残念ながらAndroidデバイスにアクセスするのは以前ほど簡単ではありません。Androidデバイスにはデコードして有用な情報に変換できる大量のデータが保存されていますが、Androidのロックをバイパスし、そこに保存されたデータを正しく解釈するための適切なスキルを身につけなければ、急速に進化するスマートフォンのフォレンジックに備えることはできません。ツールを使用して取得したAndroidデータは、様々な形式で存在する可能性があります。フルファイルシステムを取得しないと、データが欠落することがよくあります。スマートフォンの検査担当者は、ファイル構造とデータの解析方法を理解する必要があります。
デジタルフォレンジックの担当者は、Androidデバイスのファイルシステム構造と、そこに格納されている情報を抽出して解釈するためのデータの格納方法を理解する必要があります。2日目は、Androidデバイスのファイル・システム・レイアウトについて詳しく説明し、証拠となる価値のあるファイルを含む共通領域について説明します。Androidデバイス上のユーザアクティビティのトレースと、 SQLiteレコードや生データファイル、削除データのリカバリについても説明します。 暗号化のレベルとデータベースのVACUUMによって、復元可能なものとその期間が決まります。一部の遺物は腐敗しやすく、わずか24時間しかデータを保持できません。FOR585はそのような事態を解決します。
ハンズオンでは、スマートフォンのフォレンジックツールを使用して、Androidデバイスからさまざまな情報を抽出、デコード、分析します。既に学んだSQLiteを使って、商用ツールではサポートできない情報を解析するクエリーを作成します。ツールがAndroidデバイスから情報を抽出できない場合は、ADBを使用して手動で目的のデータを抽出します。誰が、何を、いつ、どこで、どのようにAndroidデバイスにデータを作成したかを説明する方法を実演します。
Apple iOSデバイスには、デコードして有用な情報に変換できる大量のデータ (削除されたレコードを含む) が格納されています。ロックされたiOSデバイスをバイパスしてデータを正しく解釈するには適切なスキルが必要です。このコースでは、ジェイルブレイクとエクスプロイトを使用した情報抽出のテクニックについて説明します。iOSに関する知識が無い状態では、フォレンジック調査の主要な対象になる可能性が高いiOSデバイスへの準備ができていないことになります。
このセクションでは、iOSデバイスについて説明します。デジタルフォレンジック担当者は、Apple iOSデバイスに含まれる情報を抽出して解釈するために、それらのデバイスのファイルシステムの構造とデータレイアウトを理解する必要があります。その方法を学ぶために、iOSデバイス上のファイル・システム・レイアウトを詳しく調べ、証拠となる価値のあるファイルを含む共通データ領域について説明します。ここでは、暗号化、復号化、ファイルの解析、ユーザー・アクティビティーの痕跡について詳しく取り上げます。
実習では、スマートフォンのフォレンジックツール、ArtEx、その他のオープンソースツールを使用して、iOSデバイスからさまざまな情報を抽出・分析します。削除されたデータや復元不可能なデータは、スマートフォンのフォレンジックツールや、iOSデバイスのフォレンジックをサポートするスクリプトを使って、手動でデコードしていきます。
iOSのバックアップは非常に一般的な構造で、クラウドやハードディスクドライブでよく見られものと同様です。ユーザーが作成するバックアップがフォレンジックに最良のデータであることはよくあります。アンドロイドのバックアップは、ネットワーク・サービス・プロバイダーとグーグル以外では一般的にバックアップを取らないため、少し異なる。4日目は、バックアップとクラウドのデータを抽出し、アーティファクトを分析する方法について説明します。また、マルウェアが時としてスマートフォンに影響を与えることがあります。4日目にはあわせてさまざまなマルウェアについて学習し、スマートフォン上でマルウェアがどのように存在しているか、どのようにしてマルウェアを特定し、分析するかを学びます。市販されているスマートフォン用ツールのほとんどはマルウェアの識別に役立ちますが、このコースで説明するレベルまでマルウェアを解析しつくすようなことはできません。この日だけで5つものラボを実施することになります!1日の最後には、意図的に変更された(データの削除、消去、非表示)スマートフォンのデータからユーザーデータの復元について、講義を通して学習したツールや手法を使って挑戦します。
