NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Smartphone Forensic Analysis In-Depth
Digital Forensics and Incident Response
2021年9月6日(月)~11日(土)
8:30-17:00 (日本時間)
オンライン(日英同時通訳付き)
【同時通訳に関するご連絡】
本イベントは、豪州で開催されるSANSトレーニングと共催して実施いたします。
万が一参加者が僅少の場合は、同時通訳なしでの開催となる場合があります。
お申し込みいただきましたお客さまには、開催約3週間前(2021年8月13日)の段階で同時通訳の有無をあらためてご連絡申し上げます。
参加者僅少により、同時通訳なしでの開催となる場合は、お申し込み後においてもキャンセル料なしでキャンセルを承ります。
■2021.8.13
本イベントは、日英同時通訳付きにて開催することが決定いたしました。皆さまのお申し込みをお待ちしております。
■通常価格:840,000円(税込み:924,000円)
※上記試験費用は講義と同時お申し込み時のみ有効です。
※講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(1万円)が発生します。
※また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要! 次の手順に従ってシステムをセットアップしておいてください。
この講義に参加するには、事前に適切にセットアップされたシステムが必要です。指示を注意深くお読みください。そうでないと、このコースで重要となる演習に参加できないためご参加の際の満足度が下がる可能性があります。指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
講義の前にはシステムのバックアップを必ずお願いします。システムには機密情報を保存しないでください。SANSは、お客さまのシステムやデータに関して責任を負いません。
コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、40 -50 GBの範囲内のものもあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
スマートフォンのフォレンジックには、スマートフォンならではの考え方を必要とします。
システムの稼働履歴やアプリケーション間でのやりとりなどを、ユーザの操作によるものと誤報告するような過ちは避けましょう。今こそスマートになるときです!
いま、机にスマートフォンが置かれ、ユーザーが特定の日時に特定の場所にいたかどうかを判断する仕事があなたに与えられたとします。あなたはフォレンジックツールを頼って、データのダンプと解析に着手します。ツールによってデバイスにひもづいた位置情報が表示されます。さて、あなたはユーザーが確実にその場所にいたことを証明できるでしょうか。 特定の日付と時間にある場所で起こったことを、客観的に提示することはできるでしょうか。ツールで表示される情報が、ユーザがとった実際の行動ではない可能性があることを理解しているでしょうか。
スマートフォンのフォレンジックに関するこのコースでは、フォレンジックの実践者と調査者に高度なスキルを提供し、モバイルデバイスから回収された証拠を検出、デコード、復号し、正しく解釈するための知識を受講者にお伝えします。
モバイルデバイスは、多くの場合、刑事事件、不法侵入、知的財産権の窃取、セキュリティ上の脅威、事故調査などでの重要な要素となります。デバイスのデータを正しく活用する方法を理解することは、エキスパートとしてのあなたの立場と将来を左右する可能性があります。FOR 585では、そのようなスキルをお示しします。
スマートフォンが計算処理をしたり、何かをユーザに表示・提示したりするたびにデータが保存されます。フォレンジックツールがレポートする情報には、簡単に惑わされる可能性があります。スマートフォンのフォレンジック捜査は「証拠を確認する」と表示されたボタンを押して回答を得られるようなものではないのです。あなたのチームにはツールばかりに頼っていられる余裕はありません。デバイス上で起きたと思われることをツールに報告させるだけではなく、調査の指針として正しく使用する方法を理解する必要があります。市販のツールだけでは、スマートフォンのデータをすべて解析して、そのデータがデバイスにどのように書き込まれたかを理解することは不可能です。データの調査と解釈はあなた自身の仕事です。このコースではあなたとあなたの所属組織に、自信を持ってスマートフォンから正しい証拠を見つけ、抽出する能力を提供します。
FOR 585では、31のハンズオンラボやフォレンジックについての課題が提供され、受講生がスマートデバイスから様々なデータセットを分析し、フォレンジックツール、メソッド、自作のスクリプトを使いながら、スマートフォンのデータがいかに隠され、フォレンジックツールの誤用によって容易に誤解され得るかを学べるようになっています。各ラボは、各種のスマートフォンに適用できるように設計されています。複数のプラットフォームでさまざまなデータ形式に対する経験を積み、各種スマートデバイスでデータを保存・エンコードする方法を学習します。ラボでは、フォレンジックツールに100%依存してしまうことで見逃してしまう可能性がある要素に目を向けます。
6日間の集中的なコースは継続的にアップデートされています。最新のマルウェア、スマートフォンのOS、サードパーティーアプリケーション、ジェイルブレークとルート化)、暗号化などに対応します。FOR 585は、地球上で最もユニークで最先端の講義を提供しており、実務に戻った際すぐに適用できる、モバイルデバイスのフォレンジックの知識を提供します。
スマートフォンの技術は常に変化しており、多くのフォレンジック専門家は各テクノロジーのデータ形式に精通しきれていません。あなたのスキルを次のレベルに持っていきましょう。今、善人として活動している人たちはもっと賢くなるときです。そして悪人たちには、自分たちのスマートフォンでの行動はフォレンジックの専門家たちにより解析できてしまうこと、そして今後解析されてしまう可能性があることを知らしめるときなのです!!
