ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 487

Open-Source Intelligence (OSINT) Gathering and Analysis

Blue Team Operations

日程

2021年9月6日(月)~11日(土)

期間
6日間
講義時間

8:30-17:00 (日本時間)

受講スタイル
Live Online
会場

オンライン(日英同時通訳付き)

【同時通訳に関するご連絡】

本イベントは、豪州で開催されるSANSトレーニングと共催で実施いたします。

万が一参加者が僅少の場合は、同時通訳なしでの開催となる場合があります。


お申し込みいただきましたお客さまには、開催約3週間前(2021年8月13日)の段階で同時通訳の有無をあらためてご連絡申し上げます。

参加者僅少により、同時通訳なしでの開催となる場合は、お申し込み後においてもキャンセル料なしでキャンセルを承ります。

■2021.8.13

本イベントは、日英同時通訳付きにて開催することが決定いたしました。皆さまのお申し込みをお待ちしております。

GIAC認定資格
GOSI
講師
Jeff Lomas|ジェフ ローマス
SANS認定インストラクター候補
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 point
受講料

■通常価格:840,000円(税込み:924,000円)

申込締切日
2021年8月27日(金)
オプション
  • GIAC試験 105,000円(税込み:115,500円)

※上記試験費用は講義と同時お申し込み時のみ有効です。
※講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(1万円)が発生します。
※講義開始後のお申し込みについては、こちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。

  • OnDemand 105,000円(税込み:115,500円)
  • NetWars Continuous 190,000円(税込み:209,000円)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC487 PC設定詳細

SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。

ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows 10、Mac OS 10.15.x、またはLinuxのいずれかの64bit版を使用してください。また、クラスでVMが正常に機能するためには、8GB以上のRAMが必要です。

利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。64 bit対応のノートPCを利用することに加えて、BIOS/UEFIがAMD-V、Intel VT-x、または同等の仮想化機能をサポートしており有効になっている必要があります

事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation Pro 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。

 

PCの必須ハードウェア要件

  • CPU:64 bit 2.0+GHz 以上のプロセッサ(必須)
  • BIOS/UEFI:: BIOS/UEFIにおいて、仮想化技術(VT-x, AMD-V など)の利用が有効になっていること
  • RAM:8GB以上(最小・必須)
  • NW:802.11/G/N/AC無線LAN
  • USB:USB 3.0ポート
  • HDD/SSD:最低30GB以上の空き容量(より大容量を推奨)
  • システムの管理者権限を持っていることを確認
  • ご使用のCPUがVMwareのバージョンをサポートしていることを確認(コースが始まる前に必ずご確認ください)

必要な事前ダウンロードファイル等

  • VMWare Workstation15.5,WorkstaionPlayer15.5,Fusion11.5 (もしくはこれより新しいもの)
  • その他:ホストOSのローカルアドミニストレーター権限(セキュリティツールを無効にできる権限)
  • Linuxの仮想マシン(VM)をこのコース用に配布します。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)

LiveOnlineでのコースメディアの事前準備、テキストについて

コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、10 -15 GBといった大きさのものがあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

SEC487コース概要

本コースは、オープンソース・インテリジェンス(OSINT)に関する情報収集の基礎コースであり、そのため、この分野の多くを迅速に知ることができます。このコースはOSINTについて学びたい人のための入門コースですが、学べる概念やツールは基本的なものとは程遠いものです。このコースの目標は、受講者がサイバーディフェンダー、脅威インテリジェンスアナリスト、保険金支払査定人、インテリジェンスアナリスト、警察関係の職員、または単にOSINTに興味がある人であるかどうかにかかわらず、それぞれの分野で実績を上げるためのOSINTの基礎知識を提供することです。

多くの人は、お気に入りのインターネットの検索エンジンを使えば、必要なデータを見つけるのに十分であると考えていて、インターネットのほとんどが検索エンジンによってインデックス付けされていないことに気付いていません。SEC487は、これらのデータを見つけるための効果的な方法を受講生にご提供します。法執行機関、私立探偵、サイバー攻撃者・防御者がインターネット上で発見された大量の情報を精査するために使用する実戦的なスキルとテクニックを学びます。情報が得られたら、それが正しいことを確認する方法、収集したものを分析する方法、および調査に役立つようにする方法を紹介します。

20以上に及ぶラボでは、ライブインターネットとダークウェブを使用しながら、OSINTを学ぶことができます。

 

コース受講に当たっての注意事項:

