ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 585

Smartphone Forensic Analysis In-Depth

Digital Forensics and Incident Response

日程

2021年9月6日(月)~11日(土)

期間
6日間
講義時間

8:30-17:00 (日本時間)

受講スタイル
Live Online
会場

オンライン(日英同時通訳付き)

【同時通訳に関するご連絡】

本イベントは、豪州で開催されるSANSトレーニングと共催して実施いたします。

万が一参加者が僅少の場合は、同時通訳なしでの開催となる場合があります。

お申し込みいただきましたお客さまには、開催約3週間前(2021年8月13日)の段階で同時通訳の有無をあらためてご連絡申し上げます。

参加者僅少により、同時通訳なしでの開催となる場合は、お申し込み後においてもキャンセル料なしでキャンセルを承ります。

■2021.8.13

本イベントは、日英同時通訳付きにて開催することが決定いたしました。皆さまのお申し込みをお待ちしております。

GIAC認定資格
GASF
講師
Domenica Crognale|ドメニカ クログネル
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 point
受講料

■通常価格:840,000円(税込み:924,000円)

申込締切日
2021年8月27日(金)
オプション
  • GIAC試験 105,000円(税込み:115,500円)

※上記試験費用は講義と同時お申し込み時のみ有効です。
※講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(1万円)が発生します。
※また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。

  • OnDemand 105,000円(税込み:115,500円)
  • NetWars Continuous 190,000円(税込み:209,000円)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR585 PC設定詳細

重要! 次の手順に従ってシステムをセットアップしておいてください。

この講義に参加するには、事前に適切にセットアップされたシステムが必要です。指示を注意深くお読みください。そうでないと、このコースで重要となる演習に参加できないためご参加の際の満足度が下がる可能性があります。指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。

講義の前にはシステムのバックアップを必ずお願いします。システムには機密情報を保存しないでください。SANSは、お客さまのシステムやデータに関して責任を負いません。

 

ノートパソコンのハードウェア要件

  • CPU:64bit Intel i5/i7(第4世代以降) x64 2.0+ GHzプロセッサ以上(64bit必須)
      ※M1プロセッサー使用のAppleシステムでは、必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS: BIOSにおいて、仮想化技術(Intel-VT など)の利用が有効になっていること
  • RAM:16GB以上(必須)
  • NW:802.11規格に対応した無線LAN
  • HDD/SSD:最低200GB以上の空き容量(仮想ホストマシンとして必要)
  • その他:USB Type-AポートでUSBメモリの読込ができること
  • システムの管理者権限を持っていることを確認

ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)

  • ホストオペレーティングシステム:Windows 10の最新バージョンまたはmacOS 10.15.xの最新バージョン
    注:クラスの前にホストオペレーティングシステムを完全に更新し、最新のUSB 3.0デバイスを使用するための適切なドライバとパッチがインストールされている状態にしておく必要があります。
  • VMware Workstation Pro 15.5.X以上、VMware Player 15.5.X以上、またはVMWare Fusion 11.5以上
    VMware WorkstationまたはFusionのライセンス版を所有していない場合は、VMwareから無料の30日間試用版をダウンロードできます。 VMwareのWebサイトでトライアルに登録すると、期限付きのシリアル番号が送信されます。
  • 7 Zip (Windowsホストの場合) またはKeka (macOSの場合)

Live Onlineでのコースメディアの事前準備、テキストについて

コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、40 -50 GBの範囲内のものもあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

FOR585コース概要

このコースを受講することにより、受講者は次の事柄について理解を深めることが可能です。

  • スマートフォン上のどこに重要な証拠があるか
  • データがスマートフォンにどのようにして格納されたか
  • フォレンジックツールで検出できなかった削除済みモバイルデバイスデータを回復する方法
  • サードパーティ製アプリケーションに保存されている証拠をデコードする方法
  • モバイルマルウェアおよびスパイウェアの検出、逆コンパイル、および分析方法
  • スマートフォン上のデータにアクセスするにあたって必要となる高度な専門用語とその技術
  • ロックされた、または暗号化されたデバイス、アプリケーション、およびコンテナの処理方法
  • アプリケーションやモバイルのアーティファクトが含まれるデータベースの適切な検査方法
  • データセットに対して必要なツールを作成、検証、妥当性確認(バリデーション)する方法

 

スマートフォンのフォレンジックには、スマートフォンならではの考え方を必要とします。
システムの稼働履歴やアプリケーション間でのやりとりなどを、ユーザの操作によるものと誤報告するような過ちは避けましょう。今こそスマートになるときです!

