ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 585

Smartphone Forensic Analysis In-Depth

Digital Forensics and Incident Response

English
日程
2026年3月2日(月)~2026年3月7日(土)
期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場
オンライン
GIAC認定資格
GASF
講師
Domenica Crognale|ドメニカ クログネル
SANSシニアインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 point
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2026年1月16日(金)
通常価格:2026年2月20日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand 価格:149,850円(税込み 164,835円)
  • NetWars Continuous 価格:266,250円(税込み 292,875円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOE585 PC設定詳細

重要!次の手順に従って設定されたPCを持参してください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。

システムハードウェア要件

  • CPU: 64 ビット Intel i5/i7 (第 8 世代以降)、または 同等のAMDプロセッサ。このコースでは、x64 ビット、2.0GHz以上のプロセッサが必須です。
  • 重要:Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS 設定で「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にする必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできることを確認してください。
  • 32GB以上のRAMが必要です。
  • 50GB以上の空きストレージ容量が必要です。VM に少なくとも 16 GB の RAM を割り当てることができない場合、良いエクスペリエンスは得られません。
  • 200GB以上の空きストレージ容量が必要です。
  • USB 3.0 Type-A ポートが少なくとも1つは必要です。新しいノートパソコンには、Type-C - Type-A 変換アダプターが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアでは USB デバイスの使用を妨げるため、受講前に USB ドライブのシステムをテストしてください。
  • 無線ネットワーク(802.11規格)が必要です。会場には有線インターネットアクセスはありません。

ホスト構成とソフトウェア要件

  • ホストオペレーティングシステムは、Windows 10Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • 受講前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、バリエーションが多数あるため、このコースではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材や VM と連携するように Linux を構成するのは受講生の責任となります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。IT チームから許可を得られない場合は許可しないでください。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。)
  • ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。このコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。
  • 出力トラフィックのフィルタリングにより、コースのラボを実施できない場合があります。ファイアウォールを無効にするか、無効化するための管理者権限が必要です。
  • 講座開始前に、VMware Workstation Pro 16.2.X以上 または VMware Player 16.2.X以上 (Windows 10 ホストの場合)VMware Workstation Pro 17.0.0以上 または VMware Player 17.0.0以上 (Windows 11 ホストの場合)、または VMWare Fusion Pro 12.2以上 または VMware Fusion Player 11.5以上 (macOS ホストの場合) をダウンロードしてインストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない場合は、VMwareから30日間の無料トライアル コピーをダウンロードできます。VMwareWebサイトでトライアルに登録すると、期間限定のシリアル番号が送信されます。また、VMware Workstation PlayerVMware Workstation Proよりも機能が少ないことにも注意してください。Windowsホストシステムを使用している場合は、よりシームレスな受講者エクスペリエンスのためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品は Hyper-V ハイパーバイザーと共存しない場合があります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。これには、Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
  • 7-Zip(Windows ホストの場合) またはKeka(macOS ホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。

FOR585コース概要

このモバイルフォレンジックコースは、検査官や捜査官に、モバイルデバイスから回収された証拠を検出、デコード、復号化し、正しく解釈するための高度なスキルを提供します。FOR585は、最新のファイル形式、マルウェア、スマートフォンのオペレーティングシステム、サードパーティ製アプリケーション、取得不足、抽出手法(ファイルシステム全体または物理アクセスの取得方法)、暗号化に対応するため、継続的に更新されています。このコースは、職場復帰当日からすぐに携わっている案件に応用できる、モバイルデバイスフォレンジックに関する知識を身に付けるための、最もユニークで最新の指導を提供します。
FOR585: スマートフォンフォレンジック分析の徹底解説では、以下の点について理解を深めることができます。
  • スマートフォン上で重要な証拠がどこに保存されているか
  • データがスマートフォンにどのように侵入したか - AIによるものか、ユーザーが作成したものか、同期されたものか
  • フォレンジックツールが見逃した削除済みまたは解析されていないデータを復元する方法
  • サードパーティ製アプリケーションに保存された証拠をデコードする方法
  • モバイルマルウェアとスパイウェアを検出、逆コンパイル、分析する方法
  • スマートフォン上のデータにアクセスするための高度な取得用語と手法
  • ロックまたは暗号化されたデバイス、アプリケーション、コンテナの取り扱い方
  • アプリケーションやモバイルのアーティファクトを含むデータベース、protobofleveldb、その他のファイル形式を適切に調査する方法
  • モバイルフォレンジックを実施するためにSQLiteクエリを作成し、Pythonスクリプトを修正する方法
  • 実際のデータセットに対してツールとスクリプトを作成、検証、検証する方法
  • 市販ツールがサポートしていないアプリケーションデータを手動で解析する方法
スマートフォンは独自の判断を下します。システムエビデンス、AI作成日、位置情報の誤り、スマートフォンの提案、アプリケーションキャッシュなどをユーザーアクティビティとして報告しないでください。
もっと賢く!
スマートフォンがあなたの机に届き、ユーザーが特定の日時に特定の場所にいたかどうかを判断しなければなりません。フォレンジックツールを使ってデータをダンプし、解析します。ツールは、デバイスと対象場所を結び付ける位置情報を表示します。ユーザーがその場所にいたことを証明する準備はできていますか。さらに、対象者が特定の日時に対象場所にいたことを証明するにはどうすれば良いか知っていますか。ツールが示している行動は、必ずしもユーザーが行ったとは限りませんので、慎重に進めてください。
 
 モバイルデバイスは、刑事事件、侵入、知的財産権の盗難、セキュリティ脅威、事故再現など、様々な場面で重要な鍵となることがよくあります。デバイスからのデータを正しく活用する方法を理解することは、事件の成否を左右し、専門家としての将来を左右する可能性があります。FOR585:スマートフォンフォレンジック分析の詳細講座では、これらのスキルを習得できます。
 