スマートフォンのデータは永遠に隠し通せるものではありません。モバイル端末との戦いにうまく勝ち抜いていきましょう!
このコースの参加にあたっての前提条件はありませんが、フォレンジックに関連するファイルの構造や用語の基本的な理解をすすめておけば、高度なトピックを理解するのに有用です。過去にモバイルデバイスのフォレンジックについてのトレーニングを受講していれば役に立ちますが、必須ではありません。基本的なフォレンジックの情報取得手法はこの講座では取り上げませんが、ボーナスコースの教材でカバーしています。
FOR 585は、SANS SEC 575、FOR 308、FOR 563、FOR 508、FOR 526、FOR 572、FOR 610、FOR 518の既受講者で、次のレベルのスキルを身につけたいと思っている方に最適なコースです。ただし、これらのコースのほとんどは、どのような順番で受講しても良いようにデザインされています。
FOR585は、スマートフォンやモバイルデバイスのフォレンジックを経験しており、新たに足を踏み入れる方々に向けてデザインされています。デジタルフォレンジックの担当者がスマートフォンなどのモバイルデバイスを扱う際の基本となる知識と、実践的なスキルを学びます。次のようなお客さまにとっては"Must"の存在です。
FOR 585では、31の実践的なラボと最終チャレンジ課題を用意しており、受講者はテキストで学ぶだけでなく、データを手動で回復するテクニックを実際に試すことができます。一部のラボではあなた自身が実施内容を選べ、特定のデバイスについて知識を深める必要がある方は時間の許す限り他のラボを実施することができます。
このコースのラボでは、次のトピックについて取り上げます。
「デジタルフォレンジックにおいては、ほぼすべてのケースで、スマートフォンやモバイル機器が関係しています。多くの場合、スマートフォンは捜査に関連する、唯一のデジタルな証拠となり、最も個人に近いデバイスです。スマートフォンをパソコンと同じように共有する人はどれくらいいるでしょうか。おそらく多くはないでしょう。スマートフォン上に存在する全てのデータを回復する方法を知ることは、私たちに最も期待されていることなのです。フォレンジックを行う者は、スマートフォンの取り扱いやデータ回復、ロックされたデバイスへのアクセス、デバイスに隠れされているデータを手動でリカバリーする基礎などを理解しなければなりません。FOR 585は、モバイルデバイスのフォレンジックの初心者とモバイルデバイスの専門家に必要な知識を提供します。このコースには皆さんになんらか提供できるものがあります! このコースとGIAC認定と競合するものはありません。」- Heather Mahalik
「今日、世界人口の約85%が携帯電話を持つようになっています。米国単体で見ると、その半数がスマートフォンとなっています。これらの機器から情報を抽出したり、分析したりするためのツールや技術は日々変化しています。携帯電話がより洗練された形で個人データを保持し、データが難読化しているため、ツールやフォレンジック調査の実践者は、関連するデータをつまびらかにするため挑戦をする毎日です。FOR 585では、現在、市場で入手できるスマートデバイス分析ツールのうち最良なもののいくつかを掘り下げるだけでなく、新しいアプリケーションや課題が発生したときにスマートデバイスをより深く調査・分析するためのベストプラクティスやテクニックをフォレンジックの実践者に提供します。FOR 585は、受講生を常に最先端の存在として居させ続けるのです。」- Domenica Crognale
スマートフォンフォレンジックの概念はデジタルフォレンジックの概念に似ていますが、スマートフォンのファイルシステムの構造は異なり、デバイスから取得したデータを正しく解釈するためには特殊なデコードスキルが必要です。1日目は、スマートフォンフォレンジックのハンドリング、デバイスの機能、取得方法、SQLiteデータベースの検査、およびクエリの開発を学びます。またAndroid端末の概要についても説明します。一日の最後には、Androidのバックアップとクラウドのデータを検証します。受講者は、スマートフォンのデータの包括的な検査を完了させるために必要なフォレンジックツールに慣熟できます。
スマートフォンの普及により、デジタルフォレンジックへの期待が高まっています。このパートでは、まず最初にスマートフォンの概念とフォレンジックの意味合いを手早く復習します。暗号化、パスワード、破損したデバイスなど、一般的な課題に対処するためのアプローチを提示します。受講生は、ホット/コールドデバイスのような異なる状態のデバイスの取り合い方を学びます。フォレンジックの観点からモバイルデバイス上のデータを処理およびデコードする方法について解説し、フォレンジックツールでは取得できない情報を復元するための戦術について説明します。