いま、机にスマートフォンが置かれ、ユーザーが特定の日時に特定の場所にいたかどうかを判断する仕事があなたに与えられたとします。あなたはフォレンジックツールを頼って、データのダンプと解析に着手します。ツールによってデバイスにひもづいた位置情報が表示されます。さて、あなたはユーザーが確実にその場所にいたことを証明できるでしょうか。 特定の日付と時間にある場所で起こったことを、客観的に提示することはできるでしょうか。ツールで表示される情報が、ユーザがとった実際の行動ではない可能性があることを理解しているでしょうか。

スマートフォンのフォレンジックに関するこのコースでは、フォレンジックの実践者と調査者に高度なスキルを提供し、モバイルデバイスから回収された証拠を検出、デコード、復号し、正しく解釈するための知識を受講者にお伝えします。

モバイルデバイスは、多くの場合、刑事事件、不法侵入、知的財産権の窃取、セキュリティ上の脅威、事故調査などでの重要な要素となります。デバイスのデータを正しく活用する方法を理解することは、エキスパートとしてのあなたの立場と将来を左右する可能性があります。FOR 585では、そのようなスキルをお示しします。

スマートフォンが計算処理をしたり、何かをユーザに表示・提示したりするたびにデータが保存されます。フォレンジックツールがレポートする情報には、簡単に惑わされる可能性があります。スマートフォンのフォレンジック捜査は「証拠を確認する」と表示されたボタンを押して回答を得られるようなものではないのです。あなたのチームにはツールばかりに頼っていられる余裕はありません。デバイス上で起きたと思われることをツールに報告させるだけではなく、調査の指針として正しく使用する方法を理解する必要があります。市販のツールだけでは、スマートフォンのデータをすべて解析して、そのデータがデバイスにどのように書き込まれたかを理解することは不可能です。データの調査と解釈はあなた自身の仕事です。このコースではあなたとあなたの所属組織に、自信を持ってスマートフォンから正しい証拠を見つけ、抽出する能力を提供します。

FOR 585では、31のハンズオンラボやフォレンジックについての課題が提供され、受講生がスマートデバイスから様々なデータセットを分析し、フォレンジックツール、メソッド、自作のスクリプトを使いながら、スマートフォンのデータがいかに隠され、フォレンジックツールの誤用によって容易に誤解され得るかを学べるようになっています。各ラボは、各種のスマートフォンに適用できるように設計されています。複数のプラットフォームでさまざまなデータ形式に対する経験を積み、各種スマートデバイスでデータを保存・エンコードする方法を学習します。ラボでは、フォレンジックツールに100%依存してしまうことで見逃してしまう可能性がある要素に目を向けます。

6日間の集中的なコースは継続的にアップデートされています。最新のマルウェア、スマートフォンのOS、サードパーティーアプリケーション、ジェイルブレークとルート化)、暗号化などに対応します。FOR 585は、地球上で最もユニークで最先端の講義を提供しており、実務に戻った際すぐに適用できる、モバイルデバイスのフォレンジックの知識を提供します。

スマートフォンの技術は常に変化しており、多くのフォレンジック専門家は各テクノロジーのデータ形式に精通しきれていません。あなたのスキルを次のレベルに持っていきましょう。今、善人として活動している人たちはもっと賢くなるときです。そして悪人たちには、自分たちのスマートフォンでの行動はフォレンジックの専門家たちにより解析できてしまうこと、そして今後解析されてしまう可能性があることを知らしめるときなのです!!

スマートフォンのデータは永遠に隠し通せるものではありません。モバイル端末との戦いにうまく勝ち抜いていきましょう!

 

 

このコースを通じて、次の事柄について理解を深めることができます。

  • スマートフォンのデータを効果的に分析するために最も効果的なフォレンジックツール、手法、および手順を選ぶ
  • スマートフォンからの情報を活用した時間軸展開やリンク分析など、犯罪を取り巻く事象を描き上げる (誰が誰と、どこで、いつやりとりしたか)
  • スマートフォンのファイルシステムにどのようにデータが保存されるか、また、それらがどのように異なるか、各デバイスにどのように証拠が保存されるかを理解する
  • スマートフォン上のファイルシステムを理解し、ユーザーが通常アクセスできない情報を把握する
  • 証拠がモバイルデバイスにどのように取り込まれたかを特定する。ユーザーがデータを作成したかどうかを知る方法を理解する。そのことにより、ツールから取得した誤った証拠を報告するという重大なミスを回避する。
  • スマートフォンやモバイル機器から削除されたデータを復元するために手動でデコードをする
  • ユーザーとスマートフォンと特定の日時や場所との関連を紐解く
  • スマートフォン上のアプリケーションから非表示にされた、または難読化された通信を回復する
  • フォレンジックツールで解析されないアプリケーションデータを復号、またはデコードする
  • マルウェアやスパイウェアに感染したスマートフォンをフォレンジック手法で検出する
  • オープンソースツールを使ったモバイルマルウェアのデコンパイルと分析をする
  • スマートフォンの暗号化処理に対してバイパス、クラック、手動でロックコードを解析するなどして対処する(iTunes で暗号化されたiOSバックアップファイルを解読することを含む)。
  • スマートフォンのコンポーネント (SDカード) にデータがどのように保存されているか、暗号化されたファイルがどのように検証されるかを理解する
  • スマートフォンなど(Android、iOS、BlackBerry 10、Windows Phone、中国製のコピー製品、SDカード)からの情報の抽出と活用(ボーナスラボではBlackBerry、BlackBerry backup、Nokia(Symbian)、SIMカードのデコードについてフォーカスします)
  • 多くのツールでは追いきれない、端末のデータ構造の奥深くへのフォレンジックの実行
  • SQLiteデータベースとダンプデータの解析による削除情報のリカバリ
  • 高度なテクニックを用いた欠落または削除されたデータの復元

 

コース受講に当たっての注意事項:

このコースの参加にあたっての前提条件はありませんが、フォレンジックに関連するファイルの構造や用語の基本的な理解をすすめておけば、高度なトピックを理解するのに有用です。過去にモバイルデバイスのフォレンジックについてのトレーニングを受講していれば役に立ちますが、必須ではありません。基本的なフォレンジックの情報取得手法はこの講座では取り上げませんが、ボーナスコースの教材でカバーしています。

