以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。
LINUX Incident Response and Threat Hunting
2026年10月26日(月)~2026年10月31日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
◆LiveOnline形式
オンライン
演習で使用するPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:次の手順に沿って設定されたノートPCをご準備ください。
このコースを完全に受講するには、適切に構成されたシステムが必要です。これらの指示をよく読んで従わない場合、このコースに不可欠な実践演習に参加できず、満足のいく結果が得られない可能性があります。そのため、コースで指定されたすべての要件を満たすシステムを持参することを強くお勧めします。
VMware仮想化製品をインストールして実行できるオペレーティングシステムであれば、どれでも使用できます。ただし、Mシリーズチップを搭載したmacOSコンピューターは現在サポートされておらず、このコースで提供される仮想マシンを実行できないためご注意ください。Mシリーズチップ搭載のmacOSデバイスで受講された場合、サポートを提供することはできず、実習に参加できない可能性があります。
講座開始前に、VMware Workstation 15またはVMware Fusion 7以降のバージョンをシステムにダウンロードしてインストールしてください。
これは常識的なことですが、念のためお伝えしておきます。講義前にシステムをバックアップしてください。さらに良いのは、システムに機密データを保存しないことです。SANSは受講者のシステムやデータの紛失。破損について一切責任を負いません。
講座開始前に以下のソフトウェアをインストールしてください。
VMware Workstation 15またはVMware Fusion 7 (またはそれ以降のバージョン)をインストールしてください。
ホストに7Zipをダウンロードしてインストールしてください。
その他注意事項:
ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。
このコースは、国家主導のAPT(持続的標的型攻撃)グループから組織犯罪集団、ハクティビストに至るまで、企業ネットワークを標的とする脅威を追跡・特定・対処し、そこから復旧するために必要なスキルをLinuxインシデントレスポンダーに提供します。常に内容が更新されており、現在はAIやLLM(大規模言語モデル)に関連する調査手法も追加され、GLIR(GIAC Linux Incident Response)認定資格の取得に向けた準備も可能です。
高度なLinuxの脅威を追跡し、撃退する
FOR577は、Linuxプラットフォームへの攻撃を特定・分析・対処するスキルに加え、既存のセキュリティ対策をすり抜けるような巧妙な攻撃者を脅威ハンティングの手法で発見するスキルを習得するコースです。本コースは、Linuxインシデントレスポンスおよび脅威ハンティングの分野における主要なトレーニングプログラムとして知られています。学習内容は、「証拠の収集・分析・分析に基づく意思決定」という共通の基盤の上に構築されており、そのすべてにおいてLinuxプラットフォーム特有の要素に重点を置いています。SANS SIFT Workstationに組み込まれたツールに加え、Velociraptor、Kunai、The Sleuth Kit、AVMLといった最新のレスポンス・ハンティング用ツールを活用し、高度な侵入に対して迅速かつ効果的に対応できる包括的なソリューションを提供します。
クラウドのワークロードから、組織が依存度を強めているAIやLLMシステムに至るまで、あらゆる基盤をLinuxが支えるようになった現状を踏まえ、本コースの内容も拡充されました。ローカルでホストされるLLMやAIツールの調査方法、AI関連インシデントの範囲特定と対応、それらのシステムが残すログやアーティファクトの分析、そして攻撃者が活動を隠蔽するために用いるアンチフォレンジック(証拠隠滅・検知回避)技術の特定方法などを学びます。
期間中は数多くの演習に取り組み、最終的には「キャップストーン・チャレンジ(総合演習)」に挑みます。この演習は、日常的なインシデントレスポンス業務で遭遇するようなエンドポイントの証拠、ログデータ、その他のアーティファクトを含む、現実的な攻撃シナリオに基づいています。受講者は、偵察から初期侵入、そして組織内ネットワークでのラテラルムーブメント(横展開)へと段階的に進行し、高度な脅威アクターの活動の痕跡を明らかにしていきます。キャップストーン・チャレンジでは、これまでに学んだ知識を使用し、調査結果の報告とセキュリティ改善に向けた提言を行います。
FOR577トレーニングは、以下のような多様な方々におすすめです。
APTグループや高度な攻撃者による複雑なセキュリティインシデント/侵入に日常的に対応し、今日のほとんどの企業で見られる侵害されたLinuxシステム(現在多くの企業で導入されているAIやLLM関連のツールを含む)の検出、調査、修復、復旧方法を習得する必要のあるインシデント対応チームメンバー