フォレンジック調査者は、スマートフォン上の情報を解釈および分析するための考え方と、これらのデバイスからデータを抽出するための既存の方法の限界を理解しなければなりません。このパートではまた、暗号化への対処方法、スマートフォンのコンポーネント、SQLiteの概要とシンプルなクエリ言語について説明します。Androidについて紹介し、Androidのバックアップファイルを分析する方法を紹介します。
クラスで使用されるSIFT Workstationには、スマートフォンのフォレンジックツールセットが搭載されており、1週間を通じたツールキットと作業環境として提供されます。
SIFTワークステーション
スマートフォン入門
スマートフォンの取り扱い
スマートフォンのフォレンジック調査の考え方
スマートフォンのコンポーネント
スマートフォンのフォレンジックツールの概要-物理アナライザ
スマートフォンのフォレンジックツールの概要-AXIOM
SQLiteの概要
Androidフォレンジックの概要
Androidバックアップファイル
Google Cloudのデータと抽出
ボーナスマテリアル
Androidデバイスは世界で最も広く使用されているスマートフォンの1つであり、フォレンジックにおける対象となることはまず間違いありません。残念ながらAndroidデバイスにアクセスするのは以前ほど簡単ではありません。Androidデバイスにはデコードして有用な情報に変換できる大量のデータが保存されていますが、Androidのロックをバイパスし、そこに保存されたデータを正しく解釈するための適切なスキルを身につけなければ、急速に進化するスマートフォンのフォレンジックに備えることはできません。スマートフォンのフォレンジック調査担当者は、ファイル構造とデータの解析方法を理解する必要があります。AndroidとGoogleのクラウドデータストアには貴重な情報が大量に保存されていいます。iOSユーザーのがGoogleに残したアーティファクトも見つけられるケースがあるでしょう。
デジタルフォレンジックの担当者は、Androidデバイスのファイルシステム構造と、そこに格納されている情報を抽出して解釈するためのデータの格納方法を理解する必要があります。2日目は、Androidデバイスのファイル・システム・レイアウトについて詳しく説明し、証拠となる価値のあるファイルを含む共通領域について説明します。Androidデバイス上のユーザアクティビティのトレースと、 SQLiteレコードや生データファイル、削除データのリカバリについても説明します。
ハンズオンでは、スマートフォンのフォレンジックツールを使用して、Androidデバイスからさまざまな情報を抽出、デコード、分析します。既に学んだSQLiteを使って、商用ツールではサポートできない情報を解析するクエリーを作成します。ツールがAndroidデバイスから情報を抽出できない場合は、ADBを使用して手動で目的のデータを抽出します。クラウドデータを抽出して調査する方法を提示し、最後にAndroidデバイスからの物理的なデータ抽出を試みます。
Androidのデータ取得に関する考慮事項
Androidファイルシステムの構造
ロックされたAndroidデバイスの処理
Androidの情報格納場所
Androidデバイスでのユーザアクティビティの痕跡
ボーナスマテリアル
Apple iOSデバイスには、デコードして有用な情報に変換できる大量のデータ (削除されたレコードを含む) が格納されています。ロックされたiOSデバイスをバイパスしてデータを正しく解釈するには適切なスキルが必要です。このコースでは、ジェイルブレイクとエクスプロイトを使用した情報抽出のテクニックについて説明します。iOSに関する知識が無い状態では、フォレンジック調査の主要な対象になる可能性が高いiOSデバイスへの準備ができていないことになります。
このセクションでは、iOSデバイスについて説明します。デジタルフォレンジック担当者は、Apple iOSデバイスに含まれる情報を抽出して解釈するために、それらのデバイスのファイルシステムの構造とデータレイアウトを理解する必要があります。その方法を学ぶために、iOSデバイス上のファイル・システム・レイアウトを詳しく調べ、証拠となる価値のあるファイルを含む共通データ領域について説明します。ここでは、暗号化、復号化、ファイルの解析、ユーザー・アクティビティーの痕跡について詳しく取り上げます。
ハンズオンでは、スマートフォンのフォレンジックツールと様々な手法を使用して、iOSデバイスから情報を抽出して分析します。削除されたデータや復元不可能なデータは、スマートフォンのフォレンジックツールや、iOSデバイスのフォレンジックをサポートするスクリプトを使って、手動でデコードしていきます。
iOSファイルシステムの構造
iOSの情報格納場所
ロックされたiOSデバイスの処理
iOSデバイスでのユーザアクティビティのトレース
ボーナスマテリアル