FOR 585は、SANS SEC 575、FOR 308、FOR 563、FOR 508、FOR 526、FOR 572、FOR 610、FOR 518の既受講者で、次のレベルのスキルを身につけたいと思っている方に最適なコースです。ただし、これらのコースのほとんどは、どのような順番で受講しても良いようにデザインされています。

受講対象者

FOR585は、スマートフォンやモバイルデバイスのフォレンジックを経験しており、新たに足を踏み入れる方々に向けてデザインされています。デジタルフォレンジックの担当者がスマートフォンなどのモバイルデバイスを扱う際の基本となる知識と、実践的なスキルを学びます。次のようなお客さまにとっては"Must"の存在です。

  • デジタルフォレンジックの領域では多くの経験を持つが、その知識と経験を今後モバイルデバイス (特にスマートフォン) のフォレンジックに広げていきたいと考えている方
  • デジタルメディアの不正利用についてのアナリストで、スマートフォンやモバイルデバイスの意図的な不正に利用や、ドキュメントファイル、各種メディアの不正な利用を検知する必要がある方
  • 情報セキュリティの専門家で、データ漏洩事件や不正アクセスに対応する方
  • インシデント対応チームにおいて、スマートフォンが情報の侵害においてどのように使われたかを特定する任務を持つ方
  • 執行官、捜査担当者、刑事などの方々で、デジタルフォレンジック全般を超えた幅広いスキルを身に付けるために、スマートフォンのフォレンジックについて深く理解したいと考えている方
  • インシデントからの復旧を担当する方で、特定の期間に、電話に対してどのようなアクセス履歴があるか、または電話がどのように使用されたかを判断する必要がある方
  • IT監査の担当者で、どのようにするとスマートフォンが機密情報を外部に露呈してしまう可能性があるかを理解したい方
  • SANS SEC 575、FOR 308、FOR 498、FOR 563、FOR 500、FOR 508、FOR 572、FOR 526、FOR 610、FOR 518の既受講者で、次のレベルのスキルを身につけたいと思っている方


※FOR585は、GIAC(GASF)認定試験対象コースです。

講義内容の一例(講義を受講してできるようになること)

スマートフォン上のマルウェアおよびスパイウェア
  • インシデント対応におけるモバイルデバイスの位置づけ
  • マルウェアやスパイウェアが存在しているかどうかの確認
  • マルウェアを隔離するための処理
  • 詳細分析のためのマルウェアのデコンパイル
  • セキュリティが破られた対象の特定

スマートフォンとその構成コンポーネントのフォレンジック分析
  • Android OS
  • Apple iOS
  • SDカード
  • クラウドベースのバックアップとストレージ
  • Googleやその他のクラウドで同期されるデータ
  • アプリケーションの削除、消去、非表示など意図的に変更されたデバイス

スマートフォンのファイルシステムとデータ構造の詳細なフォレンジック調査
  • スマートフォンから削除された情報の復元
  • SQLiteデータベースの詳細な調査
  • スマートフォン上でのユーザ活動の痕跡調査
  • サードパーティー製アプリケーションからのデータのリカバリー
  • スマートフォンでのユーザーのオンライン活動追跡(メッセージングやソーシャルネットワーキングなど)
  • アプリケーションのファイルの調査
  • 手作業によるデータの回復と結果の検証
  • データベースから情報を抽出するためのSQLクエリの作成
  • ユーザー・ベースおよびスマートフォン・ベースのアーティファクトの理解
  • システムとアプリケーションの利用ログにより、アプリケーションが使用されていた場所・状況を確認する

最良なスマートフォン・フォレンジックツールの使用方法と機能の詳細
  • ツールの詳細な利用方法
  • カスタム・スクリプトを使用した削除済みデータの解析
  • スクリプトを利用したフォレンジック分析
  • データの復元
  • カスタムSQLクエリの作成
  • 物理的・論理的キーワード検索
  • スマートフォンの情報を利用した、手動でのタイムライン生成・リンク解析
  • 信頼できるデータセットを使ったツールの妥当性確認

ロックおよび暗号化されたデバイスの処理
  • ロックされたスマートフォンからの証拠情報抽出
  • 暗号化のバイパス (カーネルおよびアプリケーションレベル)
  • パスコードのクラッキング
  • スマートフォンのバックアップの復号
  • サードパーティーのアプリケーションファイルの復号
  • SDカードからの暗号化データの確認

スマートフォンのインシデント対応における考慮事項
  • デバイスへの変更適用
  • ホットデバイスとコールドデバイスの取り扱い方法
  • デバイスのリモートアクセスを防止する方法
  • 特定の時間におけるユーザーまたはアクティビティをデバイスに結び付ける方法
  • モバイルデバイスマネジメントが有害となるケース

ハンズオンラボ

FOR 585では、31の実践的なラボと最終チャレンジ課題を用意しており、受講者はテキストで学ぶだけでなく、データを手動で回復するテクニックを実際に試すことができます。一部のラボではあなた自身が実施内容を選べ、特定のデバイスについて知識を深める必要がある方は時間の許す限り他のラボを実施することができます。
このコースのラボでは、次のトピックについて取り上げます。

