ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 577

LINUX Incident Response and Threat Hunting

日程

2026年10月26日(月)~2026年10月31日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
LiveOnline(オンライン受講)
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GLIR
講師
Jim Clausing|ジム クラウジング
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料
早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,334,500円(税込み 1,467,950円)
申込締切日
早期割引価格:2026年9月11日(金)
通常価格:2026年10月15日(木) 13:00
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand 価格:149,850円(税込み 164,835円)
  • NetWars Continuous 価格:266,250円(税込み 292,875円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR577 PC設定詳細

重要:次の手順に沿って設定されたノートPCをご準備ください。

このコースを完全に受講するには、適切に構成されたシステムが必要です。これらの指示をよく読んで従わない場合、このコースに不可欠な実践演習に参加できず、満足のいく結果が得られない可能性があります。そのため、コースで指定されたすべての要件を満たすシステムを持参することを強くお勧めします。

VMware仮想化製品をインストールして実行できるオペレーティングシステムであれば、どれでも使用できます。ただし、Mシリーズチップを搭載したmacOSコンピューターは現在サポートされておらず、このコースで提供される仮想マシンを実行できないためご注意ください。Mシリーズチップ搭載のmacOSデバイスで受講された場合、サポートを提供することはできず、実習に参加できない可能性があります。

講座開始前に、VMware Workstation 15またはVMware Fusion 7以降のバージョンをシステムにダウンロードしてインストールしてください。

これは常識的なことですが、念のためお伝えしておきます。講義前にシステムをバックアップしてください。さらに良いのは、システムに機密データを保存しないことです。SANSは受講者のシステムやデータの紛失。破損について一切責任を負いません。

必須システムハードウェア要件

  •  CPU: このクラスでは、64 ビット Intel i5/i7 x64 2.0 GHz以上 (第 4 世代以上) プロセッサ搭載システム、またはそれ以上の性能を持つシステムが本講座の受講に必須です(重要:必ずお読みください。64ビットプロセッサ搭載システムが必須です)。
  • 重要: Apple Silicon 搭載デバイスは必要な仮想化処理を実行できないため、このコースでは使用できません。
  • BIOS設定で「Intel-VT」などの仮想化技術を有効にする必要があります。BIOSがパスワードで保護されている場合は、変更が必要になった場合に備え、必ずBIOSにアクセスできることを確認してください。
  • 16 GB 以上の RAM が必要です。
  • 400GB以上の空きストレージ容量が必要です。本講座では大量のフォレンジック・エビデンス(証拠データ)を扱うため、ストレージの空き容量が多ければ多いほど、データの利用が容易になります。
  • USB 3.0 Type-Aポートが少なくとも1つ必要です。最新のノートパソコンでは、Type-CからType-Aへの変換アダプターが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアはUSBデバイスの使用を制限するため、講座前にUSBドライブを使用してシステムをテストしてください。
  • 無線ネットワーク(802.11規格)が必要です。会場には有線インターネット接続はありません。ローカル管理者権限が必要です。これは絶対に必要です。会社側でコース期間中このアクセスが許可されない場合は、別のノートパソコンをご持参する手配をしてください。
  • ローカル管理者権限が必要です。これは絶対に必要です。ITチームから許可を得られない場合は、コース期間中に会社側でこのアクセスが許可されない場合は、別のノートパソコンをご持参ください。
  • 注意:インターネットからダウンロードしたバージョンのSIFTワークステーションは使用しないでください。コース初日に、トレーニング用に特別に構成されたFOR577専用バージョンを提供します。

必須システムソフトウェア要件

講座開始前に以下のソフトウェアをインストールしてください。

  1. VMware Workstation 15またはVMware Fusion 7 (またはそれ以降のバージョン)をインストールしてください。

  2. ホストに7Zipをダウンロードしてインストールしてください。

その他注意事項:

