NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Open-Source Intelligence (OSINT) Gathering and Analysis
Blue Team Operations
2021年9月6日(月)~11日(土)
8:30-17:00 (日本時間)
オンライン(日英同時通訳付き)
【同時通訳に関するご連絡】
本イベントは、豪州で開催されるSANSトレーニングと共催で実施いたします。
万が一参加者が僅少の場合は、同時通訳なしでの開催となる場合があります。
お申し込みいただきましたお客さまには、開催約3週間前(2021年8月13日)の段階で同時通訳の有無をあらためてご連絡申し上げます。
参加者僅少により、同時通訳なしでの開催となる場合は、お申し込み後においてもキャンセル料なしでキャンセルを承ります。
■2021.8.13
本イベントは、日英同時通訳付きにて開催することが決定いたしました。皆さまのお申し込みをお待ちしております。
■通常価格:840,000円(税込み:924,000円)
※上記試験費用は講義と同時お申し込み時のみ有効です。
※講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(1万円)が発生します。
※講義開始後のお申し込みについては、こちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows 10、Mac OS 10.15.x、またはLinuxのいずれかの64bit版を使用してください。また、クラスでVMが正常に機能するためには、8GB以上のRAMが必要です。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。64 bit対応のノートPCを利用することに加えて、BIOS/UEFIがAMD-V、Intel VT-x、または同等の仮想化機能をサポートしており有効になっている必要があります
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation Pro 15.5、VMware Fusion 11.5、VMware Workstation Player 15.5以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)
コースメディアはダウンロード型で配信されます。クラスのメディア・ファイルはサイズが大きく、10 -15 GBといった大きさのものがあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度はさまざまで、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、コースメディアのダウンロードを開始してください。授業の初日には、すぐに教材が必要になります。クラスがダウンロードを開始する前の夜まで待機すると、失敗する可能性が高くなります。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
本コースは、オープンソース・インテリジェンス(OSINT)に関する情報収集の基礎コースであり、そのため、この分野の多くを迅速に知ることができます。このコースはOSINTについて学びたい人のための入門コースですが、学べる概念やツールは基本的なものとは程遠いものです。このコースの目標は、受講者がサイバーディフェンダー、脅威インテリジェンスアナリスト、保険金支払査定人、インテリジェンスアナリスト、警察関係の職員、または単にOSINTに興味がある人であるかどうかにかかわらず、それぞれの分野で実績を上げるためのOSINTの基礎知識を提供することです。
多くの人は、お気に入りのインターネットの検索エンジンを使えば、必要なデータを見つけるのに十分であると考えていて、インターネットのほとんどが検索エンジンによってインデックス付けされていないことに気付いていません。SEC487は、これらのデータを見つけるための効果的な方法を受講生にご提供します。法執行機関、私立探偵、サイバー攻撃者・防御者がインターネット上で発見された大量の情報を精査するために使用する実戦的なスキルとテクニックを学びます。情報が得られたら、それが正しいことを確認する方法、収集したものを分析する方法、および調査に役立つようにする方法を紹介します。
20以上に及ぶラボでは、ライブインターネットとダークウェブを使用しながら、OSINTを学ぶことができます。