  • Malware and Spyware -- ここでは2つのラボが用意されており、Androidデバイスから回収されたマルウェアを調査、識別、手動で逆コンパイルし、分析する方法を受講生が理解できるようになっています。ここで使用されるプロセスは、一般に流通しているフォレンジック調査のやりかたやキットをはるかに超えたものです。練習用に、ボーナスでIPAおよびAPKファイルが用意されています。USBにはさらに2つのボーナスラボが格納されています。
  • Android Analysis -- ここでは4つのラボが用意されており、ロックされたデバイスを手動でクラックしたり、削除されたデータを復元したり、ツールの出力結果を検証したり、ユーザーをアーティファクトの示す文脈に沿って置いたりします。また、サードパーティーのアプリケーションファイルを解析して、市販のフォレンジックツールでは一般的に解析されないユーザーデータを取得する方法を教えるように設計されています。追加ラボでは、Androidデバイスからロックコードを手作業で解読する方法を教えます。ボーナスラボでは、稼働中のデバイスを手動で操作し、情報を引き出す方法を教えます。
  • iOS Analysis -- 5つのラボを通じ、削除されたデータの復元、ツールの出力結果の検証、plistやデータベースの手動解析、サードパーティー製のアプリケーションのファイル解析などを行い、市販のフォレンジックツールでは一般的に解析されないユーザーデータを取得する方法を教えます。さらに、暗号化されたイメージからデータを解析するためにツールを「だます」手法がラボに組み込まれています。ボーナスラボでは、稼働中のデバイスを手動で操作して、費用が掛からないやりかたで関連情報を引き出す方法を生徒に教えます。コースUSBには他のボーナスラボが格納されています。
  • Backup File Analysis -- 3つのラボを通じ、iOSとAndroidのバックアップファイルを解析する方法を教えます。これらのラボでは、データベース、plist、サード・パーティーのアプリケーション・データからデータを解析します。BlackBerryのバックアップに関するボーナスラボが提供されます。
  • Wiped Phone Analysis -- 受講生にとってもっとも難しいラボの1つです。なぜならば、ここで使用するデバイスは事前に消去されているためです。受講生はこのコースで学ぶあらゆる方法を駆使し、スマートフォンからどのような情報を回収できるのか確かめられます。
  • BlackBerry 10 Analysis --このラボでは、外部メディア (SIMカード) をデバイスに接続し、データが手動でどのように分割・解析されるかを理解し、BlackBerry 10アプリケーションがAndroidやiOSとどのように異なるかを理解する機会を受講生に提供します。このラボで使用する方法は、SIMカードを搭載し、サードパーティーのアプリケーション(Android、Windows Phone、Nokiaなど。)を利用する他のスマートフォンにも適用されます。
  • Knock-off Phone Analysis --このラボでは、コピー製品のデバイスの処理、ファイルシステムの理解、市販のツールで解析されなかったデータのデコードに重点を置いています。
  • Third-Party Application Analysis --このラボでは、複数のスマートフォンデバイスにおけるサードパーティー製アプリケーションを調べたり、市販のツールでは一般的に解析されないアプリケーションを手動で解析します。
  • Parsing Application Databases -- 3つのラボにより、テーブルを解析するためのSQLクエリーを作成し、添付ファイルをチャットプリケーションからリカバリーできます。ラボでは、商用ツールができる以上のことを深く掘り下げて実施するよう、生徒が挑戦することが要求されています。
  • Browser Analysis --このラボでは、コンピュータとモバイルデバイスの間でのブラウザのアーティファクトの類似点と相違点を示します。市販のツールは何らかの証拠を解析するのに適しているかもしれませんが、このラボではその観点で見逃されているものに焦点を当てます。
  • Smartphone Forensic Capstone -- コース最後のチャレンジでは、通信、サードパーティー製アプリケーション、インターネットの履歴、クラウドとネットワークのアクティビティ、共有データなど、このコースを通じて学んだことを一通り振り返ります。様々な種類のスマートフォンを対象とします。この演習は、FOR 585で学んだことを深く掘り下げることで、実務に戻った後すぐに今回の知識を活用できるようになっています。

コース開発者より

「デジタルフォレンジックにおいては、ほぼすべてのケースで、スマートフォンやモバイル機器が関係しています。多くの場合、スマートフォンは捜査に関連する、唯一のデジタルな証拠となり、最も個人に近いデバイスです。スマートフォンをパソコンと同じように共有する人はどれくらいいるでしょうか。おそらく多くはないでしょう。スマートフォン上に存在する全てのデータを回復する方法を知ることは、私たちに最も期待されていることなのです。フォレンジックを行う者は、スマートフォンの取り扱いやデータ回復、ロックされたデバイスへのアクセス、デバイスに隠れされているデータを手動でリカバリーする基礎などを理解しなければなりません。FOR 585は、モバイルデバイスのフォレンジックの初心者とモバイルデバイスの専門家に必要な知識を提供します。このコースには皆さんになんらか提供できるものがあります! このコースとGIAC認定と競合するものはありません。」- Heather Mahalik