  • コース教材はSANSの「Course Material Downloads(コース教材のダウンロード)」ページからダウンロードできます。教材ファイルは30~45GB程度と大容量です。ダウンロードには十分な時間を確保してください。インターネット接続環境や速度は様々な要因によって大きく変動するため、ダウンロードにかかる時間を正確に予測することはできません。リンクを入手したらすぐにダウンロードを開始してください。講座初日には教材がすぐに必要になります。講座開始前夜にダウンロードを開始すると、失敗する可能性が高くなります。
  • SANSは印刷教材をPDF形式で提供し始めました。このコースでは、PDFに加えて電子ワークブックを使用します。講師のプレゼンテーション中やラボ演習中に、講座資料を表示し続けるために、セカンドモニターやタブレット端末があると便利です。
  • EnCase、FTKなど、その他役立つと思われるフォレンジックツールがあれば、ご持参・インストールください。コース最終課題では、市販の機能を含むあらゆるフォレンジックツールをご利用いただけます。ドングルやライセンスソフトウェアをお持ちの場合は、ご自由にお使いください。
  • 繰り返しになりますが、インターネットからダウンロードしたバージョンのSIFT Workstationは使用しないでください。FOR577の教材に合わせて特別に設定されたバージョンを、コース初日に提供いたします。

ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

FOR577 コース概要

このコースは、国家主導のAPT(持続的標的型攻撃)グループから組織犯罪集団、ハクティビストに至るまで、企業ネットワークを標的とする脅威を追跡・特定・対処し、そこから復旧するために必要なスキルをLinuxインシデントレスポンダーに提供します。常に内容が更新されており、現在はAIやLLM(大規模言語モデル)に関連する調査手法も追加され、GLIR(GIAC Linux Incident Response)認定資格の取得に向けた準備も可能です。

高度なLinuxの脅威を追跡し、撃退する
FOR577は、Linuxプラットフォームへの攻撃を特定・分析・対処するスキルに加え、既存のセキュリティ対策をすり抜けるような巧妙な攻撃者を脅威ハンティングの手法で発見するスキルを習得するコースです。本コースは、Linuxインシデントレスポンスおよび脅威ハンティングの分野における主要なトレーニングプログラムとして知られています。学習内容は、「証拠の収集・分析・分析に基づく意思決定」という共通の基盤の上に構築されており、そのすべてにおいてLinuxプラットフォーム特有の要素に重点を置いています。SANS SIFT Workstationに組み込まれたツールに加え、Velociraptor、Kunai、The Sleuth Kit、AVMLといった最新のレスポンス・ハンティング用ツールを活用し、高度な侵入に対して迅速かつ効果的に対応できる包括的なソリューションを提供します。

クラウドのワークロードから、組織が依存度を強めているAIやLLMシステムに至るまで、あらゆる基盤をLinuxが支えるようになった現状を踏まえ、本コースの内容も拡充されました。ローカルでホストされるLLMやAIツールの調査方法、AI関連インシデントの範囲特定と対応、それらのシステムが残すログやアーティファクトの分析、そして攻撃者が活動を隠蔽するために用いるアンチフォレンジック(証拠隠滅・検知回避)技術の特定方法などを学びます。

期間中は数多くの演習に取り組み、最終的には「キャップストーン・チャレンジ(総合演習)」に挑みます。この演習は、日常的なインシデントレスポンス業務で遭遇するようなエンドポイントの証拠、ログデータ、その他のアーティファクトを含む、現実的な攻撃シナリオに基づいています。受講者は、偵察から初期侵入、そして組織内ネットワークでのラテラルムーブメント(横展開)へと段階的に進行し、高度な脅威アクターの活動の痕跡を明らかにしていきます。キャップストーン・チャレンジでは、これまでに学んだ知識を使用し、調査結果の報告とセキュリティ改善に向けた提言を行います。

コース概要

  • SIFT Workstationに搭載された多種多様な最良のオープンソースツールを駆使した、インシデントレスポンスおよびデジタルフォレンジックの高度な活用
  • 国家主導の攻撃者、組織犯罪グループ、ハクティビストなどの高度な脅威アクターに対するハンティングと対応
  • 侵害をより迅速に特定するための脅威ハンティング手法
  • 迅速なインシデントレスポンス分析と侵害状況の評価
  • インシデントレスポンスおよび侵入フォレンジックの実施手法
  • The Sleuth Kitや手動分析を用いた、ext4、XFS、BtrfsなどのLinuxファイルシステムに対するフォレンジック
  • インシデントレスポンスおよび脅威ハンティングにおける、ディスクやメモリを含む証拠の保全・収集
  • systemdジャーナル、認証ログ、auditd、アプリケーションログなどを含むLinuxログの分析
  • ルートキット、アンチフォレンジック、その他攻撃者による隠蔽(ステルス)手法の検知
  • 侵害されたAIおよび大規模言語モデル(LLM)プラットフォームやツールの調査
  • ネットワーク内部でのラテラルムーブメント(横展開)の分析と検知
  • 迅速かつ詳細なタイムラインの作成と分析
  • 攻撃者に関する脅威インテリジェンスの構築、侵害の痕跡(IoC)の特定と活用
  • 攻撃ライフサイクルおよびUnified Kill Chain(統合キルチェーン)戦略
  • 侵入事案への対応と調査を行うための段階的な戦術と手順