脅威をより深く理解し、そこから学び、より効果的に脅威をハンティングし、その手口に対抗する方法を学びたい脅威ハンター
Linuxインシデント対応技術と、このオペレーティングシステムが引き起こす可能性のある特異な状況に関する理解を深め、さらに広げたい経験豊富なデジタルフォレンジックアナリスト
Linuxプラットフォーム上での攻撃者の活動を調査する方法についての理解を深めたい経験豊富なセキュリティオペレーションセンターアナリスト
Linuxプラットフォーム上でデータ侵害や侵入に遭遇する可能性のある情報セキュリティ専門家
Linuxベースのオペレーティングシステムにおける攻撃者の行動分析を習得したい連邦捜査官および法執行機関関係者
攻撃者が自らの行動をどのように特定できるか、よくあるミスがリモートシステム上での運用をいかに危険にさらすか、そしてそれらのミスを回避する方法を学びたいレッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者
コースでは、エクスプロイト後の運用手順やエクスプロイトテストに容易に組み込めるリモートシステムフォレンジックとデータ収集技術を網羅しています。
SANS SEC401、SEC450、SEC504、FOR500の修了者で、スキルをさらに向上させたい方
SANS FOR508の修了者で、異なるオペレーティングシステムへのスキル適応方法を学びたい方
セクション1では、Linux環境に焦点を当て、インシデント対応の基礎を学びます。SANSの6段階の対応手法、Unified Kill Chain(統合キルチェーン)や攻撃者の行動パターン、そして侵入を想定した実践的なシナリオを扱うとともに、本コース全体を通じて必要となるLinuxのコマンドライン操作スキルやフォレンジック技術を習得します。
インシデントレスポンダーや脅威ハンターは、高度な攻撃者を特定・追跡・封じ込め、インシデントを修復するために、最新のツール、技術、プロセス(TTP)を駆使できる必要があります。DFIR(デジタルフォレンジックおよびインシデント対応)に関する知識には、我々自身のTTPだけでなく、攻撃者が用いるTTPも含まれていることが重要です。セクション1では、インシデント対応の基本を解説し、Linux環境で業務を遂行する上で求められる具体的な要件について検討します。まず、なぜインシデント対応が必要なのかを考察し、標的型攻撃に対する企業の対応に適用されるSANSの6段階インシデント対応手法を提示します。また、AIがDFIR業務をどのように変えつつあるか、そしてレスポンダーのツールキットにおいてAIがどのような役割を果たすのかについても考察します。
さらに、本セクションでは、ラボ演習やキャップストーン・チャレンジの舞台となる「Stark Skunkworks」への侵入シナリオを紹介します。続いて、調査中にインシデントレスポンダーとしてLinuxのコマンドラインをいかに有効活用できるかを見ていきます。次に、Linuxベースのシステムへの侵入において、初期アクセス、ラテラルムーブメント、およびパーシステンスの段階で見られる攻撃者の典型的な挙動について解説します。
最後に、Linuxにおけるファイルの保存方法や、攻撃者の一般的な挙動の記録方法について詳細に見ていきます。単一のシステムだけでなく、企業全体に適用可能なフォレンジック・ライブレスポンスの技術と戦術を実演します。
このセクションでは、システム分析と脅威ハンティングの基礎について扱います。The Sleuth Kitを使用してext4、XFS、Btrfsファイルシステム上のディスク証拠を収集・分析し、Linuxのパッケージデータや実行ファイルを調査します。また、サイバー脅威インテリジェンスが、仮説やインテリジェンス主導型のハンティングをどのように支援するのかについても学びます。
デジタル証拠の大部分は依然としてストレージデバイスに存在するため、ディスク上の証拠収集および分析スキルは、インシデントレスポンダー、フォレンジック調査員、およびスレットハンターにとって不可欠です。物理システムと仮想システムの両方から適切にデータを取得し、生成されたRAWやE01形式のイメージをマウントできることは、証拠を確実に保全し、分析可能な状態にするために重要です。Linux環境においては、ext4、XFS、Btrfsといった一般的なファイルシステムを理解することも求められます。具体的には、スーパーブロックやinodeの構造、タイムスタンプ、メタデータを「The Sleuth Kit」などで解析したり、必要に応じて手動で復元したりすることで、システム上で何が起きたのかを再構築する能力が重要となります。