「今日、世界人口の約85%が携帯電話を持つようになっています。米国単体で見ると、その半数がスマートフォンとなっています。これらの機器から情報を抽出したり、分析したりするためのツールや技術は日々変化しています。携帯電話がより洗練された形で個人データを保持し、データが難読化しているため、ツールやフォレンジック調査の実践者は、関連するデータをつまびらかにするため挑戦をする毎日です。FOR 585では、現在、市場で入手できるスマートデバイス分析ツールのうち最良なもののいくつかを掘り下げるだけでなく、新しいアプリケーションや課題が発生したときにスマートデバイスをより深く調査・分析するためのベストプラクティスやテクニックをフォレンジックの実践者に提供します。FOR 585は、受講生を常に最先端の存在として居させ続けるのです。」- Domenica Crognale

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

スマートフォンの概要、分析の基礎、SQLite導入、Androidフォレンジックの概要、Androidバックアップ

概要

スマートフォンフォレンジックの概念はデジタルフォレンジックの概念に似ていますが、スマートフォンのファイルシステムの構造は異なり、デバイスから取得したデータを正しく解釈するためには特殊なデコードスキルが必要です。1日目は、スマートフォンフォレンジックのハンドリング、デバイスの機能、取得方法、SQLiteデータベースの検査、およびクエリの開発を学びます。またAndroid端末の概要についても説明します。一日の最後には、Androidのバックアップとクラウドのデータを検証します。受講者は、スマートフォンのデータの包括的な検査を完了させるために必要なフォレンジックツールに慣熟できます。

スマートフォンの普及により、デジタルフォレンジックへの期待が高まっています。このパートでは、まず最初にスマートフォンの概念とフォレンジックの意味合いを手早く復習します。暗号化、パスワード、破損したデバイスなど、一般的な課題に対処するためのアプローチを提示します。受講生は、ホット/コールドデバイスのような異なる状態のデバイスの取り合い方を学びます。フォレンジックの観点からモバイルデバイス上のデータを処理およびデコードする方法について解説し、フォレンジックツールでは取得できない情報を復元するための戦術について説明します。

フォレンジック調査者は、スマートフォン上の情報を解釈および分析するための考え方と、これらのデバイスからデータを抽出するための既存の方法の限界を理解しなければなりません。このパートではまた、暗号化への対処方法、スマートフォンのコンポーネント、SQLiteの概要とシンプルなクエリ言語について説明します。Androidについて紹介し、Androidのバックアップファイルを分析する方法を紹介します。

クラスで使用されるSIFT Workstationには、スマートフォンのフォレンジックツールセットが搭載されており、1週間を通じたツールキットと作業環境として提供されます。

 

演習

  • SIFTワークステーション:ラボの設定
  • スマートフォンフォレンジックツールのデモと操作
  • 物理的アナライザの操作(Android)
  • AXIOMのiOSバックアップ抽出
  • SQLiteデータベースの基礎知識と簡単なSQLクエリの作成
  • アンドロイドのバックアップのフォレンジック

トピックス

SIFTワークステーション

スマートフォン入門

  • スマートフォンのコンポーネントと識別子
  • 証拠となるデバイスの機能評価
  • 共通ファイルシステム
  • フラッシュメモリに対するフォレンジックの影響
  • データ・ストレージの細分化と定義

スマートフォンの取り扱い

  • スマートフォンに関する証拠の保全
  • データ破壊の防止
  • ホットおよびコールドデバイスの取り扱い方法

スマートフォンのフォレンジック調査の考え方

  • 論理的データ調査
  • ファイルシステムの調査
  • ファイル・システム全体の調査
  • 物理的な取り出し
  • 高度な物理的な取り出しとその手法

スマートフォンのコンポーネント

  • SIMカードの概要と調査
  • SDカードの取り扱いと調査

スマートフォンのフォレンジックツールの概要-物理アナライザ

  • 物理キーワード検索と論理キーワード検索
  • 主な機能
  • ヒントとコツ
  • ツールをうまく活用する方法

 

スマートフォンのフォレンジックツールの概要-AXIOM

  • 物理キーワード検索と論理キーワード検索
  • 主な機能
  • ヒントとコツ
  • ツールをうまく活用する方法

SQLiteの概要

  • SQLiteデータベースの機能
  • ファイルへのデータの格納方法
  • SQLiteデータベースを調査する方法
  • 必要な情報を解析するための単純なクエリーを作成する方法

Androidフォレンジックの概要

  • Androidのアーキテクチャとコンポーネント
  • AndroidデバイスのNANDフラッシュメモリ
  • Androidファイルシステムの概要
  • フルディスク暗号化とファイルベース暗号化

Androidバックアップファイル

  • バックアップファイルのフォレンジックの概要
  • Androidバックアップのファイル構造
  • ロックされたAndroidバックアップ
  • 対象データ

Google Cloudのデータと抽出

  • Google Cloudデータの抽出と分析

ボーナスマテリアル

  • SIFT仮想マシンで提供されるツール
  • 関連するホワイト・ペーパーとガイド
  • スマートフォン用チートシート
  • モバイルデバイスの修復
  • ボーナスラボ:Nokia (Symbian) のフォレンジック
  • ボーナスラボ:BlackBerryバックアップファイルの調査
  • ボーナスラボ:BlackBerryデバイスの科学捜査 (レガシーOS 7デバイス)
  • ボーナスラボ:SIMカードデータのデコード
  • ボーナスラボ:BlackBerry 10の分析
  • ボーナスラボ:模造品のフォレンジック分析