SEC487の受講生は、受講申し込み後に連携されるSANSポータルアカウントで、ハンズオンラボなどで利用するツールやサービス等のライセンス情報を受け取ることができます。受講開始時に、受講申し込み後に連携されるSANSポータルアカウントにアクセスできることを確認してください。
受講生の代理で受講申し込みをする場合は、受講生のSANSポータルアカウントとリンクしている(初めてのお申し込みの場合はリンクさせたい)メールアドレスで受講生を登録する必要があります。そうすることで、受講生は、コースを完了するための適切な機器を準備するために、自分のSANSポータルアカウントでライセンス情報を受け取ることができるようになります。
このコースでは、法的調査のために容疑者を見つけようとしている場合でも、特定の職階に関する求人の候補者を特定しようとしている場合でも、ペネトレーションテストのためのホスト情報を集めようとしている場合でも、ディフェンダーとしてハニートークンを検索しようとしている場合でも、仕事に役立つテクニックを教えてくれます。SEC487が提供するOSINTに関連する知識は、次のような方に役立つでしょう。
・OSINT捜査に携わる方
・サイバーインシデント対応に携わる方
・スレットインテリジェンス・アナリスト
・デジタルフォレンジック・アナリスト
・金融犯罪捜査に携わる方
・人事担当
・保険調査員
・インテリジェンス・コミュニティの関係者
・法執行機関の関係者
・ペネトレーションテスト/オフェンシブセキュリティテストに携わる方
・私立探偵
・採用担当者/採用担当代行
・セキュリティ意識向上の担当者
私は、インターネット上にあるデータの種類と量にいつも興味をそそられてきました。外国の街の美味しいレストランのリサーチから、ビデオカメラで人々を観察することまで、すべてが私を魅了しています。インターネットが進化するにつれ、より質の高いリアルタイムのリソースが利用できるようになり、毎日が休日のように、新しい不思議なツールやサイトがオンラインで自由にアクセスできるようになりました。
ある時点で、私はもはやウェブ上の素晴らしいリソースに畏敬の念を抱くことはなくなり、代わりに、人々が違法もしくは危険をさらす状況にある自分の画像を投稿したり、ユーザープロフィールにそのような露骨で詳細なコンテンツが含まれていることに驚きを覚えるようになりました。私の驚きは、このような人々への懸念へと変化しました。私が発見したのは、人、ネットワーク、会社の情報について、それらの情報が見つかりやすい場所が特定できれば、ほとんど何でも見つけることができるということでした。一見無意味に見えるデータの断片を、意味のあるストーリーにまとめることが、私の情熱となり、最終的にはこのコースを設立する理由となりました。
私は、OSINTに関する素晴らしいパフォーマンスを発揮する障壁は、インターネット上に無料のデータがないことではないと認識しています。インターネット上にはあまりにも多くのデータが存在してます。課題は『どうやって何かを見つけるか』から『どうやって必要なものだけを見つけるか』へと変化していきました。このコースは、インターネットからOSINTデータを効果的に収集し、分析するためのツールとテクニックを学びたい人たちを支援する必要性から設立されました。 -Micah Hoffman
1日目のセクションでは、このコースで使用する一般的な用語と技法を紹介します。すべての受講生が共通の言葉で会話でき、コアとなる概念を理解している状況を目指します。このSEC487コースは多様な受講生が受講しているため、すべての受講生の共通となるベースを作ることは、議論を円滑に進めるためだけでなく、日々高いレベルへと進んでいくために不可欠です。
このセクションでは、受講生がOSINTデータを収集し始める前に調査・準備しておく必要がある内容にフォーカスしています。OSINTとは何かについての議論、OSINT収集のプラットフォームのセットアップ、OSINTデータを客観的に文書化・分析するための方法、調査用のアカウントとサブアカウントの利用などが含まれています。
CPE/CMU Credits: 6
OSINT調査の担当者は、多くの場合、検索エンジンへのクエリ、画像の分析、ファイルのメタデータの検査など、決まった手法を使います。そのため、2日目には、データの検索とダウンロード、ダウンロードしたデータが何を意味するかの分析、さらに、オンラインで見つけられるその他の情報源の検索に至るまで、OSINTのコアとなるスキルに焦点をあてます。