SEC487の受講生は、受講申し込み後に連携されるSANSポータルアカウントで、ハンズオンラボなどで利用するツールやサービス等のライセンス情報を受け取ることができます。受講開始時に、受講申し込み後に連携されるSANSポータルアカウントにアクセスできることを確認してください。

受講生の代理で受講申し込みをする場合は、受講生のSANSポータルアカウントとリンクしている(初めてのお申し込みの場合はリンクさせたい)メールアドレスで受講生を登録する必要があります。そうすることで、受講生は、コースを完了するための適切な機器を準備するために、自分のSANSポータルアカウントでライセンス情報を受け取ることができるようになります。

受講対象者

  • このコースでは、法的調査のために容疑者を見つけようとしている場合でも、特定の職階に関する求人の候補者を特定しようとしている場合でも、ペネトレーションテストのためのホスト情報を集めようとしている場合でも、ディフェンダーとしてハニートークンを検索しようとしている場合でも、仕事に役立つテクニックを教えてくれます。SEC487が提供するOSINTに関連する知識は、次のような方に役立つでしょう。

     ・OSINT捜査に携わる方
        ・サイバーインシデント対応に携わる方
        ・スレットインテリジェンス・アナリスト
        ・デジタルフォレンジック・アナリスト
        ・金融犯罪捜査に携わる方
        ・人事担当
        ・保険調査員
        ・インテリジェンス・コミュニティの関係者
        ・法執行機関の関係者
        ・ペネトレーションテスト/オフェンシブセキュリティテストに携わる方
        ・私立探偵
        ・採用担当者/採用担当代行
        ・セキュリティ意識向上の担当者

※SEC487は、GIAC(GOSI)認定試験対象コースです。

講義内容の一例(講義を受講してできるようになること)

  • OSINTプロセスの構築
  • OSINT調査の実施
  • データ収集ライフサイクルの理解
  • データ収集のためのセキュアなプラットフォームの構築
  • 収集データの分析
  • データの取得と記録
  • Sock Puppetアカウントの作成
  • ウェブデータの収集
  • 人に関わるデータ検索の実施
  • ソーシャルメディアデータへのアクセス
  • オンラインカメラと地図情報をによる遠隔地の状態分析
  • ソーシャルメディアの位置情報の調査
  • 企業組織の事業内容の調査
  • ダークウエブからのデータ収集

コース開発者より

私は、インターネット上にあるデータの種類と量にいつも興味をそそられてきました。外国の街の美味しいレストランのリサーチから、ビデオカメラで人々を観察することまで、すべてが私を魅了しています。インターネットが進化するにつれ、より質の高いリアルタイムのリソースが利用できるようになり、毎日が休日のように、新しい不思議なツールやサイトがオンラインで自由にアクセスできるようになりました。

ある時点で、私はもはやウェブ上の素晴らしいリソースに畏敬の念を抱くことはなくなり、代わりに、人々が違法もしくは危険をさらす状況にある自分の画像を投稿したり、ユーザープロフィールにそのような露骨で詳細なコンテンツが含まれていることに驚きを覚えるようになりました。私の驚きは、このような人々への懸念へと変化しました。私が発見したのは、人、ネットワーク、会社の情報について、それらの情報が見つかりやすい場所が特定できれば、ほとんど何でも見つけることができるということでした。一見無意味に見えるデータの断片を、意味のあるストーリーにまとめることが、私の情熱となり、最終的にはこのコースを設立する理由となりました。

私は、OSINTに関する素晴らしいパフォーマンスを発揮する障壁は、インターネット上に無料のデータがないことではないと認識しています。インターネット上にはあまりにも多くのデータが存在してます。課題は『どうやって何かを見つけるか』から『どうやって必要なものだけを見つけるか』へと変化していきました。このコースは、インターネットからOSINTデータを効果的に収集し、分析するためのツールとテクニックを学びたい人たちを支援する必要性から設立されました。 -Micah Hoffman

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

Foundations of OSINT
OSINTの基礎

1日目のセクションでは、このコースで使用する一般的な用語と技法を紹介します。すべての受講生が共通の言葉で会話でき、コアとなる概念を理解している状況を目指します。このSEC487コースは多様な受講生が受講しているため、すべての受講生の共通となるベースを作ることは、議論を円滑に進めるためだけでなく、日々高いレベルへと進んでいくために不可欠です。

このセクションでは、受講生がOSINTデータを収集し始める前に調査・準備しておく必要がある内容にフォーカスしています。OSINTとは何かについての議論、OSINT収集のプラットフォームのセットアップ、OSINTデータを客観的に文書化・分析するための方法、調査用のアカウントとサブアカウントの利用などが含まれています。