Androidデバイスのフォレンジック


フォーカスポイント

Androidデバイスは世界で最も広く使用されているスマートフォンの1つであり、フォレンジックにおける対象となることはまず間違いありません。残念ながらAndroidデバイスにアクセスするのは以前ほど簡単ではありません。Androidデバイスにはデコードして有用な情報に変換できる大量のデータが保存されていますが、Androidのロックをバイパスし、そこに保存されたデータを正しく解釈するための適切なスキルを身につけなければ、急速に進化するスマートフォンのフォレンジックに備えることはできません。スマートフォンのフォレンジック調査担当者は、ファイル構造とデータの解析方法を理解する必要があります。AndroidとGoogleのクラウドデータストアには貴重な情報が大量に保存されていいます。iOSユーザーのがGoogleに残したアーティファクトも見つけられるケースがあるでしょう。

概要

デジタルフォレンジックの担当者は、Androidデバイスのファイルシステム構造と、そこに格納されている情報を抽出して解釈するためのデータの格納方法を理解する必要があります。2日目は、Androidデバイスのファイル・システム・レイアウトについて詳しく説明し、証拠となる価値のあるファイルを含む共通領域について説明します。Androidデバイス上のユーザアクティビティのトレースと、 SQLiteレコードや生データファイル、削除データのリカバリについても説明します。

ハンズオンでは、スマートフォンのフォレンジックツールを使用して、Androidデバイスからさまざまな情報を抽出、デコード、分析します。既に学んだSQLiteを使って、商用ツールではサポートできない情報を解析するクエリーを作成します。ツールがAndroidデバイスから情報を抽出できない場合は、ADBを使用して手動で目的のデータを抽出します。クラウドデータを抽出して調査する方法を提示し、最後にAndroidデバイスからの物理的なデータ抽出を試みます。

 

演習

  • Androidファイルシステムから情報を手動でデコードおよび抽出し、論理的な取得を行う
  • サードパーティー製アプリケーションを使ったより深いデコードや、Androidデバイス上のユーザーのアクティビティの復元
  • Androidデバイスの物理ダンプから復元されたデータの手動でのデコードと解釈
  • スクリプトを利用したAndroidデバイスからの大容量データ抽出の優先度づけ
  • ADBを使用したAndroidデバイスの操作

トピックス

Androidのデータ取得に関する考慮事項

  • 利用可能なメソッド
    • 物理
    • ファイルシステム
    • 論理/バックアップ
  • 抽出オプションの制約についての理解
  • トレースについての理解

 

Androidファイルシステムの構造

  • データ構造・レイアウトの定義
    • 物理
    • ファイルシステム
    • 論理/バックアップ
  • データ・ストレージ・フォーマット
  • データの解析とデータ復元
  • 物理キーワード検索と論理キーワード検索

 

ロックされたAndroidデバイスの処理

  • Androidのセキュリティオプション
  • Androidデバイスのロックをバイパスする方法
  • ロックされたAndroidデバイスにアクセスするための実用的なヒント

 

Androidの情報格納場所

  • 主要な証拠情報の格納場所
  • ユニークファイルのリカバリ
  • SQLiteデータベースファイルの解析
  • Androidデータの手動デコード

 

Androidデバイスでのユーザアクティビティの痕跡

  • Androidアプリケーションがデータを保存する方法
  • Androidスマートフォンのデータ構造の詳細
    • SMS/MMS
    • 電話、連絡先、およびカレンダー
    • 電子メールおよびWebブラウズ
    • 位置情報
    • サードパーティー製アプリケーション
    • アプリケーションの使用状況
    • システムログ
  • 削除されたSQLiteレコードのサルベージ
  • Androidデバイス上の削除されたデータをRAWイメージからサルベージ

 

ボーナスマテリアル

  • スマートフォン・チートシート
  • Androidのデータ取得方法
  • ホワイト・ペーパーとガイド
  • ADBを使ってAndroidデバイスからデータを引き出すハンズオンラボ
  • ボーナスラボ:Androidのロック解除

iOSデバイスのフォレンジック


フォーカスポイント

Apple iOSデバイスには、デコードして有用な情報に変換できる大量のデータ (削除されたレコードを含む) が格納されています。ロックされたiOSデバイスをバイパスしてデータを正しく解釈するには適切なスキルが必要です。このコースでは、ジェイルブレイクとエクスプロイトを使用した情報抽出のテクニックについて説明します。iOSに関する知識が無い状態では、フォレンジック調査の主要な対象になる可能性が高いiOSデバイスへの準備ができていないことになります。

概要

このセクションでは、iOSデバイスについて説明します。デジタルフォレンジック担当者は、Apple iOSデバイスに含まれる情報を抽出して解釈するために、それらのデバイスのファイルシステムの構造とデータレイアウトを理解する必要があります。その方法を学ぶために、iOSデバイス上のファイル・システム・レイアウトを詳しく調べ、証拠となる価値のあるファイルを含む共通データ領域について説明します。ここでは、暗号化、復号化、ファイルの解析、ユーザー・アクティビティーの痕跡について詳しく取り上げます。

ハンズオンでは、スマートフォンのフォレンジックツールと様々な手法を使用して、iOSデバイスから情報を抽出して分析します。削除されたデータや復元不可能なデータは、スマートフォンのフォレンジックツールや、iOSデバイスのフォレンジックをサポートするスクリプトを使って、手動でデコードしていきます。

