ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 504

Hacker Tools, Techniques, and Incident Handling

Penetration Testing and Ethical Hacking

English
日程

2026年3月9日(月)~2026年3月14日(土)

期間
6日間
講義時間

1日目: 9:00-19:45
2日目~6日目: 9:30-17:30

受講スタイル
ハイブリッド (LiveOnlineとOnsiteの同時開催)
会場

◆LiveOnline形式
 オンライン

◆Onsite形式
 渋谷ソラスタ コンファレンス(https://shibuya.infield95.com/
 東京都渋谷区道玄坂 一丁目21番1号 渋谷ソラスタ 4階

GIAC認定資格
GCIH
講師
Shintaro Watanabe|渡辺 慎太郎
NRIセキュア認定 SANSトレーニング・インストラクター
言語
日本語 日本語講座・一部日本語教材
定員
40名
CPEポイント
38 Points
受講料

早期割引価格:1,100,000円(税込み 1,210,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950 円)

申込締切日
早期割引価格:2026年1月23日(金)
通常価格:2026年2月27日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • Skills Quest by NetWars 価格:74,250円(税込み 81,675円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC504 PC設定詳細

重要:次の手順に従って構成したシステムをご準備ください。
 
このコースを完全に受講するには、適切に構成されたシステムが必要です。これらの指示をよく読んで従わない場合、このコースに不可欠なハンズオン演習に参加できず、満足のいく結果が得られない可能性があります。そのため、コースで指定されたすべての要件を満たすシステムをご持参いただくことを強くお勧めします。
コース開始前にシステムのバックアップを必ず行ってください。また、機密データが保存されているシステムはお持ち込みにならないよう強くお勧めします。

CPU

  • 64ビットIntel i5/i7 2.0GHz以上のプロセッサが必要です。
  • 重要:Apple Siliconデバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • システムのプロセッサは、64ビット Intel i5またはi7 2.0GHz以上である必要があります。Windows 10および11で確認するには、Windowsキー+I」キーを押して設定を開き、「システム」>「バージョン情報」の順にクリックしてください。プロセッサ情報はページの下部に表示されます。Macで確認するには、画面左上隅のAppleロゴをクリックし、「このMacについて」をクリックしてください。

BIOS

  • Intel-VT」を有効にしてください。
  • システムのBIOSまたはUEFI設定で、IntelVTVT-x)ハードウェア仮想化テクノロジーが有効になっている必要があります。ラボ演習を完了するには、この設定を有効にするためにシステムのBIOSにアクセスできる必要があります。BIOSがパスワード保護されている場合は、パスワードが必要です。これは必須です。

RAM

  • 最適なエクスペリエンスを得るには、16GBRAMを強く推奨します。Windows 10および11で確認するには、Windowsキー + Iキーを押して「設定」を開き、「システム」>「情報」の順にクリックします。RAM情報はページの下部に表示されます。Macで確認するには、画面左上隅のAppleロゴをクリックし、「このMacについて」をクリックしてください。

ハードドライブの空き容量

  • 配布する仮想マシンと追加ファイルをホストするには、ハードドライブに100GBの空き容量が必要です。また、SSDドライブは、機械式ハードドライブよりもはるかに高速に仮想マシンを実行できるため、SSDドライブの使用を強くお勧めします。

オペレーティングシステム

  • システムは、Windows 10および11の最新バージョン、macOS 10.15.x以降、または以下で説明するVMware仮想化製品をインストールして実行できるLinuxのいずれかを実行している必要があります。

追加ソフトウェア要件

VMware Playerのインストール
  • 講義開始前に、VMware Workstation Pro 17以降(Windowsホストの場合)またはVMware Fusion Pro 13以降(macOSホストの場合)をダウンロードしてインストールしてください。Workstation ProFusion Proは、VMwareWebサイトから個人使用向けに無料で提供されています。これらの製品のライセンスを受けた商用サブスクリプションもご利用いただけます。
  • Hyper-VVirtualBoxなどの他の仮想化製品はサポートされておらず、コース教材では動作しません。
コース教材はダウンロードで配信されます。講座で使用するメディアファイルは容量が大きく、4050GBに及ぶ場合もあります。ダウンロードには十分な時間が必要です。インターネット接続と速度は大きく変動し、様々な要因に左右されます。そのため、教材のダウンロードにかかる時間を概算することはできません。リンクを受け取ったらすぐに、コースメディアのダウンロードを開始してください。コースメディアは受講初日にすぐに必要になります。受講開始前夜までダウンロードを待つと、ダウンロードに失敗する可能性が高くなります。
ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