 スマートフォンが「考える」、つまり提案するたびに、データは保存されます。フォレンジックツールの報告内容に惑わされやすいのは当然です。スマートフォンフォレンジックは、「証拠を見つける」ボタンを押して答えを得るだけではありません。ラボにあるツールだけに頼るわけにはいきません。ツールがデバイス上で何が起こったと推測して報告してくるのをただ待つのではなく、調査を導くためにツールを正しく使用する方法を理解する必要があります。市販のツールでは、スマートフォンから得られるすべての情報を解析し、データがデバイスにどのように保存されたかを理解することなど不可能です。AIと人間を比較してみましょう。ツールはデータセットからどのようにしてそのレベルの粒度を判断できるのでしょうか?データの調査と解釈はあなたの仕事です。このコースは、あなたとあなたの組織がスマートフォンから正しい証拠を自信を持って見つけ出し、調査する能力を身につけるのに役立ちます。
 
このスマートフォンフォレンジックの徹底的なコースは、調査員と捜査員に、モバイルデバイスから回収された証拠を検出、デコード、復号化し、正しく解釈するための高度なスキルを提供します。このコースは、23のハンズオンラボ、フォレンジックチャレンジ、ボーナスラボ、そして持ち帰り用のボーナスケースで構成されています。受講者はスマートデバイスの様々なデータセットを分析し、最適なフォレンジックツール、手法、カスタムスクリプトを活用することで、スマートフォンのデータがどのように隠蔽され、フォレンジックツールによって簡単に誤解釈される可能性があるかを学習できます。各ラボは、他のスマートフォンにも応用できる教訓を学べるように設計されています。複数のプラットフォームにおける様々なデータ形式を体験し、各スマートデバイスでデータがどのように保存およびエンコードされるかを学習します。ラボを通して、フォレンジックツールに完全に依存することで見逃している点に気付くでしょう。また、このコースでは、商用ツールを補完する特定のアーティファクトを解析するために設計されたコミュニティ作成ツールも紹介します。
 
FOR585は、最新のスマートフォンオペレーティングシステム、サードパーティ製アプリケーション、取得の不足、抽出手法(ジェイルブレイクとルート化)、ファイル形式の変更、マルウェア、暗号化に対応するために継続的に更新されています。この6日間の集中コースでは、世界で最もユニークで最新の指導を提供し、コース修了後すぐに担当案件に応用できるモバイルデバイスフォレンジックの知識を習得できます。
 
スマートフォンの技術は常に変化しており、フォレンジック専門家の多くは各技術のデータ形式に精通していません。スキルを次のレベルに引き上げましょう。善意の人はより賢くなり、悪意のある人はスマートフォンの行動が自分たちに不利に働く可能性があることを知るべきです!
 