Linuxへの侵入を調査する際には、ソフトウェアがどのようにインストールされ、実行されるかを理解することも同様に重要です。パッケージ管理データにはシステムに追加されたものが記録されています。パッケージ形式やメタデータの読み取り、デジタル署名の検証、そしてDebian、Red Hat、SUSEといった各ディストリビューションにまたがるデータのハンティングを行うことで、レスポンダーは予期せぬソフトウェアや悪意のあるソフトウェアを特定できます。Linuxの実行ファイルについても同様のことが言えます。ELF解析ツールや機能分析を活用すれば、調査員はバイナリを実際に実行することなく、その正体や機能を特定できます。これは、マルウェアの疑いがあるファイルを評価する際に極めて重要なプロセスです。
サイバー脅威インテリジェンスとスレットハンティングは、こうした証拠を「能動的な防御」へと昇華させます。脅威インテリジェンスの定義や情報源、そして侵害痕跡(IoC)が「Pyramid of Pain(苦痛のピラミッド)」のどの段階に位置するかを理解することで、レスポンダーは単なる個別の痕跡(アーティファクト)ではなく、攻撃者の行動パターンを認識できるようになります。スレットハンティングはこれを基盤とし、仮説主導型やインテリジェンス主導型のアプローチを採用します。近年では、AIによるクエリ生成支援やYARAなどのツールも活用され、インシデントが正式に宣言される前に、既存のセキュリティ対策をすり抜けた攻撃者を環境内から探索することが可能になっています。
このセクションでは、インシデント対応を目的としたLinuxのログ分析について解説します。まずデバイスのプロファイリングとログ記録の基礎から始め、syslog、systemdジャーナル、認証ログ、Auditdログを取り上げます。さらに、攻撃の痕跡が発見されることの多いWebサーバー、データベース、ファイル共有サービス、ファイアウォールなどのアプリケーションログについても扱います。
ログデータは、インシデントレスポンスや脅威ハンティングにおいて、システム上で何がいつ発生したかを特定するための基本的な証拠となります。適切に設定されたログ環境があれば、攻撃者が痕跡を残さずに活動することは極めて困難になります。しかし、Linuxのログ記録の仕組みは、Windows環境での経験を持つレスポンダー(対応担当者)の想定とは大きく異なる場合があります。例えば、ディストリビューションによってデータの記録方法や保存場所が異なったり、タイムスタンプがUTCとローカルタイムで混在して記録されたりすることがあります。したがって、システムのプロファイル(識別情報、タイムゾーン、ディストリビューションなど)を把握し、syslog、systemd journal、ログローテーションの仕組みを理解することが、適切なログ分析の第一歩となります。
こうした基礎知識があれば、レスポンダーは侵入発生時に特に重要なログを分析できるようになります。システムログには、ブートシーケンス、カーネルメッセージ、ホスト上で動作するサービスなどが記録されます。一方、認証・認可ログ(バイナリ形式のwtmpやbtmpの記録を含む)からは、誰がいつログインし、どのような権限を行使したかが明らかになります。さらに、Linux Auditing Daemon(Auditd)を活用すれば、適切に設定することでシステムアクティビティの詳細な記録が得られ、これはライブレスポンスとオフライン分析の双方において極めて有用な情報となります。
多くのLinuxシステムはアプリケーションを実行するために運用されており、それらのアプリケーションが生成するログに、攻撃の痕跡が最初に現れることも少なくありません。NginxやApacheといったWebサーバー、MySQL・MariaDB・PostgreSQLといったデータベース、vsftpdやSambaといったファイル共有サービス、そしてホストファイアウォールなどのログの場所を特定し、その内容を解釈できるようになることで、レスポンダーは組織が実際に利用しているサービスを介して、攻撃者の活動を追跡することが可能になります。
このセクションでは、AIコーディングアシスタントやセルフホスト型プラットフォームを含む、ローカルおよびハイブリッド環境で展開されたAI・大規模言語モデル(LLM)システムの調査について扱います。プロンプトインジェクション、データ流出、サプライチェーン攻撃といったLLM特有の課題を取り上げ、最後にLinuxにおけるアンチフォレンジック手法や、インシデント対応を改善するための指針について解説します。
セクション4では、これまでに習得した知識をさらに発展させ、大規模な企業環境における侵入への対応に役立つツールや手法を紹介します。まず、対応体制を拡張させる方法と、それを支援するツールについて解説します。続いて、Linux環境向けのEDRソリューションへと話題を広げ、高価な商用EDRツールの代替となる「OSSEC」と「Velociraptor」という2つのツールを取り上げます。これら両ツールの設定および導入方法を解説し、すべてのLinuxデバイスにおいて、質の高い監視と対応の能力を確保できるようにします。
最後に、Linuxのメモリ構造と、分析用の揮発性データを収集する方法について説明します。このプロセスは複雑になりがちであり、現在の分析ツールもまだ十分とは言えない現状を踏まえ、対象システム上で直接データを閲覧する「ライブレスポンス」の手法についても検討します。この手法には、EDRツールを活用できるという利点もあります。これにより、数百ギガバイトものRAMを搭載したシステムからメモリをキャプチャする際に必要となる時間や帯域幅を削減することが可能になります。