SEC504 コース概要

SEC504トレーニングは、WindowsLinux、クラウドプラットフォーム全体にわたる脅威を検知、対応、無効化するための必須のインシデント対応スキルを習得できる、当社の主力インシデント対応コースです。実践的な学習に重点を置き、没入型のラボで実際の侵害をシミュレーションすることで、攻撃者視点で思考し、組織のセキュリティ体制を強化する能力を高めます。このコースでは、サイバー脅威インテリジェンス(CTI)と脅威防御戦略に関する実践的なスキルを習得し、すぐに活用できます。
 
インシデント対応をマスターする:攻撃者のように訓練し、プロのように防御する
今日の進化する脅威環境において、侵害は避けられません。重要なのは、これらの攻撃をいかに迅速かつ効果的に検知し、対応できるかです。侵害のニュースで大きく取り上げられることを避けるには、脅威を無効化するための包括的なインシデント対応策を実行できる能力が不可欠です。
 
SEC504トレーニングは、動的かつ効果的なインシデント対応戦略を適用するための準備を整えます。侵害の兆候(IOC)を特定し、WindowsLinux、クラウドプラットフォームに影響を与える侵害に対応します。これらのスキルは、現実世界の脅威から組織を守るためにすぐに活用できます。
 
SEC504トレーニングでは、学習内容を応用することに重点が置かれています。コースの50%は実践演習で、脅威アクターによる攻撃、防御、被害の評価を行います。複雑なネットワーク環境、アプリケーション、ホストプラットフォームにおける実際の侵害を再現し、脅威アクターによる被害を評価します。SEC504トレーニングでは、没入型ラボに無制限にアクセスできるため、必要に応じて何度でも演習を繰り返し受講できます。各ラボには、学習を支援するための詳細なウォークスルービデオが含まれています。
 
組織を真に防御するためには、攻撃者のように考える必要があります。SEC504トレーニングの没入型ラボでは、攻撃者が使用するのと同じツールと手法を用いて、攻撃者が残す痕跡を認識する方法を学びます。彼らの考え方を取り入れ、戦術、手法、手順(TTP)を研究することで、サイバー脅威インテリジェンス(CTI)を構築し、防御を強化するための貴重な洞察が得られます。組織のセキュリティ体制を即座に強化する実践的なスキルを習得し、トレーニングへの投資を初日から効果的に回収できます。

受講対象者

SEC504トレーニングは、以下のような幅広い層の方々に推奨されます。
  • インシデント対応担当者
  • インシデント対応チームのリーダー
  • 最前線でシステムの防御と攻撃への対応にあたるシステム管理者
  • システムが攻撃を受けた際に第一対応を行うその他のセキュリティ担当者
  • 攻撃を防止、検知、対応するためにシステムを設計、構築、運用したいと考えているセキュリティ実務家およびセキュリティアーキテクト

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

インシデント対応とサイバー調査

最初のセクションでは、Dynamic Approach to Incident Response (DAIR) を用いたインシデント対応プロセスの構築方法を学びます。DAIR は、脅威の検証、スコープ設定、封じ込め、そして修復を行うための手法です。ハンズオンラボと実例を通して、PowerShell などのツールを用いてこの手法を適用し、生成AI を用いて精度を損なうことなく分析を加速する方法を習得します。

取り上げられるトピック

  • インシデント対応
  • ライブ調査
  • ネットワーク調査
  • メモリ調査
  • マルウェア調査

ラボ

  • ライブ Windows 調査
  • ネットワーク調査
  • メモリ調査
  • マルウェア調査
  • WordPress ログ評価

概要

SEC504の最初のセクションでは、組織内でインシデント対応プロセスを開発・構築する方法に焦点を当てます。Dynamic Approach to Incident ResponseDAIR)プロセスを適用し、脅威を効果的に検証、スコープ設定、封じ込め、評価、そして修復する方法を学習します。PowerShellやその他の有用な分析ツールを用いたハンズオンラボや実際の侵害事例を通して、このプロセスを詳細に学習します。また、生成AIプラットフォームを用いて、精度を犠牲にすることなくインシデント分析プロセスを加速させる方法も学習します。