スマートフォンのデータは永遠に隠すことはできません。モバイルデバイスを出し抜く時が来ました!
スマートフォンフォレンジック分析実践トレーニング
FOR585は、23以上のハンズオンラボと最終課題のフォレンジックチャレンジで構成されており、受講者は教材を習得するだけでなく、手動でデータ復旧を行う技術を習得できます。一部のラボでは「自分の冒険を選択」できるため、特定のデバイスに集中する必要がある受講者は関連するラボを選択し、時間の許す限り他のラボに戻ることができます。
ラボでは以下のトピックを扱います。
  • マルウェアとスパイウェア - 2つのラボでは、Androidデバイスから回収されたマルウェアを識別、手動でデコンパイル、分析する方法を学習します。ここで使用されるプロセスは、市販のフォレンジックキットや手法の枠を超えています。練習用にボーナスのIPAファイルとAPKファイルが提供されます。さらに2つのボーナスラボがwww.smarterforensics.com/for585で利用可能です。
  • Android分析 - 4つのラボでは、対象となるファイルの特定、データと場所の特定、ツール結果の検証、アーティファクトの背後にユーザーを配置する方法、そして市販のフォレンジックツールでは通常解析されないユーザー作成データについてサードパーティ製アプリケーションファイルを解析する方法を学習します。オープンソースの手法が活用され、可能な限り強調表示されます。ボーナスラボでは、受講者がADBを介してデバイスを操作することを奨励します。その他のボーナスラボも利用可能です。
  • iOS分析 - 4つのラボでは、対象ファイルの特定、データと場所の特定、ツール結果の検証、対象のplistとデータベースの手動解析、市販のフォレンジックツールでは解析できないユーザー作成データのサードパーティ製アプリケーションファイルの解析方法を学習します。さらに、無料ツールであるArtExをラボで導入・使用することで、iOSアーティファクトの理解の容易さを示します。ボーナスラボでは、受講者がライブデバイスを手動で操作し、無料の方法を用いて関連情報を取得することを促します。コースのUSBには、他にもiOSに関するボーナスラボが用意されています。
  • クラウドデータとバックアップファイルの分析 - 2つのラボでは、クラウドデータとバックアップファイルからデータを解析する方法を学習します。これらのラボでは、受講者がデータベース、plist、サードパーティ製アプリケーションデータからデータを解析するスキルを習得します。
  • 証拠破壊分析 - 使用されるデバイスは入手前に改ざんされているため、これは受講者にとってより難易度の高いラボの一つです。受講者は、コースで学んだすべての手法をテストし、改ざんされたスマートフォンから実際に何が復元できるかを確認できます。
  • サードパーティ製アプリケーション分析 - これら4つのラボでは、複数のスマートフォンデバイスから取得したサードパーティ製アプリケーションを調査し、市販ツールでは一般的に解析されないアプリケーションを手動で解析します。さらに学習したい受講者向けに、ボーナスラボも用意されています。
  • アプリケーションデータベースの解析 - これら3つのラボでは、SQLクエリを作成して対象のテーブルを解析し、チャットに関連付けられた添付ファイル、削除されたチャット、セキュアチャットアプリケーションのデータを復元する機会が提供されます。これらのラボでは、市販ツールでは提供できないほどの詳細な解析に挑戦します。Pythonスクリプトを作成または変更できるクエリを活用するラボでは、ツールがどのようにデータを解析するかを理解する必要があります。
  • ブラウザ分析 - このラボでは、モバイルブラウザのアーティファクトを手動で解析することに焦点を当てています。市販ツールはある程度の証拠を解析するのには優れていますが、このラボでは、特にプライベートブラウジング、Tor、シークレットモードの使用時に見落とされるものを明らかにします。
  • SQLiteクエリ - いくつかのラボではSQLite分析が求められます。2つのラボでは、クエリの作成方法、テーブルの結合方法、分析の実行方法を学習します。
  • スマートフォンフォレンジックキャップストーン - 最終課題では、コースで学習した内容をすべて試します。複数のスマートフォンデバイスが様々な場所で使用され、通信、サードパーティ製アプリケーション、インターネット履歴、クラウドとネットワークのアクティビティ、共有データなどが分析されます。この演習では、FOR585で学んだ内容を深く掘り下げ、実践的に活用することで、職場復帰時にすぐに応用できるようになります。
シラバス概要
  • セクション1:スマートフォンの用語(取得方法、コンポーネント、データストレージなど)を理解します。SQLiteデータベースの分析とクエリ作成について詳細に説明します。
  • セクション2Androidフォレンジックについて、暗号化、データストレージ、デバイス識別子から分析に使用される高度なログファイルまで、あらゆる側面を網羅的に詳細に説明します。
  • セクション3iOSフォレンジックについて、暗号化、データストレージ、デバイス識別子から分析に使用される高度なログファイルまで、あらゆる側面を網羅的に詳細に説明します。
  • セクション4:クラウドおよびバックアップデータアーティファクトの取得および分析方法について説明し、クラウドデータを扱う際の一般的なニュアンスを網羅します。マルウェア、スパイウェア、証拠破壊については、iOSAndroidの両方について取り上げます。これらの追加のハードルを抱えるデバイスを攻略する方法についても、このセクションで重点的に説明します。
  • セクション5:フォレンジックツールで回答が得られない場合に、サードパーティ製アプリケーションデータを解析する方法を説明します。重要なデータを含む大規模なアプリケーションデータセットを管理するためのヒントとコツを紹介します。
  • セクション6:コースのキャップストーンチャレンジに参加することで、学習内容の全てを検証します。未解決事件を題材に、学習内容を活かし、様々なデータセットに論理を適用して事件を解決できるかをテストします。
コーストピック
  • スマートフォン上のマルウェアとスパイウェア
    • インシデント対応におけるモバイルデバイス
    • ランサムウェア対応におけるモバイルデバイス
    • マルウェアとスパイウェアの検出
    • マルウェアの隔離処理
    • マルウェアを逆コンパイルして詳細な分析を行う
    • 侵害された内容を特定する
  • スマートフォンとそのコンポーネントのフォレンジック分析
    • Android
    • iOS
    • SDカード
    • クラウドベースのバックアップとストレージ
    • クラウド同期データ - GoogleMetaなど
  • スマートフォンのファイルシステムとデータ構造の詳細なフォレンジック調査
    • スマートフォンから削除された情報の復元
    • SQLiteデータベースの詳細な調査
    • スマートフォンにおけるユーザーアクティビティの痕跡の発見
    • スマートフォンにおけるAIと人間の行動の検出
    • サードパーティ製アプリケーションからのデータの復元
    • スマートフォンにおけるユーザーのオンラインアクティビティの追跡(例:メッセージ、ログイン、位置情報アーティファクト、ソーシャルネットワーキングなど)
    • 対象となるアプリケーションファイルの調査
    • ファイルを手動でデコードして、失われたデータを復元し、検証する結果
    • 対象のデータベースを解析するためのSQLクエリの開発
    • ユーザーベースおよびスマートフォンベースのアーティファクトの理解
    • システムおよびアプリケーションの使用ログを活用して、アプリケーションが使用された場所と状態を特定する
    • 意図的に変更されたデバイスを特定する(アプリケーションの削除、ワイプ、非表示など)
  • 最高のスマートフォンフォレンジックツールの詳細な使用方法と機能
    • ツールを思いもよらなかった方法で活用する
    • カスタムスクリプトを活用して削除されたデータを解析する
    • スクリプトを活用してフォレンジック分析を行う
    • フォレンジックのニーズに合わせてスクリプトを変更する
    • データのカービング
    • テーブル結合とアタッチ機能を含むカスタムSQLクエリの開発
    • 物理および論理キーワード検索の実施
    • スマートフォンからの情報を使用して、タイムライン生成とリンク分析を手動で作成する
    • 信頼できるデータセットに基づくツールの検証
    • スマートフォンおよびスマートフォンコンポーネントからの位置情報を使用して、アーティファクトが作成された場所にいた容疑者を特定する
    • AndroidiOSでよく使用されるファイルタイプ(protobufSQLiteREALMなど)の調査xmlABXSEG-Bなど。
  • ロックおよび暗号化されたデバイスの取り扱い
    • ロックされたスマートフォンから証拠を抽出するためのベストプラクティス
    • 暗号化の理解(カーネルレベルとアプリケーションレベル)
    • バックアップファイルのパスコードの解読
    • スマートフォンのバックアップの復号
    • サードパーティ製アプリケーションファイルの復号
    • SDカードの暗号化データの調査方法
  • スマートフォンの取り扱いに関する考慮事項
    • ユーザーの行動がデバイスをどのように変更するか
    • ホットデバイスとコールドデバイスの取り扱い方
    • デバイスへのリモートアクセスを防止する方法
    • 特定の時間にユーザーまたはアクティビティをデバイスに関連付ける方法
    • モバイルデバイス管理がもたらすメリットとデメリット
  • スマートフォンのインシデント対応手法
    • 注目のイベントを迅速にタイムライン化する方法
    • 脆弱性のエントリポイントを特定する方法
    • マルウェアまたは悪意のあるアプリケーションの検出
    • 悪意のあるアプリケーションのインストールからエクスフィルまでの痕跡を追跡する