クラウドデータ、テイクアウト抽出、iOSバックアップファイルは、一般的にデジタルフォレンジック調査の一部です。このコースでは、バックアップファイルとクラウドの内容、手動によるデコード、暗号化されたバックアップファイルイメージの解析とクラッキングについて深く理解することができます。iOSバックアップファイルは基本的にファイルシステムからの抽出であるため、前日に学習した方法をこの日の最初では利用します。今日のフォレンジック担当者は、スマートフォン上のマルウェアの存在に対処しなければなりません。調査にあたっての唯一の質問が、特定のスマートフォンが侵害されたかどうか、どのようにしてそれを修正するために何ができるかということである場合が多くなっています。スマートフォン上のマルウェアとその存在の識別方法を理解することは、フォレンジック調査の担当者にとって重要なことです。
ハンズオンでは、スマートフォンのフォレンジックツールなどを使って、 iOS のバックアップ、モバイルマルウェアを含む Android 端末、ユーザーが意図的に操作・改変した端末から、さまざまな情報を抽出して分析します。受講生は、消去、暗号化、削除されたデータや、スマートフォンのフォレンジックツールを使って復元できないデータを手作業でデコードする必要があります。
5日目は、各種のスマートフォンに対応したサードパーティー製アプリケーションを取り上げるところから始まり、調査のためにアプリケーションのデータと設定ファイルを利用する方法を学習します。残りの時間は、チャットアプリケーション、削除されたアプリケーションデータと添付ファイルの復元、モバイルブラウザのアーティファクト、およびコピー製品におけるフォレンジックに重点が置かれます。このセクションで学習する内容により、各種スマートフォンにインストールされたサードパーティー製アプリケーションのデータをデコードするスキルを身に付けます。また、市販のツールの弱点や限界も紹介し、これらのアーティファクトを自分自身で復元する方法を教えます。
ハンズオンでは、スマートフォンのフォレンジックツールを使用して、サードパーティー製アプリケーションファイルを抽出して分析し、データを手動で検索して復元します。受講生はスマートフォンのフォレンジックツールや、自分で作成したSQLiteクエリを使って、削除されたデータや復元できないデータを手動でデコードするとともに、複数のスマートフォンからサードパーティーのアプリケーションデータを手動でデコードします。受講生は、調査に必要なデータを解析するためのパイソン・スクリプトの修正方法と、コースで作成したクエリからデータを自動的に解析するための商用ツールの活用方法を学ぶ。実践的な演習では、受講生がコースでこれまでに学んだことをすべてまとめ、複数のスマートフォンからサードパーティーのアプリケーションデータを手動でデコードする必要があります。このセクションが終了すれば、フォレンジック・ツールでは復元できないアーティファクトを復元するスキルがあることが証明されます。
最終日は、コースで学習したすべてのことを再確認します。少人数のグループで3台のスマートフォンを調べ、実際のスマートフォンのフォレンジックに基づくシナリオを解きます。各グループは、3つのスマートフォンを個別に分析し、手動でデータをデコードして特定の質問に答えます。また、調査仮説を立てたうえでレポートを作成して所見を発表します。
受講生をグループ分けし、調査結果を発表することで、1週間で教えられた技術に対する受講生の理解度を確認します。オンデマンドの受講生は、クラスコインを獲得するために、講師に対してバーチャルにプレゼンテーションを行う機会があります。調査結果は技術的な裏付けを伴うものであるべきであり、マニュアルでの作業によるリカバリー手順と、フォレンジック手順のプロセスを含む必要があります。エグゼクティブサマリーの作成が求められます。
各グループは、実際の調査と同様に、演習中に次の重要な質問に答えるよう求められます。