ラボの詳細

  • Windowsのライブ調査
  • ネットワーク調査
  • メモリ調査
  • マルウェア調査
  • ライトニングラボ:WordPressログの評価
  • ライトニングラボ:TCPdump入門
  • ライトニングラボ:マルウェア文字列

トピックの詳細

 インシデント対応
  • ケーススタディ:Argous Corporationの侵害
  • インシデント対応への動的アプローチ
  • 調査分析:インシデント証拠の調査
  • インシデント分析における複数の証拠ソースの活用
 ライブ調査
  • Windowsの脅威ハンティングにおけるPowerShellの使用
  • 不審なWindowsプロセスの特定
  • ネットワークと永続性アクティビティの相関関係の分析
  • ファイルレスマルウェアの脅威の評価
  • Windowsの自動起動拡張ポイントの列挙
  • ライブWindows調査におけるSysinternalsの活用
 ネットワーク調査
  • プロキシサーバーのログから侵害されたホストのビーコンを特定
  • 侵害の兆候を特定するためのネットワークアクティビティのフィルタリング
  • 複数のデータソースを用いた暗号化されたネットワークトラフィックの評価
  • インシデントタイムラインの作成
 メモリ調査
  • 侵害されたホストからの揮発性メモリの収集ホスト
  • 攻撃者の持続性に関するオフライン分析の実施
  • Volatility 3 を用いたマルウェア調査
  • 不揮発性メモリキャプチャを用いた攻撃者のイベントタイムラインの構築
 マルウェア調査
  • 安全なテスト環境での攻撃者のマルウェア評価
  • スナップショットおよび継続的記録ツールの使用
  • RegShot Procmon を用いたマルウェアの動作の検査
  • Windows 上の悪意のあるコードの特定
 Generative AI によるインシデントレスポンス(IR)の高速化
  • 悪意のあるコードのアーティファクトをレポート用に要約
  • プロンプトエンジニアリングの重要なヒント
  • AI によるデータ難読化の自動化
  • データ収集と分析を高速化するスクリプトの生成
  • 優れたプロンプト結果を得るための AI トレーニングのヒント
  • AI 支援によるインシデント対応のリスクの認識と軽減
 ブートキャンプ:Linux オリンピック
  • インタラクティブな学習環境を用いた Linux の学習
  • 自分のペースでコマンドラインスキルを習得
  • Linux ファイルシステムと権限の操作
  • JQ を用いた JSON データの解析とフィルタリング
  • grepcutawk などのファイル解析ツールの使用
  • Linux 侵害インシデント対応ウォークスルー
 ブートキャンプ:PowerShell オリンピック
  • インタラクティブな学習環境を使って Windows PowerShell を学習
  • 自分のペースでコマンドラインスキルを習得
  • コマンドレット、関数、組み込みコマンドなど、PowerShell スキルの習得
  • 効果的な脅威ハンティングのために、Windows システムを迅速に調査する方法の学習
  • PowerShell の自動化で一般的な分析タスクを高速化

スキャンと列挙攻撃

このセクションでは、オープンソースインテリジェンス、ネットワークスキャン、ターゲット列挙など、攻撃者の偵察手法を解説し、セキュリティギャップを特定します。これらの戦術をWindowsLinuxAzureAWSのターゲットに適用し、ログと証拠を分析して攻撃をリアルタイムで検知します。

取り上げられるトピック

  • MITRE ATT&CK®フレームワークの概要
  • Nmapを使用したネットワークおよびホストのスキャン
  • クラウドスポットライト:クラウドスキャン
  • サーバーメッセージブロック(SMB)セキュリティ
  • 防御スポットライト:HayabusaSigmaルール

ラボ

  • Nmapを使用したホストの検出と評価
  • Masscanを使用したシャドウクラウド資産の検出
  • Windows Server Message BlockSMB)セキュリティ調査
  • Windowsパスワードスプレー攻撃の検出
  • Netcatの多様な用途

概要

このコースセクションでは、攻撃者が攻撃前の段階として偵察を行う際に使用する手法について解説します。オープンソースインテリジェンス、ネットワークスキャン、ターゲット列挙をどのように活用して攻撃機会を見つけるかなどが含まれます。攻撃者の手法を用いて標的ネットワークのセキュリティを評価し、WindowsLinuxAzureAWSを標的とする一般的なプロトコルとエンドポイントを評価します。攻撃を実行した後は、ログデータと残存する証拠を調査し、攻撃発生時に攻撃を検知します。