CPE/CMU Credits: 6

トピック

  • Overview of OSINT
    • What is OSINT?
    • Who uses OSINT and why?
  • The Intelligence Process
    • What is it and how does it apply to OSINT?
  • Creating and Understanding the OSINT Process Stages
  • Goals of OSINT Collection
  • Setting Up an OSINT Platform
    • Using virtual OSINT systems and mobile emulators
    • Understanding issues that could decrease investigator anonymity
    • Using VPNs for OSINT work
    • Leveraging different web browsers and browser add-ons and extensions
  • Documentation
    • How to record data within OSINT investigations
    • Examination of link analysis tools, Mind Map applications, and activity-recording programs
  • Sock Puppets
    • What is an OSINT sock puppet or false identity?
    • When and how to use sock puppets effectively in investigations
    • How to create a sock puppet
    • Issues that could get your sock puppet account disabled
  • Data Analysis
    • How to analyze data obtained from the Internet
    • Types of logic and reasoning
    • Identification of and methods to reduce logical fallacies and bias
    • Network theory and link analysis techniques

Gathering, Searching, and Analyzing OSINT
OSINTの収集、調査、分析

OSINT調査の担当者は、多くの場合、検索エンジンへのクエリ、画像の分析、ファイルのメタデータの検査など、決まった手法を使います。そのため、2日目には、データの検索とダウンロード、ダウンロードしたデータが何を意味するかの分析、さらに、オンラインで見つけられるその他の情報源の検索に至るまで、OSINTのコアとなるスキルに焦点をあてます。

検索エンジンは、インターネット上のデータのインデックス作成において大きな役割を果たします。そのため、2日目は、まず検索エンジンの動作の概要と使用方法について詳しく説明し、その後、コマンドラインベースやWebベースのツールを使用して、ファイルやWebの情報を迅速かつ安全に取得する方法を学習します。さらに、ファイルやデータの収集方法をしっかり理解した上で、画像コンテンツを分析し、それらのファイルからメタデータを抽出する方法を学習します。

上で挙げた内容の学習をすませた後は、遠隔地のことについて調査をするための画像や地図情報に関するサイトや、業務上で利用できる映像素材、位置情報技術などに議論の軸足を移します。

CPE/CMU Credits: 6

トピック

  • Leveraging Search Engines
    • Preparation for using search engines
    • Using advanced search operators
  • Harvesting Web Data
    • Techniques and tools to download files from Internet sources
  • File Metadata Analysis
    • Extracting and validating metadata from files
  • Reverse Image Searching
    • What reverse image searching is and how to use it in OSINT investigations
  • Image Analysis
    • How to analyze images to geolocate and extract meaningful data points
  • Imagery and Maps
    • Exploration of how to use maps and imagery in OSINT work
    • Comparison of different imagery data sources
  • Language Translation
    • Multiple methods of extracting and translating foreign text

Social Media, Geolocation, and Imagery
ソーシャルメディア情報、地理的位置情報、画像情報

人が行動をすることにより、ネットワーク上にはデータが生成されます。例えば、写真や動画がある場所で投稿されたり、共有されたり、それらについての議論が始まったりします。これらの情報はOSINT調査で重要となる内容です。ほとんどのOSINT調査者は、人が何をどこで行うか、に調査の重点を置いています。一部の調査者にとっては、その重要度は低いかもしれませんが。

受講生のみなさんが人に関するOSINT情報にどの程度の重点を置くかはさておき、3日目は人に関する調査のスキルを教えます。人に関する情報、例えばメールアドレスやユーザ名などから講義が始まり、それらの情報をもとにしたユーザ行動の調査へと発展させていきます。また、そうした情報はソーシャルメディアプラットフォームに蓄積されていることが多いので、かなりの時間をソーシャルメディアに関する説明に費やします。

CPE/CMU Credits: 6

トピック

  • Email Addresses
    • Searching for email addresses
  • Usernames
    • Analysis of usernames for meaning
    • Leveraging usernames to connect users to activities on multiple sites
  • Avatars and Image Searching
    • Analyzing avatars to discover meaning and other locations where they are used
  • Addresses and Phone Numbers
    • How to use addresses and phone numbers to discover additional data about targets
  • People Search Engines
    • What are people search engines?
    • Where in the OSINT process are they useful?
  • Introduction to Social Media
    • General discussion on common techniques used in most social media exploration
  • Facebook
    • An in-depth module revealing simple and advanced search and extraction techniques within the Facebook.com social media platform
  • Twitter
    • An in-depth module revealing simple and advanced search and extraction techniques within the Twitter.com social media platform
  • Geolocation
    • Exploration of common and novel methods to tie Internet data to locations on Earth