iOSのバックアップは非常に一般的な構造で、クラウドやハードディスクドライブでよく見られものと同様です。ユーザーが作成するバックアップがフォレンジックに最良のデータであることはよくあります。4日目は、バックアップとクラウドのデータを抽出し、アーティファクトを分析する方法について説明します。また、マルウェアが時としてスマートフォンに影響を与えることがあります。4日目にはあわせてさまざまなマルウェアについて学習し、スマートフォン上でマルウェアがどのように存在しているか、どのようにしてマルウェアを特定し、分析するかを学びます。市販されているスマートフォン用ツールのほとんどはマルウェアの識別に役立ちますが、このコースで説明するレベルまでマルウェアを解析しつくすようなことはできません。この日だけで5つものラボを実施することになります!1日の最後には、意図的に変更された(データの削除、消去、非表示)スマートフォンのデータからユーザーデータの復元について、講義を通して学習したツールや手法を使って挑戦します。
iOSのバックアップファイルは、一般的にデジタルフォレンジック調査の一部となり得ます。このコースでは、バックアップ・ファイルの内容、手動でのデコード、暗号化されたバックアップ・ファイル・イメージの解析とクラッキングについて深く理解します。iOSバックアップファイルは基本的にファイルシステムからの抽出であるため、前日に学習した方法をこの日の最初では利用します。今日のフォレンジック担当者は、スマートフォン上のマルウェアの存在に対処しなければなりません。調査にあたっての唯一の質問が、特定のスマートフォンが侵害されたかどうか、どのようにしてそれを修正するために何ができるかということである場合が多くなっています。スマートフォン上のマルウェアとその存在の識別方法を理解することは、フォレンジック調査の担当者にとって重要なことです。
ハンズオンでは、スマートフォンのフォレンジックツールなどを使って、 iOS のバックアップ、モバイルマルウェアを含む Android 端末、ユーザーが意図的に操作・改変した端末から、さまざまな情報を抽出して分析します。受講生は、消去、暗号化、削除されたデータや、スマートフォンのフォレンジックツールを使って復元できないデータを手作業でデコードする必要があります。
ロックされたiOSバックアップファイル
iCloudデータ抽出と分析
マルウェアおよびスパイウェアのフォレンジック
証拠隠滅の検出
ボーナスマテリアル
5日目は、各種のスマートフォンに対応したサードパーティー製アプリケーションを取り上げるところから始まり、調査のためにアプリケーションのデータと設定ファイルを利用する方法を学習します。残りの時間は、チャットアプリケーション、削除されたアプリケーションデータと添付ファイルの復元、モバイルブラウザのアーティファクト、およびコピー製品におけるフォレンジックに重点が置かれます。このセクションで学習する内容により、各種スマートフォンにインストールされたサードパーティー製アプリケーションのデータをデコードするスキルを身に付けます。
ハンズオンでは、スマートフォンのフォレンジックツールを使用して、サードパーティー製アプリケーションファイルを抽出して分析し、データを手動で検索して復元します。受講生はスマートフォンのフォレンジックツールや、自分で作成したSQLiteクエリを使って、削除されたデータや復元できないデータを手動でデコードするとともに、複数のスマートフォンからサードパーティーのアプリケーションデータを手動でデコードします。この日の内容をマスターすることにより、フォレンジックツールだけにとどまらないアーティファクトのリカバリ能力を身に付けることができます。
サードパーティー製アプリケーションの概要
サード・パーティー・アプリケーションのアーティファクト
メッセージング・アプリケーションと添付ファイルのリカバリ
モバイルブラウザ
セキュアなチャットアプリケーション
最終日は、コースで学習したすべてのことを再確認します。少人数のグループで3台のスマートフォンを調べ、実際のスマートフォンのフォレンジックに基づくシナリオを解きます。各グループは、3つのスマートフォンを個別に分析し、手動でデータをデコードして特定の質問に答えます。また、調査仮説を立てたうえでレポートを作成して所見を発表します。
受講生をグループ分けし、調査結果を発表することで、1週間で教えられた技術に対する受講生の理解度を確認します。調査結果は技術的な裏付けを伴うものであるべきであり、マニュアルでの作業によるリカバリー手順と、フォレンジック手順のプロセスを含む必要があります。エグゼクティブサマリーの作成が求められます。
各グループは、実際の調査と同様に、演習中に次の重要な質問に答えるよう求められます。
識別とスコーピング
フォレンジック調査の内容
フォレンジックの再構築
演習を通じた成績がトップのチームが、このフォレンジックチャレンジの勝者となります。