ラボの詳細

  • Nmapによるホスト検出と評価
  • Masscanによるシャドウクラウド資産検出
  • Windows Server Message Block(SMB)セキュリティ調査
  • Windowsパスワードスプレー攻撃の検出
  • Netcatの多様な用途
  • Lightningラボ:Nmapのポート範囲
  • Lightningラボ:SMBeagleによるスキャン
  • Lightningラボ:SMBクライアントアクセス
  • Lightningラボ:Netcatクライアント機能

トピックの詳細

 MITRE ATT&CK® フレームワークの概要
  • ATT&CKを用いたインシデント対応調査のガイド
  • 攻撃手法の変化への対応
  • 脅威インテリジェンスのためのATT&CKの活用
 Nmap によるネットワークとホストのスキャン
  • Nmapによるホストの列挙と検出
  • 内部および外部ネットワークのマッピングと可視化
  • 検出を回避するためのネットワークアクティビティの最小化
  • Nmapスクリプトエンジンツールによる詳細なホスト評価
 クラウドスポットライト:クラウドスキャン
  • Masscan によるスキャンの高速化
  • ウォークスルー:Amazon Web Servicesのスキャンによるターゲット検出
  • クラウドホストとターゲットの関連付け組織
  • EyeWitness によるターゲットの可視化
 サーバー メッセージ ブロック (SMB) セキュリティ
  • Windows SMBの理解:必須スキル開発
  • Windowsに対するSMB攻撃の特定
  • SMBパスワード攻撃用組み込みツールの使用
  • SMBセキュリティ機能の理解
  • 攻撃者のようにSMBの脆弱性の悪用
 防御スポットライト:Hayabusa と Sigma ルール
  • Windows イベント ログと Hayabusa を使用した攻撃の特定
  • Sigma ルールを使用した脅威ハンティング
  • 攻撃と誤検知の区別
  • 侵害特定のためのリモート ホスト評価
  • インシデント分析を開始するための迅速な評価のヒント
 多目的 Netcat
  • 監視制御を回避しながらデータを持ち出す方法
  • 内部ネットワークのピボットとラテラルムーブメント
  • LinuxおよびWindowsへのリスナーおよびリバース TCP バックドアの実装
  • 攻撃者の侵害後テクニックの詳細
  • エンドポイント検出ツールを回避するための Living Off the Land (LOL) 攻撃

パスワード攻撃とエクスプロイトフレームワーク

​​このセクションでは、オンプレミスおよびクラウドシステムにおけるパスワード侵害の主要な手法について解説します。LegbaHashcatMetasploitなどのツールを使用して攻撃をシミュレートし、防御を強化することで、その効果を検証します。得られた知見は、実用的な防御策の強化やインシデント対応戦略の策定に役立ちます。

取り上げられるトピック

  • パスワード攻撃
  • Microsoft 365への攻撃
  • パスワードハッシュの理解
  • パスワードクラッキング
  • Metasploit Framework

ラボ

  • Legbaを用いたパスワード推測とスプレー攻撃
  • Amazon AWSによるMicrosoft 365認証防御の回避
  • Hashcatを用いたパスワードクラッキング
  • Metasploit攻撃と分析
  • ブラウザエクスプロイトフレームワーク(BeEF)を用いたクライアント側エクスプロイト

概要

攻撃者はシステムへの侵入を目的としたパスワード攻撃やエクスプロイトを絶えず展開し、組織のシステムに絶え間ない脅威をもたらしています。このセクションでは、オンプレミスおよびクラウドシステムに対するパスワード侵害の複数の手法を検証します。マルチプロトコルパスワード攻撃にはLegba、クラッキングにはHashcatといった一般的な攻撃ツールを活用します。また、侵入初期段階および侵入後の攻撃に用いられるMetasploitなどのエクスプロイトフレームワークについても詳しく説明します。これらのツールから得られる知見は、実用的な防御策の実装とインシデント対応プレイブックの策定に活用されます。