Networks, Government, and Business
ネットワーク、政府関連・ビジネス関連の情報

4日目はコンピュータに焦点を当てたOSINTデータについて講義を進め、ドメイン、IPアドレス、ウェブサイトの調査方法など、OSINT調査者にとって必要な能力を学びます。このセクションでは、人の活動とソーシャルメディアに主に焦点を当て、あたらしい技法をご紹介します。ITとサイバーセキュリティの深いスキルを持つ受講生には、ドメインやWebサイトの調査を強力に行うためのツールとその活用のテクニックをご紹介します。

WebサイトはOSINTの研究者にとってメインとなる調査対象であるため、4日目はその調査方法から講義を開始します。次に、サイト上のデータの調査を取り上げ、最後にWebサイトをホストするサーバーの分析方法で講義を締めくくります。多くのWebサイトはドメインに関連付けられているため、コースのトピックは、ドメインの所有者と登録場所を調査するための方法へと進んでいきます。ドメインは通常IPアドレスとひもづけられるため、IPアドレスの調査方法や、IPアドレスによりネットワーク上のデータを検索する方法について学びます。

ネットワーク接続に関する情報をもとに、他のIT基盤との関連性を導き出せる場合があります。4日目の講義では、Webサイトで取得できる情報だけでなく、それ以外の情報に至るまで、あらゆる側面の情報を調査するテクニックを学びます。

CPE/CMU Credits: 6

トピックス

  • Website Investigations
    • Understanding how to use third-party data to explore website content
    • Active discovery of website data
    • Analysis of the infrastructure that runs a website
  • WHOIS
    • What is WHOIS and how can WHOIS data be used in OSINT work?
  • DNS
    • What is DNS and how can understanding DNS records help OSINT investigations?
  • IP Addresses
    • How to research and geolocate IP addresses
  • Computer Infrastructure
    • Discovering and analyzing Internet-facing hosts
  • Wireless OSINT
    • Exploring how to use collected wireless data in OSINT assessments

The Dark Web, Breach Data, and International Issues
ダークウェブ、不正アクセス情報、国際的問題

5日目の主なトピックは、ビジネスOSINTとダークウェブの2点です。受講生は会社名(ビジネスネーム)について学び、誰がビジネスを運営しているのか、どこで会社が仕事をしているのか、その会社のブランドや評判について人々がどう考えているのかを把握できるようになります。

その後、コースの内容はダークウェブへと移ります。学生は、ダークウェブがどのように機能しているのか、そして人々がなぜそれらを使用するのか、OSINT調査においてどのようにダークウェブにアクセスするかを学びます。また、Tor(ダークウェブネットワーク)がどのように機能するか、Torのオニオンサービスにアクセスするためにはどのようなソフトウェアを使用するか、Tor内のデータをどのように調査するかについても学びます。

5日目の講義は、自動化ツールを使ってネット上の情報を効率的に収集および操作する方法を示し、最後に、漏洩した情報がOSINT調査者の間でどのように利用されるかを説明して締めくくられます。

CPE/CMU Credits: 6

トピックス

  • Business OSINT
    • Analyzing online business registrations and documents
    • Examining the resources companies use in their work
  • Surface, Deep, and Dark Webs
    • What are they and why does it matter in OSINT work?
  • Overview of Several Dark Webs
    • Comparison of a few major dark web networks, why people use them, and how to perform OSINT in those networks
  • Tor
    • What is Tor?
    • How can it be used by investigators and by their targets?
    • Techniques for investigating data found in Tor
  • OSINT Automation
    • Using applications to work more efficiently
  • Breach Data
    • Ethical analysis of breach data use
    • Investigation into how breach data can augment OSINT work
 

Capstone: Capture (and Present) the Flag
Capture the Flag への挑戦

6日目には、本コースの総仕上げとして、コース全体で学んだことをまとめて実践するグループイベントが実施されます。このイベントは、特定のフラッグが埋められていて、チームがそれを見つけなければならない定型のキャプチャー・ザ・フラッグイベントではありません。これは、各チームがあるターゲットに関する特定のOSINTデータを収集する競技です。この作業のアウトプットは、「クライアント」(インストラクターやクラスメイト)に「成果物」として提出されます。この数時間のハンズオンイベントは、直前のセクションで実施したソロCTFで練習した内容がさらに強化され、プレッシャーが与えられる中、グループでOSINT評価を行うことの難しさの要素が加わっています。

CPE/CMU Credits: 6

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。