受講対象者

FOR585は、スマートフォンやモバイルデバイスのフォレンジックの初心者から経験豊富な受講者までを対象としています。このコースでは、スマートフォンやその他のモバイルデバイスのフォレンジック調査員が処理するために必要なコア知識と実践的なスキルを習得します。このコースは、以下の方にとって必須です。

  • モバイルデバイス、特にスマートフォンのフォレンジック分析に関する知識と経験を広げたい経験豊富なデジタルフォレンジック調査員
  • スマートフォンやモバイルデバイスにおける戦術的エクスプロイトまたはドキュメント・メディア・エクスプロイト操作を習得する必要があるメディアエクスプロイトアナリスト。個人がスマートフォンをどのように使用し、誰と通信し、どのファイルにアクセスしたかを学ぶことで習得します。
  • データ侵害インシデントや侵入に対応する情報セキュリティ専門家
  • 侵害におけるスマートフォンの役割を特定する任務を負っているインシデント対応チーム
  • スマートフォンフォレンジックを習得し、従来のホストベースのデジタルフォレンジックを超えた調査スキルを習得したい法執行官、連邦捜査官、刑事
  • 特定の期間におけるスマートフォンへのアクセス方法や使用方法を特定する必要がある事故再現調査員
  • スマートフォンがどのように機密情報を漏洩させる可能性があるかを学びたいIT監査人
  • SANS SEC575FOR498FOR500FOR508FOR528FOR572の卒業生FOR577FOR589FOR610、またはFOR518でスキルを次のレベルに引き上げたい方

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

スマートフォンの概要、分析の基礎、SQLiteフォレンジック

このセクションでは、iOSおよびAndroidデバイス特有のファイルシステムと、それらを分析するために必要な専門ツールとテクニックに焦点を当て、スマートフォンフォレンジックの詳細な入門を提供します。受講者は、ハンズオンラボを通して、スマートフォンのコンポーネント、取得方法、データデコード戦略、そしてSQLiteデータベース分析について学習します。

取り上げられるトピック

  • FOR585 VMとコースリソース
  • スマートフォンの基礎と操作
  • CellebriteAXIOMの基礎
  • ファイル形式とSQLiteの概要
  • ボーナス教材へのアクセス

ラボ

  • FOR585 VMのセットアップとラボの統合
  • スマートフォンフォレンジックツールのハンズオンデモ
  • 主要ツールを使用したAndroidおよびiOSの抽出
  • SQLiteフォレンジック:基本および高度なクエリ
  • ボーナスラボ:SQLite .walファイル分析

概要

iOSAndroidのスマートフォンデータについて解説し、デジタルフォレンジック手法を用いて復元可能なデータの予測を立てます。スマートフォンの概念とそれぞれのフォレンジック的影響について簡単に確認します。暗号化、パスワード、破損したデバイスといった一般的な課題への対処法も提示します。受講者は、HOTデバイスやCOLDデバイスなど、様々な状態にあるデバイスの取り扱い方について学びます。モバイルデバイス上のデータをフォレンジックの観点から処理・デコードする方法を解説し、フォレンジックツールでさえ必ずしも取得できない情報を復元するための戦術を学びます。
 
フォレンジック調査員は、様々なスマートフォン上の様々なファイル形式の情報を解釈・分析する概念と、これらのデバイスからデータを抽出する既存の方法の限界を理解する必要があります。このコースは、暗号化の問題への対処方法、スマートフォンのコンポーネント、(あまり見かけない)不適合デバイスに関する補足資料、SQLiteの概要、クエリ言語、テーブル結合など、知識がぎっしり詰まった内容となっています。
 
講座で使用される FOR585 仮想マシンには、今週の主なツールキットおよび作業環境となる一連のスマートフォンフォレンジックツールが特別にロードされています。

ラボの詳細

  • FOR585 仮想マシンのセットアップとラボデータ統合
  • スマートフォンフォレンジックツールのハンズオンデモンストレーションと操作方法の習得
  • スマートフォンコンポーネントラボ
  • Androidデータの抽出を伴うInseyets Physical Analyzerの操作方法の習得
  • iOSバックアップデータの抽出を伴うAXIOMの操作方法の習得
  • SQLiteデータベースフォレンジックの概要と簡単なSQLクエリの作成
  • テーブル結合と複雑なクエリを伴う高度なSQLiteデータベースフォレンジック
  • SQLiteデータベースが一時保存に.walファイルを使用する方法を理解するためのボーナスラボ