演習

  • iOSファイルシステムの手動デコードと情報の抽出
  • ファイルシステム checkm 8 全体からの情報の抽出
  • コミュニティ・スクリプトの活用による、iOSデバイスからのファイルシステムの高速完全抽出・分析・スケジュール設定
  • サードパーティー製アプリケーションを使った、より深いデコードやiOSデバイス上のユーザーのアクティビティの復元
  • iOSデバイスからのファイルシステムダンプによる位置置情報やその他のトレース、アーティファクトの解析

トピックス

iOS Forensicの概要とデータ取得
  • iOSのアーキテクチャとコンポーネント
  • iOSデバイスのNANDフラッシュメモリ
  • iOSのファイルシステム
  • iOSのバージョン
  • iOSの暗号化
  • iOSのエクスプロイトと脱獄

iOSファイルシステムの構造

  • データ構造レイアウトの定義
    • 物理
    • フル・ファイル・システム
      ファイルシステム
    • 論理
  • データ・ストレージ・フォーマット
    データの解析とデータ復旧
  • 物理キーワード検索と論理キーワード検索

iOSの情報格納場所

  • 主要な証拠情報の場所
  • ユニークファイルのリカバリ
  • SQLiteデータベースファイルの解析
  • iOSデータの手動デコード

ロックされたiOSデバイスの処理

  • iOSのセキュリティオプション
  • データ取得に関する問題
  • iOSのセキュリティをバイパスするデモ
  • ロックされたiOSデバイスにアクセスするための実用的なヒント

iOSデバイスでのユーザアクティビティのトレース

  • iOSアプリケーションがデータを保存する方法
  • Apple Watchのフォレンジック
  • iOSデバイスのデータ構造の深堀り
    • SMS/MMS
    • 電話、連絡先、およびカレンダー
    • 電子メールおよびWebブラウズ
    • 位置情報
    • サードパーティー製アプリケーション
    • アプリケーション使用状況ログ
    • システムファイル
  • 削除されたSQLiteレコードのサルベージ
  • iOSデバイス上の削除されたデータのRAWイメージからのサルベージ

ボーナスマテリアル

  • スマートフォン・チートシート
  • libimobiledeviceを活用してiOSデバイスからデータを引き出す実践的なラボ
  • iOSファイルシステムから抽出したデータの手動デコードおよび解釈
  • iOSデバイス上の古いファイルシステムのダンプを手動で調査する
  • iOSのデータ取得方法
  • ホワイト・ペーパーとガイド

iOSバックアップ、マルウェア・スパイウェアのフォレンジック、証拠隠滅の検出


フォーカスポイント

iOSのバックアップは非常に一般的な構造で、クラウドやハードディスクドライブでよく見られものと同様です。ユーザーが作成するバックアップがフォレンジックに最良のデータであることはよくあります。4日目は、バックアップとクラウドのデータを抽出し、アーティファクトを分析する方法について説明します。また、マルウェアが時としてスマートフォンに影響を与えることがあります。4日目にはあわせてさまざまなマルウェアについて学習し、スマートフォン上でマルウェアがどのように存在しているか、どのようにしてマルウェアを特定し、分析するかを学びます。市販されているスマートフォン用ツールのほとんどはマルウェアの識別に役立ちますが、このコースで説明するレベルまでマルウェアを解析しつくすようなことはできません。この日だけで5つものラボを実施することになります!1日の最後には、意図的に変更された(データの削除、消去、非表示)スマートフォンのデータからユーザーデータの復元について、講義を通して学習したツールや手法を使って挑戦します。

概要

iOSのバックアップファイルは、一般的にデジタルフォレンジック調査の一部となり得ます。このコースでは、バックアップ・ファイルの内容、手動でのデコード、暗号化されたバックアップ・ファイル・イメージの解析とクラッキングについて深く理解します。iOSバックアップファイルは基本的にファイルシステムからの抽出であるため、前日に学習した方法をこの日の最初では利用します。今日のフォレンジック担当者は、スマートフォン上のマルウェアの存在に対処しなければなりません。調査にあたっての唯一の質問が、特定のスマートフォンが侵害されたかどうか、どのようにしてそれを修正するために何ができるかということである場合が多くなっています。スマートフォン上のマルウェアとその存在の識別方法を理解することは、フォレンジック調査の担当者にとって重要なことです。

ハンズオンでは、スマートフォンのフォレンジックツールなどを使って、 iOS のバックアップ、モバイルマルウェアを含む Android 端末、ユーザーが意図的に操作・改変した端末から、さまざまな情報を抽出して分析します。受講生は、消去、暗号化、削除されたデータや、スマートフォンのフォレンジックツールを使って復元できないデータを手作業でデコードする必要があります。

演習

  • スマートフォンのフォレンジックツールで失われたデータを回復するため、手動でのデコードとデータ復元を必要とする、レガシーなiOSバックアップファイルを含む高度なバックアップファイルを取り扱うフォレンジック実習
  • スマートフォンのフォレンジックツールで失われたデータを回復するため、手動でのデコードとデータ復元を必要とする、iOS13でのバックアップを含む高度なバックアップファイルを取り扱うフォレンジック実習
  • 2つのマルウェアラボ:物理的なAndroid抽出データでのマルウェア検出と分析、およびマルウェアファイルの取り出しと分析
  • アプリケーションが改ざんおよび削除されたデバイスからユーザアクティビティの痕跡情報のリカバリ