受講対象者

FOR577トレーニングは、以下のような多様な方々におすすめです。

  • APTグループや高度な攻撃者による複雑なセキュリティインシデント/侵入に日常的に対応し、今日のほとんどの企業で見られる侵害されたLinuxシステム(現在多くの企業で導入されているAIやLLM関連のツールを含む)の検出、調査、修復、復旧方法を習得する必要のあるインシデント対応チームメンバー

  • 脅威をより深く理解し、そこから学び、より効果的に脅威をハンティングし、その手口に対抗する方法を学びたい脅威ハンター

  • Linuxインシデント対応技術と、このオペレーティングシステムが引き起こす可能性のある特異な状況に関する理解を深め、さらに広げたい経験豊富なデジタルフォレンジックアナリスト

  • Linuxプラットフォーム上での攻撃者の活動を調査する方法についての理解を深めたい経験豊富なセキュリティオペレーションセンターアナリスト

  • Linuxプラットフォーム上でデータ侵害や侵入に遭遇する可能性のある情報セキュリティ専門家

  • Linuxベースのオペレーティングシステムにおける攻撃者の行動分析を習得したい連邦捜査官および法執行機関関係者

  • 攻撃者が自らの行動をどのように特定できるか、よくあるミスがリモートシステム上での運用をいかに危険にさらすか、そしてそれらのミスを回避する方法を学びたいレッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者
    コースでは、エクスプロイト後の運用手順やエクスプロイトテストに容易に組み込めるリモートシステムフォレンジックとデータ収集技術を網羅しています。

  • SANS SEC401、SEC450、SEC504、FOR500の修了者で、スキルをさらに向上させたい方

  • SANS FOR508の修了者で、異なるオペレーティングシステムへのスキル適応方法を学びたい方

  • スキルをさらに高めたいSANS修了生

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

Linuxインシデント対応と分析

セクション1では、Linux環境に焦点を当て、インシデント対応の基礎を学びます。SANSの6段階の対応手法、Unified Kill Chain(統合キルチェーン)や攻撃者の行動パターン、そして侵入を想定した実践的なシナリオを扱うとともに、本コース全体を通じて必要となるLinuxのコマンドライン操作スキルやフォレンジック技術を習得します。

取り上げられるトピック

  • インシデントレスポンスの基礎
  • AIとDFIR(デジタルフォレンジックおよびインシデントレスポンス)の未来
  • Linux入門とコマンドラインの基礎
  • 攻撃のライフサイクルとUnified Kill Chain
  • Linuxへの攻撃の検証とアーティファクトの調査(ハンティング)

ラボ

  • SIFT Workstationの概要と操作
  • Stark Skunkworksの理解
  • Linuxコマンド入門
  • 初期攻撃の評価
  • オペレーティングシステムのファイルの確認

概要

インシデントレスポンダーや脅威ハンターは、高度な攻撃者を特定・追跡・封じ込め、インシデントを修復するために、最新のツール、技術、プロセス(TTP)を駆使できる必要があります。DFIR(デジタルフォレンジックおよびインシデント対応)に関する知識には、我々自身のTTPだけでなく、攻撃者が用いるTTPも含まれていることが重要です。セクション1では、インシデント対応の基本を解説し、Linux環境で業務を遂行する上で求められる具体的な要件について検討します。まず、なぜインシデント対応が必要なのかを考察し、標的型攻撃に対する企業の対応に適用されるSANSの6段階インシデント対応手法を提示します。また、AIがDFIR業務をどのように変えつつあるか、そしてレスポンダーのツールキットにおいてAIがどのような役割を果たすのかについても考察します。

さらに、本セクションでは、ラボ演習やキャップ​​ストーン・チャレンジの舞台となる「Stark Skunkworks」への侵入シナリオを紹介します。続いて、調査中にインシデントレスポンダーとしてLinuxのコマンドラインをいかに有効活用できるかを見ていきます。次に、Linuxベースのシステムへの侵入において、初期アクセス、ラテラルムーブメント、およびパーシステンスの段階で見られる攻撃者の典型的な挙動について解説します。