ラボの詳細

  • Legbaを用いたパスワード推測とスプレー攻撃
  • Amazon AWSによるMicrosoft 365 認証防御の回避
  • Hashcatによるパスワードクラッキング
  • Metasploit攻撃と分析
  • Browser Exploitation Framework (BeEF)によるクライアントサイドのエクスプロイト
  • Lightning Lab:パスワードリストのフィルタリング
  • Lightning Lab: Hashcatハッシュの種類
  • Lightning Lab: Hashcatルールの使用
  • Lightning Lab: Metasploit検索
  • Lightning Lab: MsfVenomペイロード

トピックの詳細

 パスワード攻撃
  • パスワード攻撃の三要素:推測、スプレー、クレデンシャルスタッフィング
  • Legba を用いたパスワード攻撃の加速
  • パスワード攻撃防御の回避手法
  • 実際の認証攻撃の理解
 Microsoft 365への攻撃
  • 有効なMicrosoft 365ユーザーアカウントの列挙
  • 多要素認証の評価と回避(MFA)
  • クラウドSaaS (Software as a Service)プラットフォームへの攻撃
  • AWS サービスを活用したアカウントロックアウトの回避
  • Azure Gov Cloudとエンタープライズクラウドセキュリティの差別化
  • ビジネスメール詐欺の調査
 パスワードハッシュの理解
  • Windowsパスワードハッシュ形式の脆弱性
  • WindowsLinux、クラウドターゲットにおけるパスワードハッシュの収集
  • Yescrypt Argon2 を用いたGPUベースのパスワードクラッキングの軽減
 パスワードクラッキング
  • Hashcat を用いたハッシュからのパスワード復元
  • GPU とクラウドアセットを用いたパスワードクラッキングの高速化
  • パスワードポリシーマスクを用いた効果的なクラッキング
  • 多要素認証とパスワードクラッキングへの影響
 Metasploit フレームワーク
  • Metasploit を用いたエクスプロイトの特定、設定、配信
  • 防御を回避しながらアクセスを許可するペイロードの選択
  • コマンド&コントロール (C2) による被害者アクセスの確立と利用
  • インシデント対応のためのMetasploitおよびMeterpreter アーティファクトの特定
 ドライブバイ攻撃
  • フィッシングと悪意のあるMicrosoft Officファイル
  • 水飲み場型攻撃を利用して被害者のウェブブラウザを攻撃する
  • ケーススタディ:水飲み場型攻撃フォーラムの侵害による制御システム攻撃
  • 効果的な攻撃のための拡張可能なペイロードの構築
  • 防御回避のためのエクスプロイトのカスタマイズ

Webアプリケーション攻撃

このコースセクションでは、公開サーバーの脆弱性とクライアント側の脆弱性を悪用する標的型攻撃フレームワークについて解説します。

取り上げられるトピック

  • 強制ブラウジングとIDOR
  • コマンド・インジェクション
  • クロスサイト・スクリプティング(XSS
  • SQLインジェクション
  • Cloud SpotlightSSRFIMDS攻撃

ラボ

  • 強制ブラウジングと安全でない直接オブジェクト・リソース(IDOR)攻撃
  • コマンド・インジェクション攻撃
  • クロスサイト・スクリプティング攻撃
  • SQLインジェクション攻撃
  • サーバーサイド・リクエスト・フォージェリ(SSRF)とインスタンス・メタデータ・サービス(IMDS)攻撃

概要

このセクションでは、Dellカスタマーポータル攻撃のような、注目を集めたWebアプリケーション侵害事例を分析し、大規模なデータ漏洩につながるWebアプリケーション攻撃の仕組みを理解します。攻撃者が強制ブラウジング、安全でない直接オブジェクト参照(IDOR)、コマンドインジェクションといった脆弱性を悪用して機密データにアクセスする方法を学習します。ハンズオンラボでは、これらの攻撃を実際に適用し、それらを検出・防御するための実践的なスキルを習得します。SQLインジェクションからクロスサイトスクリプティングまで、このモジュールでは、実際の侵害で用いられる戦術からWebアプリケーションを保護するための知識を習得します。

ラボの詳細

  • 強制ブラウジングと安全でない直接オブジェクトリソース(IDOR)攻撃
  • コマンド・インジェクション攻撃
  • クロスサイト・スクリプティング攻撃
  • SQLインジェクション攻撃
  • サーバーサイド・リクエスト・フォージェリ(SSRF)とインスタンス・メタデータ・サービス(IMDS)攻撃
  • クラウドバケット検出とデータ収集
  • ライトニングラボ:Ffufを使用した強制ブラウジング
  • ライトニングラボ:コマンドスタッキング