トピックの詳細

  • コースリソース
  • FOR585 VM
  • スマートフォンの基礎
    • スマートフォンのコンポーネントと識別子
    • 証拠デバイスの機能評価
    • 一般的なファイルシステム
    • フラッシュメモリのフォレンジックへの影響
    • データストレージの内訳と定義
    • 暗号化の説明
    • SIMカードの概要と検査
    • SDカードの取り扱いと検査
  • スマートフォンの取り扱いと取得に関する用語
    • スマートフォンの証拠保全
    • データ破壊の防止
    • HOTデバイスとCOLDデバイスの取り扱い方
    • 論理的取得
    • ファイルシステム取得
    • ファイルシステム全体の取得
    • 物理的取得
    • 高度な取得方法とテクニック
  • Cellebrite Physical Analyzerの基礎
    • 物理的、高度、グローバルなキーワード検索
    • 主な機能
    • ヒントとコツ
    • ツールの奥深くまで掘り下げる方法を学ぶ
  • AXIOMの基礎
    • 全コンテンツと論理的キーワード検索
    • 主な機能
    • ヒントとコツ
    • ツールの奥深くまで掘り下げる方法を学ぶ
  • ファイル形式の概要
    • AndroidおよびiOSデバイスに保存される一般的なファイル形式を理解する
    • これらのファイルからデータを検査およびデコードする方法
  • SQLiteの概要
    • SQLiteデータベースの機能
    • 方法データはこれらのファイルに保存されます
    • SQLiteデータベースを調べる方法
    • クエリとテーブル結合を作成して興味のある情報を解析する方法
  • ボーナス教材
    • SQLiteデータベースを変更し、.WALとデータベースでのデータ保存方法の違いを理解する
    • 関連ホワイトペーパーとガイド
    • スマートフォンチートシート
    • 関連ホワイトペーパーとガイド
    • 授業リソース内のボーナスラボ

Androidフォレンジック

このセクションでは、高度なAndroidフォレンジックに焦点を当て、ファイルシステム構造、暗号化、そしてファイルシステム全体のデータ復旧に焦点を当てます。受講者は、データの手動デコード、サードパーティ製アプリケーションの解析、削除されたアーティファクトの復旧、そして市販のソリューションでは不十分な場合にADBなどのツールを使用する方法を学習します。

取り上げられるトピック

  • Androidの概要と取得のヒント
  • デバイス情報とネイティブアプリケーション
  • 位置情報アーティファクトとネイティブログ
  • フィットネス&ヘルスアプリの分析
  • ボーナス教材へのアクセス

ラボ

  • ファイルシステム全体の情報のデコードと抽出
  • サードパーティ製アプリケーションの解析
  • デバイスの位置情報データのデコードと解釈
  • Androidデバイスからの大規模な抽出
  • デバイスの同期とクラウドアクティビティの特定

焦点

Androidデバイスは世界で最も広く使用されているスマートフォンの一つであり、あなたの調査対象になることは間違いありません。しかし、残念ながら、これらのデバイスへのアクセスは以前ほど容易ではありません。Androidデバイスには、解読して有用な情報に変換できる膨大なデータが含まれています。しかし、最適なデータセットを取得し、そこに保存されているデータを正しく解釈するための適切なスキルを磨かなければ、急速に進化するスマートフォンフォレンジックの世界に備えることはできません。ツールを用いて取得されたAndroidデータは、様々な形式で存在する可能性があります。ファイルシステム全体を取得しないと、多くの場合、データが欠落します。スマートフォンの調査員は、ファイル構造とデータの解析方法を理解する必要があります。

概要

デジタルフォレンジック調査員は、Androidデバイスのファイルシステム構造と、それらに含まれる情報を抽出・解釈するために、データがどのように保存されているかを理解する必要があります。このコースでは、Androidデバイスのファイルシステムレイアウトを詳細に解説し、証拠価値のあるファイルが格納されている一般的な領域について説明します。 Androidデバイスにおけるユーザーアクティビティの痕跡に加え、SQLiteレコードや生データファイルに保存されている削除データの復元についても解説します。暗号化レベルとデータベースVACUUMによって、復元可能なデータとその期間が決まります。一部のアーティファクトは劣化しやすく、最短で24時間しかデータを保持できません。証拠収集の時間は重要であり、FOR585はそれを実現するためのツールです。
 
実践演習では、スマートフォンフォレンジックツールを使用して、Androidデバイスから様々な情報を切り出し、デコードし、分析します。コース前半で習得したSQLiteの調査スキルを活用し、市販ツールでは対応できない情報を解析するためのクエリを作成します。他の方法がすべて失敗し、ツールが新しいAndroidデバイスから情報を抽出できない場合は、ADBを使用して手動で操作し、必要なデータを抽出します。Androidデバイスでデータが誰によって、どこで、いつ、どのように作成されたかを特定するための方法を紹介します。

ラボの詳細

  • フルファイルシステム取得からの情報の手動デコードと抽出
  • サードパーティ製アプリケーションを手動で解析し、Androidデバイス上のユーザーアクティビティを詳細にデコードおよび復元
  • デバイスの位置情報に関連するデータを手動でデコードおよび解釈
  • スクリプトと無料ツールを活用して、Androidデバイスから大量の抽出をトリアージ
  • ログファイルを分析して、デバイスの同期とクラウドアクティビティを特定

トピックの詳細

  • Androidの概要と取得に関する考慮事項
    • Androidのアーキテクチャとコンポーネント
    • AndroidデバイスのNANDフラッシュメモリ
    • Androidファイルシステムの概要
    • フルディスク暗号化とファイルベース暗号化の比較
    • データ保存形式
    • Androidのセキュリティオプション
    • ロックされたAndroidデバイスにアクセスするための実用的なヒント
  • デバイスの基本情報
    • デバイス識別子
    • SIMの使用状況
    • 重要な識別子を保存するその他の一般的なファイル
  • ネイティブアプリケーション
    • 重要なGoogleアプリケーション
    • 重要なSamsungアプリケーション
    • 重要なAndroidアプリケーション
  • 位置情報アーティファクト
    • 信頼できる位置情報アーティファクトとその理由
  • 位置情報アーティファクトの探し方
    • アーティファクトと重要な証拠の相関関係の検証方法
  • ネイティブログと高度な分析
    • Androidアーティファクトを用いたユーザーアクティビティの痕跡の調査
    • 接続データ
    • 重要なシステムログ
    • 残された痕跡の発見
    • 削除されたSQLiteレコードの復旧
    • AndroidデバイスのRAW画像から削除されたデータの復旧
    • Androidアーティファクトのピースをまとめる
  • Androidフィットネスおよびヘルスアプリケーション
    • Androidヘルスデータと一般的なアプリケーションの理解
    • Androidヘルスアーティファクトを含むアーティファクトの詳細
  • ボーナス資料
    • Androidチートシート
    • 位置情報チートシート
    • Android取得方法
    • 関連ホワイトペーパーとガイド
    • AndroidデバイスからADBを使用してデータを取得するハンズオンラボ
    • ボーナスラボ