このセクションでは、大規模インシデント対応を強化するための迅速なトリアージ技術とタイムライン分析に重点を置いています。システムを迅速に評価するためのツールを紹介し、タイムラインの作成と分析方法を解説します。また、攻撃者が使用する一般的なフォレンジック対策の手法を探求し、Linuxベースのインシデント対応ワークフローを改善するための戦略で締めくくります。
人工知能(AI)や大規模言語モデル(LLM)のツールは、クラウドサービスやセルフホスト型モデルから、開発者のワークフローに組み込まれたAIコーディング支援ツールに至るまで、急速に企業環境へと浸透しています。これらはそれぞれ、新たな攻撃対象領域と、多くのインシデント対応担当者がこれまで調査したことのない新たな証拠源をもたらします。調査の第一歩は、それらがクラウド、ローカル、あるいはハイブリッドのいずれで展開されているか、そしてAIアプリケーションスタック内のどこに有用なデータが存在するかを理解することです。そうすることで、モデル、その実装、ホストシステム、ランタイムのそれぞれについて証拠を調査できるようになります。
これらのツールは、会話履歴、設定、ツールの動作ログを予測可能な場所に保存するため、調査作業の大部分は「どこを確認すべきか」を知ることに費やされます。調査担当者は、Claude Code、Cursor、GitHub Copilot、GoogleのGemini CLIといった広く利用されている支援ツールや、Ollamaなどのセルフホスト型プラットフォームが残す証拠の場所や痕跡を把握する必要があります。これには、会話データやRAGデータのほか、モデルが改ざんされていないことを検証する方法などが含まれます。自律的に行動できるAIエージェントの利用拡大は、対応担当者が調査すべき領域をさらに広げる要因となっています。
インシデント対応の基本的なプロセスは変わりませんが、これらのシステムに対する攻撃手法は変化しています。モデルが読み込むデータを介した間接的なインジェクションを含む「プロンプトインジェクション」は、AIツールの動作を意図しないものに変えてしまう可能性があります。また、通常の利用や接続されたデータソースの悪用を通じて、機密データが漏洩したり外部に持ち出されたりすることもあります。さらに、サプライチェーンリスク、モデルの改ざん、侵害されたプラグインといった問題も状況を複雑にしています。こうした攻撃の兆候を認識し、LLM関連インシデントの範囲を特定し、適切なライブレスポンスデータを収集し、プロンプトとそれがホストに及ぼした影響を関連付けること。これらこそが、標準的な調査を、AI関連インシデントに対する効果的な対応へと変えるスキルなのです。
攻撃者は自身の活動を隠蔽しようとしますが、Linux環境にはそのための手段が数多く存在します。シェル履歴の改ざん、touchコマンドなどによるファイルタイムスタンプの操作、証拠の削除といった一般的な「アンチフォレンジック」手法を検証することで、それらの仕組みと検知方法の両方を理解できます。ファイルが削除・破壊された場合でも、Foremost、Scalpel、PhotoRec、tsk_recoverといった復元ツールを使用すれば、多くの場合ファイルを復元でき、攻撃者の隠蔽工作にもかかわらず調査を継続することが可能になります。最後に、優れたインシデント対応とは、事後の対応と同様に、事前の備えも重要です。再現性のあるDFIRプレイブック、AIを活用した机上演習、システムの堅牢化、フォレンジック対応能力の整備、そして効果的な監視体制。これらすべてが、組織が次回のインシデントに対してより迅速かつ一貫性を持って対応し、対応を重ねるごとに改善を続けていくための助けとなります。
この集大成となる演習では、国家、金融犯罪組織、ハクティビスト集団など、様々な攻撃者による高度な脅威と数十年にわたり戦ってきた経験豊富な講師陣が監修する、現実的な攻撃の調査に関する実践的な経験を積むことができます。
この実践的な侵入フォレンジック・チャレンジは、実際のAPTグループによる、Linuxエンタープライズ環境への実際の侵入事例に基づいています。本コースで習得した技術を駆使し、高度な攻撃者による攻撃に対して自身のスキルを試す内容となっています。受講者はインシデントレスポンスチームの一員として、最初に侵害されたシステムや攻撃者の侵入経路を特定し、ネットワーク内でのラテラルムーブメントや攻撃者が取得したアカウント・権限を追跡します。さらに、攻撃に使用されたマルウェアを復元・分析してIoCを特定し、ホストおよびネットワークレベルでの影響範囲のスコーピングを行います。また、どのようなデータがどのような手法で外部に持ち出されたかを特定し、攻撃者を排除するために必要な措置を決定するとともに、復旧策や将来的な類似インシデントの防止策を提案します。最後に、実際の侵害対応時と同様に、技術的な知見を持つCISOに対して調査結果を報告します。これにより、高度なLinux侵入事案の調査を最初から最後まで一貫して行う実践的な経験を積むことができます。