トピックの詳細

 強制ブラウジングとIDOR
  • 公開ウェブサイト攻撃チェーンの評価
  • AIを活用したIDOR脆弱性パターンの特定
  • クローリングの先へ:攻撃者のエンドポイントリストによる検出の高速化
 コマンド・インジェクション
  • コマンド・インジェクションによるウェブサイトへの侵入
  • ウォークスルー:Falsimentisコミュニティサービスウェブサイト攻撃
  • ウェブサイト以外の標的へのコマンド・インジェクションの適用
  • コマンド・インジェクションによるアクセス列挙攻撃
  • ウェブアプリケーションのコマンド・インジェクション脆弱性の監査
 クロスサイト・スクリプティング(XSS) 
  • サーバーの脆弱性を利用した被害者のブラウザの悪用
  • 分類機会攻撃または標的型攻撃におけるXSSの種類
  • Cookieの盗難、パスワードの収集、カメラ/マイクのキャプチャ攻撃
  • コンテンツセキュリティポリシー(CSP)を使用したXSSの阻止
 SQLインジェクション
  • SQL構文と開発者エラーの理解
  • SQLインジェクションによるデータの抽出
  • Sqlmapを使用した脆弱性検出の自動化
  • クラウドデータベースに対するSQLインジェクション:リレーショナルデータベースサービス(RDS)、SpannerAzure SQL
 クラウドスポットライト:SSRFとIMDS攻撃
  • サーバーサイドリクエストフォージェリの脆弱性の特定
  • 一般的なリクエストとサーバーサイドリクエストの理解
  • チュートリアル:FalsimentisフェデレーションSSO攻撃
  • IMDS攻撃によるクラウドキーの取得
 クラウドスポットライト:安全でないストレージ
  • ケーススタディ:クラウドバケットストレージの脆弱性
  • Amazon Web ServicesAzureGoogle Computeのクラウドストレージの理解
  • 安全でないバケットストレージの発見
  • チュートリアル:安全でないストレージによるウェブサイトの永続性侵害
  • 安全でないクラウドストレージアクセスの特定 

回避とエクスプロイト後の攻撃

このセクションでは、高度なエクスプロイト後の戦術を取り上げ、攻撃者が保護を回避し、持続性を確立し、内部ネットワークや脆弱なクラウド環境からデータを盗み出す方法を学習します。これらの脅威を検出して対応するための分析スキルを習得し、実際のシナリオに適用することで、長期的な成功と認定取得に備えます。

取り上げられるトピック

  • エンドポイントセキュリティのバイパス
  • ピボットとラテラルムーブメント
  • ハイジャック攻撃
  • 持続性の確立
  • 防御スポットライト:Real Intelligence 脅威分析

ラボ

  • エンドポイント保護のバイパス:アプリケーション許可リストのバイパス
  • コマンド&コントロールフレームワークを使用したピボットとラテラルムーブメント
  • Responder を使用したネットワークインサイダーとしてのWindowsのエクスプロイト
  • Metasploit を使用した持続性の確立
  • Real Intelligence 脅威分析 (RITA) を使用したネットワーク脅威ハンティング

概要

パスワード攻撃、公開攻撃、ドライブバイ攻撃を基盤として、攻撃者がエンドポイント保護を回避し、その足掛かりを利用して内部ネットワークにアクセスするポストエクスプロイト戦術を詳細に解説します。特権を持つ内部者による攻撃の仕組み、攻撃者が永続性を確立する方法、機密データをスキャンして盗み出す方法を学びます。また、自動化ツールと可視化技術を用いて、脆弱なクラウド環境のセキュリティを評価します。これらの分析スキルを用いて、これらの高度な脅威を認識し、対応することで、学んだ内容を実際のシナリオに適用できるようになります。最後に、コース終了後の対応手順についても解説し、学習内容を長期的なスキルへと転換し、認定試験の準備を支援します。