iOSデバイスフォレンジック

​​Apple iOSデバイスには、デコードして有用な情報に変換できる膨大なデータが含まれています。iOSデバイスから情報を抽出し、正しく解釈するには、適切な処理と解析スキルが必要です。このコースでは、ジェイルブレイクやエクスプロイトを用いてファイルシステム全体の情報を取得する抽出手法について説明します。

取り上げられるトピック

  • iOSの概要とデバイス取得に関する考慮事項
  • デバイスの基本情報
  • ネイティブアプリケーションとログ
  • 位置情報アーティファクト
  • 高度な分析

ラボ

  • iOSファイルシステムのデコードと抽出
  • ファイルシステム全体の抽出から情報を抽出する
  • ファイルシステム全体の抽出を分析し、タイムラインを作成する
  • サードパーティ製アプリケーションを解析し、ユーザーアクティビティを復元する
  • アーティファクトの背後にユーザーを配置する

焦点

Apple iOSデバイスには、解読して有用な情報に変換できる膨大な量のデータが含まれています。iOSデバイスから情報を抽出し、正しく解釈するには、適切な処理と解析スキルが必要です。このセクションでは、ジェイルブレイクやエクスプロイトを用いてファイルシステム全体を取得する抽出手法について解説します。iOSに関する知識がなければ、フォレンジック調査において主要なコンポーネントとなる可能性が高いiOSデバイスを扱う準備が不十分になります。

概要

このセクションでは、iOSデバイスについて深く掘り下げます。デジタルフォレンジック調査員は、Apple iOSデバイスに含まれる情報を抽出し解釈するために、そのファイルシステム構造とデータレイアウトを理解する必要があります。その方法を学ぶために、iOSデバイスのファイルシステムレイアウトを詳細に解説し、証拠価値のあるファイルが含まれる一般的な領域について説明します。暗号化、復号化、ファイル解析、ユーザーアクティビティの痕跡についても詳細に解説します。
 
実践演習では、スマートフォンフォレンジックツール、ArtEx、その他のオープンソースツールを使用して、iOSデバイスから様々な情報を抽出・分析します。また、受講者は、スマートフォンのフォレンジック ツールと iOS デバイスのフォレンジックをサポートするスクリプトを使用して、削除対象としてマークされたデータや回復できないデータを手動でデコードする必要があります。

ラボの詳細

  • iOSファイルシステム取得からの手動デコードと情報抽出
  • ファイルシステム全体の抽出からの情報抽出
  • コミュニティスクリプトと無料ツールを活用し、iOSデバイスからのファイルシステム全体の抽出を迅速に分析し、タイムラインを作成する
  • サードパーティ製アプリケーションを手動で解析し、iOSデバイス上のユーザーアクティビティを詳細にデコードおよび復元する
  • iOSデバイスのファイルシステムダンプで見つかった位置情報やその他の痕跡に基づいて、アーティファクトの背後にユーザーを配置する

トピックの詳細

  • iOSの概要とデバイス取得に関する考慮事項
    • iOSのアーキテクチャとコンポーネント
    • iOSデバイスのNANDフラッシュメモリ
    • iOSファイルシステム
    • iOSのバージョン
    • iOSの暗号化
    • iOSのエクスプロイトとジェイルブレイク
    • ジェイルブレイクされたデバイスでのライブインタラクション
    • データ保存形式
    • iOSでの暗号化
    • ロックされたiOSデバイスにアクセスするための実用的なヒント
    • デバイスの基本情報
    • デバイス識別子
    • SIMの使用状況
    • デバイス識別子を保存するその他の一般的なファイル関心分野
  • ネイティブアプリケーション
    • iOSデバイスで一般的なアプリケーションの詳細
    • ファイルパスの変更について
    • データの保存方法について
  • ネイティブログ
    • 主要な証拠の場所
    • ユーザーアクティビティを追跡するネイティブアプリケーション
    • Apple Watchのフォレンジック
    • 関心のあるファイルの手動デコード
  • 位置情報アーティファクト
    • 信頼できる位置情報アーティファクトとその理由
    • 位置情報アーティファクトのカービング方法
    • アーティファクトと主要な証拠の相関関係の検証方法
  • 高度な分析
    • iOSデバイスのデータ構造の詳細分析
    • iOSアーティファクトのピースを組み立てる
    • 関心のあるシステムログ
    • パズルを組み立てる
  • ボーナス資料
    • iOSチートシート
    • 位置情報チートシート
    • libimobiledeviceを活用したiOSデバイスからデータを取得するハンズオンラボ
    • iOSの取得方法
    • 関連ホワイトペーパーとガイド
    • ボーナスラボ

バックアップとクラウドデータ、マルウェアとスパイウェアのフォレンジック、証拠破壊の検出

このセクションでは、iOSおよびAndroidのバックアップ、クラウドデータの抽出、スマートフォンマルウェアのフォレンジック分析について解説します。受講者は、バックアップファイルの抽出、復号化、手動デコード、マルウェアの特定、コンテンツが削除または非表示になったデバイスからのデータの復元方法を学習します。ハンズオンラボでは、改ざんまたは侵害されたデータを発見するための高度な手法に焦点を当てます。