トピックス

iOSバックアップファイルのフォレンジック
  • バックアップファイルの作成と解析
  • iCloudとiTunesのデータ
  • バックアップファイルデータの検証

 

ロックされたiOSバックアップファイル

  • ロックされたiOSバックアップファイルの復号
  • 適切に解析するための方法

 

iCloudデータ抽出と分析

  • クラウドデータの抽出方法
  • クラウドデータを解析方法


マルウェアおよびスパイウェアのフォレンジック

  • さまざまなタイプのマルウェア
  • スマートフォン上での一般的な場所
  • セキュリティが破られた内容を判定する方法
    • セキュリティが破られた後の回復方法
      • 影響を受けたものは?
      • 隔離の方法は?
    • リバースエンジニアリングを用いた分析方法


証拠隠滅の検出

  • 隠滅方法の種類
  • 隠滅がいつ発生したかの判断
  • データが破棄された場合に何が起きるのかの理解


ボーナスマテリアル

  • スマートフォンのチートシート
  • マルウェア/スパイウェアの警告シート
  • APKデコンパイルチートシート
  • バックアップファイルの取得方法
  • 関連するホワイト・ペーパーとガイド


サード・パーティー製アプリケーションの分析


フォーカスポイント

5日目は、各種のスマートフォンに対応したサードパーティー製アプリケーションを取り上げるところから始まり、調査のためにアプリケーションのデータと設定ファイルを利用する方法を学習します。残りの時間は、チャットアプリケーション、削除されたアプリケーションデータと添付ファイルの復元、モバイルブラウザのアーティファクト、およびコピー製品におけるフォレンジックに重点が置かれます。このセクションで学習する内容により、各種スマートフォンにインストールされたサードパーティー製アプリケーションのデータをデコードするスキルを身に付けます。

 

概要

ハンズオンでは、スマートフォンのフォレンジックツールを使用して、サードパーティー製アプリケーションファイルを抽出して分析し、データを手動で検索して復元します。受講生はスマートフォンのフォレンジックツールや、自分で作成したSQLiteクエリを使って、削除されたデータや復元できないデータを手動でデコードするとともに、複数のスマートフォンからサードパーティーのアプリケーションデータを手動でデコードします。この日の内容をマスターすることにより、フォレンジックツールだけにとどまらないアーティファクトのリカバリ能力を身に付けることができます。

演習

  • スマートフォンのサードパーティー製アプリケーションファイルに保存された通信の内容の手動でのデコード
  • 市販のツールでは解析できない可能性のあるサードパーティー製ブラウザの動作確認
  • 複雑なSQLクエリーを使った、スマートフォンの添付ファイルの復元
  • チャット・アプリケーションからの削除済みデータのリカバリ


トピックス

サードパーティー製アプリケーションの概要

  • スマートフォンに共通するアプリケーション


サード・パーティー・アプリケーションのアーティファクト

  • 確認方法
  • データフォーマット
  • 手動リカバリ
  • デコード方法


メッセージング・アプリケーションと添付ファイルのリカバリ

  • 確認方法
  • データフォーマット
  • 手動リカバリ
  • デコード方法
  • SQLクエリの作成


モバイルブラウザ

  • サードパーティー製ブラウザの概要
  • 確認方法
  • データフォーマット
  • 手動リカバリ


セキュアなチャットアプリケーション

  • 確認方法
  • データフォーマット
  • 手動リカバリ
  • デコード方法

キャップストーン演習:スマートフォンのフォレンジック


フォーカスポイント

最終日は、コースで学習したすべてのことを再確認します。少人数のグループで3台のスマートフォンを調べ、実際のスマートフォンのフォレンジックに基づくシナリオを解きます。各グループは、3つのスマートフォンを個別に分析し、手動でデータをデコードして特定の質問に答えます。また、調査仮説を立てたうえでレポートを作成して所見を発表します。

概要

受講生をグループ分けし、調査結果を発表することで、1週間で教えられた技術に対する受講生の理解度を確認します。調査結果は技術的な裏付けを伴うものであるべきであり、マニュアルでの作業によるリカバリー手順と、フォレンジック手順のプロセスを含む必要があります。エグゼクティブサマリーの作成が求められます。

演習

各グループは、実際の調査と同様に、演習中に次の重要な質問に答えるよう求められます。


識別とスコーピング

  • その犯罪について責任がある者は誰か
  • どのようなデバイスが関係するか
  • 誰が関与しているか


フォレンジック調査の内容

  • 関係者間でとられたコミュニケーションのなかで重要なものは何か
  • どのような方法で通信のセキュリティが確保されたか
  • マルウェアに感染したモバイルデバイスはあるか
  • クラウドにあるデータは関係しているか
  • ユーザーはアーティファクトまたはデータを隠そうとしたか、削除しようとしたか

フォレンジックの再構築

  • 犯罪の動機はなんだったか

 

演習を通じた成績がトップのチームが、このフォレンジックチャレンジの勝者となります。


ボーナスマテリアル
  • 持ち帰り用ケーススタディ:異なるシナリオを含む、3台のスマートフォンによる新たなケーススタディ
  • 持ち帰り用ケーススタディについての質問
  • 持ち帰り用ケーススタディについての回答

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。