ラボの詳細

  • エンドポイント保護のバイパス:アプリケーション許可リストの回避
  • コマンド&コントロールフレームワークを用いたピボットとラテラルムーブメント
  • Responderを用いたWindowsのネットワークインサイダーとしての悪用
  • Metasploitを用いたパーシスタンスの確立
  • Real Intelligence Threat Analytics (RITA)を用いたネットワーク脅威ハンティング
  • ScoutSuiteを用いたクラウド構成評価
  • Ankiを用いたレビューカードの作成
  • ライトニングラボ:sudoを用いたLinux権限昇格
  • ライトニングラボ:Zeekログの生成

トピックの詳細

 エンドポイントセキュリティのバイパス
  • エンドポイントバイパスの3つの手法を理解
  • アプリケーションセーフリスト制御の回避
  • 署名付き実行ファイルを用いたエンドポイント制御の回避
  • Microsoft署名付きツールを用いたシステム攻撃:Living Off the Land (LOL)
  • エンドポイント検出・対応 (EDR/XDR) プラットフォームを最大限に活用
 ピボットとラテラルムーブメント
  • ラテラルムーブメントにおけるMetasploit機能の利用
  • 攻撃者による検出回避ピボット
  • LinuxWindowsの機能を利用した高度なエクスプロイト
  • 特権内部アクセスのためのコマンド&コントロール(C2
 ハイジャック攻撃
  • 特権LANアクセスの悪用
  • Windowsのデフォルトの脆弱なプロトコルへの攻撃
  • LAN上でのパスワードハーベスティング
 パーシステンスの確立
  • Windows Management InstrumentationWMI)イベントサブスクリプションのパーシステンス手法
  • Windows Active Directoryの悪用:ゴールデンチケット攻撃
  • Webシェルアクセスとマルチプラットフォームでのパーシステンス
  • AzureAmazon Web ServicesGoogle Computeにおけるクラウドキーとバックドアアカウント
 防御スポットライト:リアルインテリジェンス脅威分析
  • ネットワーク分析による脅威ハンティング
  • ネットワーク上のビーコンとC2の特定
  • ネットワークの異常性:長時間接続
  • DNSの窃取とアクセス攻撃の検知
 クラウドスポットライト:クラウドにおけるエクスプロイト後の対応
  • クラウド環境における権限の列挙とエスカレーション
  • Azureにおけるステルス性の高いバックドアの特定
  • クラウド攻撃フレームワークとしてのPacuの活用
  • ケーススタディ:Google Computeにおけるデータベースダンプへのアクセス
  • データアクセス用の組み込みツール:Microsoft 365 コンプライアンス検索
  • クラウド導入における脆弱性の評価
 今後の方向性
  • 長期想起と記憶保持力を高めるためのヒント
  • Anki を用いた間隔反復理論の応用
  • モチベーションを維持し、スキル開発のための時間の確保
  • 認定試験合格のための推奨事項

キャプチャー・ザ・フラッグ・イベント

キャプチャー・ザ・フラッグ・イベントは、1日かけて実践的な演習を行うイベントです。受講者は、最近侵害を受けた架空の企業「ISS Playlist」のコンサルタントとなります。

概要

キャプチャー・ザ・フラッグ・イベントは、1日かけて実践的な演習を行うイベントです。受講者は、最近侵害を受けた架空の企業「ISS Playlist」のコンサルタントとなります。コースで学んだスキルをすべて駆使し、攻撃者が現代の高度なネットワーク環境を侵害するために使用するのと同じ手法を駆使します。受講者は、WindowsLinuxIoTデバイス、クラウドなど、サイバー空間を標的とする様々なシステムに対し、チームまたは個人でスキャン、エクスプロイト、そしてエクスプロイト後のタスクを実行します。この実践的な演習は、スキルを磨き、コースで学んだ概念を強化することを目的としています。統合されたヒントシステムにより、成功に必要なオンデマンドガイダンスが提供され、このイベントでは、標的システムへの侵入、エンドポイント保護プラットフォームのバイパス、内部ネットワーク内の高価値ホストへの侵入、そして企業データの窃取に至るまでの手順を導きます。

トピックの詳細

  • エンドポイントセキュリティのバイパス
  • 標的の検出と列挙
  • オープンソースインテリジェンスの適用と偵察情報収集
  • 公開資産の侵害
  • メール詐欺
  • Windows Active Directoryへの攻撃
  • パスワードスプレー、推測攻撃、クレデンシャルスタッフィング攻撃
  • エクスプロイト後のピボットとラテラルムーブメント
  • エクスプロイトの選択、設定、配信

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