取り上げられるトピック

  • バックアップとクラウドに関する考慮事項
  • GoogleiCloudAppleのバックアップ
  • ロックされたiOSバックアップファイル
  • マルウェアとスパイウェアのフォレンジック
  • 証拠破壊の検出

ラボ

  • iOS 17の暗号化バックアップファイルのデコードと分析
  • iOSイメージのデータベース分析
  • マルウェア検出分析
  • .apkマルウェアファイルの分析
  • 破損または破壊されたデバイスの分析

焦点

iOS のバックアップは非常に一般的で、クラウドやハードドライブ上に存在します。ユーザーはバックアップを作成し、フォレンジック調査のために iOS のバックアップを作成することで最良のデータが得られることがよくあります。Android のバックアップは、ユーザーがネットワークサービス プロバイダーと Google 以外にバックアップすることが一般的ではないため、少し異なります。このセクションでは、バックアップとクラウド データを抽出し、それぞれのアーティファクトを分析する方法について説明します。マルウェアは多数のスマートフォン デバイスに影響を与えます。さまざまな種類のマルウェア、スマートフォン上でのマルウェアの出現方法、およびマルウェアを識別および分析する方法について説明します。市販のスマートフォンツールのほとんどはマルウェアの識別に役立ちますが、このクラスで説明するレベルまでマルウェアを分析できるツールはありません。この日だけで 5 つのラボを実施します。この日の最後に、受講者は、週を通して学習したツールと方法を使用して、意図的に変更されたスマートフォンデータ (データの削除、ワイプ、非表示) からユーザーデータを復元することにチャレンジします。

概要

クラウドデータ、Takeoutからの抽出、iOSバックアップファイルは、デジタルフォレンジック調査の一般的な対象です。本コースでは、バックアップファイルとクラウドコンテンツ、手動デコード、暗号化されたバックアップファイルイメージの解析とクラッキングについて深く理解します。iOSバックアップファイルは基本的にファイルシステムの抽出であるため、前日に学習した手法をこのセクションの冒頭に適用します。今日の調査員は、スマートフォンにマルウェアが存在するかどうかに対処しなければなりません。調査に関連する唯一の疑問は、特定のスマートフォンが侵害されたかどうか、どのように侵害されたか、そしてそれを修復するにはどうすればよいか、ということである場合がよくあります。調査員は、マルウェアを理解し、スマートフォン上でマルウェアの存在を特定する方法を理解することが重要です。
 
実践演習では、受講者はスマートフォンフォレンジックツールなどの手法を用いて、2つの暗号化されたiOSバックアップ、モバイルマルウェアを含むAndroidデバイス、そしてユーザーによって意図的に操作されたデバイスから、幅広い情報を抽出・分析します。受講者は、ワイプ、暗号化、削除されたデータ、またはスマートフォンフォレンジックツールでは復元できないデータを手動でデコードする必要があります。

ラボの詳細

  • iOS 17 で暗号化されたバックアップファイル(手動でデコードして分析を行う必要がある)を対象とした、高度なバックアップファイルフォレンジック演習
  • iOS イメージの背後にある真実と、それらがデバイス上でどのように存在するかを明らかにすることに焦点を当てたデータベース分析
  • 2つのマルウェアラボ:フルファイルシステムでのマルウェア検出と分析、Android .apk マルウェアファイルの抽出と解凍と分析
  • データが改ざんまたは破壊されたデバイスからユーザーアクティビティの痕跡を復元

トピックの詳細

  • バックアップとクラウドに関する考慮事項
    • バックアップファイルフォレンジックの概要
    • 対象データ
    • メタテイクアウト
  • Google バックアップ
    • Google Cloud データの抽出と分析
    • Google Takeout の抽出と分析
  • Apple バックアップ
    • バックアップファイルの作成と解析
    • iCloud iTunes のデータの比較
  • ロックされた iOS バックアップファイル
    • ロックされた iOS バックアップファイルの復号
    • 解析方法
  • iCloud バックアップ
    • クラウドデータの抽出方法
    • クラウドデータの解析方法
  • マルウェアとスパイウェアフォレンジック
    • 一般的なマルウェアの種類
    • スマートフォンの一般的な侵入場所
    • 侵害の特定方法
  • 侵害からの復旧方法
    • 何が影響を受けたのか?
    • どのように切り分けるのか?
    • リバースエンジニアリング手法を用いた分析方法
  •  証拠破壊の検出
    • さまざまな種類の破壊方法
    • 破壊が発生した時期の特定
    • データが破壊されると何が起こるのかを理解する
  • ボーナス資料
    • スマートフォンのチートシート
    • マルウェア/スパイウェアのチートシート
    • APKデコンパイルのチートシート
    • バックアップファイルの取得方法
    • 関連ホワイトペーパーとガイド
    • ボーナスラボ

サードパーティ製アプリケーション分析

セクション5では、iOSおよびAndroidデバイス上のサードパーティ製アプリケーション、セキュアメッセージングプラットフォーム、モバイルブラウザの高度なフォレンジック分析に焦点を当てます。SQLクエリとカスタムPythonスクリプトを使用して、市販ツールでは検出されなかった削除済みデータや非表示データを復元します。アプリのアーティファクトのデコード、ブラウザアクティビティの解析、フォレンジックソリューションのスクリプト作成方法を学習します。

取り上げられるトピック

  • サードパーティ製アプリケーションの概要
  • 位置情報とファイル共有アーティファクト
  • MDMMAM
  • 決済アプリ、モバイルウォレット、メッセージングアプリケーション
  • モバイルブラウザ、AIアプリケーション、および関連アーティファクト