検索エンジンは、インターネット上のデータのインデックス作成において大きな役割を果たします。そのため、2日目は、まず検索エンジンの動作の概要と使用方法について詳しく説明し、その後、コマンドラインベースやWebベースのツールを使用して、ファイルやWebの情報を迅速かつ安全に取得する方法を学習します。さらに、ファイルやデータの収集方法をしっかり理解した上で、画像コンテンツを分析し、それらのファイルからメタデータを抽出する方法を学習します。
上で挙げた内容の学習をすませた後は、遠隔地のことについて調査をするための画像や地図情報に関するサイトや、業務上で利用できる映像素材、位置情報技術などに議論の軸足を移します。
CPE/CMU Credits: 6
人が行動をすることにより、ネットワーク上にはデータが生成されます。例えば、写真や動画がある場所で投稿されたり、共有されたり、それらについての議論が始まったりします。これらの情報はOSINT調査で重要となる内容です。ほとんどのOSINT調査者は、人が何をどこで行うか、に調査の重点を置いています。一部の調査者にとっては、その重要度は低いかもしれませんが。
受講生のみなさんが人に関するOSINT情報にどの程度の重点を置くかはさておき、3日目は人に関する調査のスキルを教えます。人に関する情報、例えばメールアドレスやユーザ名などから講義が始まり、それらの情報をもとにしたユーザ行動の調査へと発展させていきます。また、そうした情報はソーシャルメディアプラットフォームに蓄積されていることが多いので、かなりの時間をソーシャルメディアに関する説明に費やします。
CPE/CMU Credits: 6
4日目はコンピュータに焦点を当てたOSINTデータについて講義を進め、ドメイン、IPアドレス、ウェブサイトの調査方法など、OSINT調査者にとって必要な能力を学びます。このセクションでは、人の活動とソーシャルメディアに主に焦点を当て、あたらしい技法をご紹介します。ITとサイバーセキュリティの深いスキルを持つ受講生には、ドメインやWebサイトの調査を強力に行うためのツールとその活用のテクニックをご紹介します。
WebサイトはOSINTの研究者にとってメインとなる調査対象であるため、4日目はその調査方法から講義を開始します。次に、サイト上のデータの調査を取り上げ、最後にWebサイトをホストするサーバーの分析方法で講義を締めくくります。多くのWebサイトはドメインに関連付けられているため、コースのトピックは、ドメインの所有者と登録場所を調査するための方法へと進んでいきます。ドメインは通常IPアドレスとひもづけられるため、IPアドレスの調査方法や、IPアドレスによりネットワーク上のデータを検索する方法について学びます。
ネットワーク接続に関する情報をもとに、他のIT基盤との関連性を導き出せる場合があります。4日目の講義では、Webサイトで取得できる情報だけでなく、それ以外の情報に至るまで、あらゆる側面の情報を調査するテクニックを学びます。
CPE/CMU Credits: 6
5日目の主なトピックは、ビジネスOSINTとダークウェブの2点です。受講生は会社名(ビジネスネーム)について学び、誰がビジネスを運営しているのか、どこで会社が仕事をしているのか、その会社のブランドや評判について人々がどう考えているのかを把握できるようになります。
その後、コースの内容はダークウェブへと移ります。学生は、ダークウェブがどのように機能しているのか、そして人々がなぜそれらを使用するのか、OSINT調査においてどのようにダークウェブにアクセスするかを学びます。また、Tor(ダークウェブネットワーク)がどのように機能するか、Torのオニオンサービスにアクセスするためにはどのようなソフトウェアを使用するか、Tor内のデータをどのように調査するかについても学びます。
5日目の講義は、自動化ツールを使ってネット上の情報を効率的に収集および操作する方法を示し、最後に、漏洩した情報がOSINT調査者の間でどのように利用されるかを説明して締めくくられます。
CPE/CMU Credits: 6
6日目には、本コースの総仕上げとして、コース全体で学んだことをまとめて実践するグループイベントが実施されます。このイベントは、特定のフラッグが埋められていて、チームがそれを見つけなければならない定型のキャプチャー・ザ・フラッグイベントではありません。これは、各チームがあるターゲットに関する特定のOSINTデータを収集する競技です。この作業のアウトプットは、「クライアント」(インストラクターやクラスメイト)に「成果物」として提出されます。この数時間のハンズオンイベントは、直前のセクションで実施したソロCTFで練習した内容がさらに強化され、プレッシャーが与えられる中、グループでOSINT評価を行うことの難しさの要素が加わっています。
CPE/CMU Credits: 6