ラボ

  • サードパーティ製アプリケーションファイル内の通信のデコード
  • サードパーティ製ブラウザアクティビティの分析
  • SQLiteの空きページ外での削除の証拠の探索
  • データベースを解析するためのクエリまたはPythonスクリプトの作成

焦点

このコースは、あらゆるスマートフォンに搭載されているサードパーティ製アプリケーションから始まり、調査を支援するためにサードパーティ製アプリケーションのデータと設定ファイルを活用する方法を受講者に指導します。残りの時間は、安全なチャットアプリケーション、削除されたアプリケーションデータと添付ファイルの復元、モバイルブラウザのアーティファクト、そして偽造携帯電話のフォレンジックに重点的に取り組みます。このセクションで習得するスキルにより、あらゆるスマートフォンに搭載されているサードパーティ製アプリケーションに保存されているデータをデコードするための高度な手法を習得できます。市販ツールでは検出されない情報を示し、これらのアーティファクトを自分で復元する方法を指導します。

概要

実践演習では、受講者はスマートフォンのフォレンジックツールを使用して、対象のサードパーティ製アプリケーションファイルを抽出・分析し、失われたデータを手動で掘り起こして復元します。受講者は、スマートフォンのフォレンジックツールと独自に作成したカスタムSQLiteクエリを使用して、削除されたデータや復元できないデータを手動でデコードする必要があります。受講者は、調査対象のデータを解析するためにPythonスクリプトを変更する方法と、市販ツールを活用してコースで作成したクエリからデータを自動的に解析する方法を学びます。実践演習は、受講者がこれまでコースで学んだことの集大成であり、複数のスマートフォンからサードパーティ製アプリケーションデータを手動でデコードする必要があります。このセクションが終了すると、フォレンジックツールでは復元できないアーティファクトを復元するスキルセットを習得していることが証明されます。

ラボの詳細

  • 高度なサードパーティアプリケーション演習では、コースの最初の4日間で習得したスキルを用いて、複数のスマートフォンにまたがるサードパーティアプリケーションファイルに保存されている通信を手動で解読します。
  • ブラウザ分析演習では、商用ツールでは解析できない可能性のあるサードパーティブラウザのアクティビティ(Tor、プライベートブラウジング、シークレットモード)を手動で調査します。
  • アプリケーションが関連データベースを消去することが一般的になりつつあります。調査に不可欠な削除されたアーティファクトの証拠がないか、他のファイルを調べてください。
  • 授業で作成したクエリを市販のツールでスクリプト化したり、興味があれば独自のPythonスクリプトを作成してデータベースを解析したりすることもできます。

トピックの詳細

  • フォレンジックチャレンジの準備
  • サードパーティ製アプリケーションの概要
    • スマートフォンに共通するアプリケーション
  • 位置情報アーティファクト
    • 位置特定方法
    • データ形式
    • 手動復元
    • デコード方法
  • MDMMAM
    • 位置特定方法
    • データ形式
    • 手動復元
    • デコード方法
  • ファイル共有アーティファクト
    • 位置特定方法
    • データ形式
    • 手動復元
    • デコード方法
  • 決済アプリとモバイルウォレット
    • 位置特定方法
    • データ形式
    • 手動復元
    • デコード方法
  • メッセージングアプリケーション
    • 位置特定方法
    • データ形式
    • 手動復元
    • デコード方法
    • SQLクエリの開発
  • モバイルブラウザ
    • サードパーティ製ブラウザの概要
    • 位置特定方法
    • データ形式
    • 手動復元
  • AIアプリケーションと関連アーティファクト
    • AIと人間の判別方法
    • ストレージによく使用されるファイル形式
    • AIが学習を支援する方法
  • モバイルアプリ解析のためのPythonコードの解析
    • Pythonスクリプトの理解
    • フォレンジックのためのPythonスクリプトの修正

スマートフォンフォレンジック最終演習

この最終日には、コースで学んだすべての内容をテストします。少人数のグループに分かれ、受講生は3台のスマートフォンを個別に分析し、実際のスマートフォンフォレンジック調査に関連する未解決事件のシナリオを解決します。データのデコード、調査仮説の構築、報告書の作成、そして調査結果の発表を行います。

取り上げられるトピック

  • 識別とスコープ設定
  • フォレンジック検査
  • フォレンジック再構築
  • ボーナス教材

ラボ

  • 実際のスマートフォンフォレンジック調査の再現
  • 様々なシナリオを含む持ち帰り事例

概要

このキャップストーン演習では、受講者のグループに調査結果の発表を課すことで、その週に学習した技術に対する受講者の理解度を測ります。オンデマンド受講生は、講師にバーチャルプレゼンテーションを行い、クラスコインを獲得する機会があります。調査結果は技術的な内容で、手動による復旧手順と、調査手順の背景にある思考プロセスを含める必要があります。また、調査結果のエグゼクティブサマリーも提出してください。

ラボの詳細

各グループは、実際のデジタル捜査と同様に、キャップストーン演習中に以下の主要な質問に答えることが求められます。
  • 身元確認とスコープ設定
    • 犯罪の責任者は誰か?
    • どのようなデバイスが関与しているか?
    • どのような人物が関与しているか?
  • フォレンジック調査
    • 個人間の重要な通信内容は何か?
    • 通信を保護するためにどのような方法が使用されたか?
    • モバイルデバイスのいずれかがマルウェアに感染していたか?
    • クラウドデータが関与していたか?
    • ユーザーはアーティファクトやデータを隠蔽または削除しようとしたか?
  • フォレンジック再構築
    • 動機は何か?
さらに、受講者はフォレンジックレポートを作成する必要があります。フォレンジックチャレンジの勝者は、上位チームのみです。
  • ボーナス資料
    • 3台の新しいスマートフォンを使った異なるシナリオの持ち帰りケース
    • 持ち帰りケースの質問
    • 持ち帰りケースの回答

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