最後に、Linuxにおけるファイルの保存方法や、攻撃者の一般的な挙動の記録方法について詳細に見ていきます。単一のシステムだけでなく、企業全体に適用可能なフォレンジック・ライブレスポンスの技術と戦術を実演します。

ラボの詳細

  • SIFT Workstationの概要
  • インシデントレスポンスにおける状況認識:Stark Skunkworksの紹介
  • Linuxコマンドの基礎とDFIRでの活用法
  • 初期攻撃評価の実施
  • 侵入時のOSデータの確認

トピックの詳細

  • インシデントレスポンスの基礎
    • 攻撃者とは?
    • Linuxへの侵入の現状
  • インシデントレスポンスのプロセス
    • 準備:侵入に適切に対処するためにインシデントレスポンスチームが必要とする主要なツール、手法、手順
    • 特定・範囲の特定(スコーピング):インシデントの範囲を適切に特定し、組織内の侵害されたすべてのシステムの検出
    • 封じ込め・インテリジェンスの構築:アクセス制限、監視、および脅威インテリジェンス構築のための攻撃者に関する情報収集
    • 排除・修復:現在のインシデントを阻止し、リアルタイムの修復へ移行するために必要な主要手順の決定と実行
    • 復旧:同様の攻撃者が再来した場合に備え、脅威インテリジェンスを記録・保存
    • 「モグラ叩き」状態の回避:適切な範囲特定や封じ込めを行わずに即座に排除しようとする対応からの脱却
  • SRL Skunkworks
    • コースシナリオの紹介
    • クライアントの背景情報
  • Linuxの概要
    • Linuxとは?
    • DFIRの課題
    • ディストリビューションの問題
  • サイバー攻撃とLinux
    • Unified Kill Chain
    • Linuxへの攻撃
  • Linuxコマンドの基礎
    • 一般的なコマンド
    • DFIRの手法
  • OSのファイル構造
    • ファイルシステムの階層構造
    • ブートファイルの場所
    • バイナリファイルの場所
    • 設定ファイルの場所
    • デバイスおよびドライバファイルの場所
    • 共有ライブラリ
    • ユーザープロファイル
    • オプションでインストールされたファイル
    • 一時ファイルの場所
    • ランタイムデータ
  • ファイルシステムのアーティファクト
    • ハンティングのヒント
    • 調査対象領域
    • ユーザーアカウントと認証
    • シェル履歴ファイル
    • 実行中のプロセス
    • ネットワーク接続
    • Linuxにおける永続化
    • Windows Subsystem for Linux(WSL)の調査

ディスク分析と証拠収集

このセクションでは、システム分析と脅威ハンティングの基礎について扱います。The Sleuth Kitを使用してext4、XFS、Btrfsファイルシステム上のディスク証拠を収集・分析し、Linuxのパッケージデータや実行ファイルを調査します。また、サイバー脅威インテリジェンスが、仮説やインテリジェンス主導型のハンティングをどのように支援するのかについても学びます。

取り上げられるトピック

  • Sleuth Kit
  • Linuxファイルシステム
  • ディスク証拠の収集とマウンティング
  • Linuxパッケージマネージャー
  • Linux実行ファイルの調査

ラボ

  • Sleuth Kitの概要
  • ファイルシステムデータの確認
  • ディスク証拠の収集とマウンティング
  • パッケージ管理の確認
  • 脅威インテリジェンスの活用

概要

デジタル証拠の大部分は依然としてストレージデバイスに存在するため、ディスク上の証拠収集および分析スキルは、インシデントレスポンダー、フォレンジック調査員、およびスレットハンターにとって不可欠です。物理システムと仮想システムの両方から適切にデータを取得し、生成されたRAWやE01形式のイメージをマウントできることは、証拠を確実に保全し、分析可能な状態にするために重要です。Linux環境においては、ext4、XFS、Btrfsといった一般的なファイルシステムを理解することも求められます。具体的には、スーパーブロックやinodeの構造、タイムスタンプ、メタデータを「The Sleuth Kit」などで解析したり、必要に応じて手動で復元したりすることで、システム上で何が起きたのかを再構築する能力が重要となります。

Linuxへの侵入を調査する際には、ソフトウェアがどのようにインストールされ、実行されるかを理解することも同様に重要です。パッケージ管理データにはシステムに追加されたものが記録されています。パッケージ形式やメタデータの読み取り、デジタル署名の検証、そしてDebian、Red Hat、SUSEといった各ディストリビューションにまたがるデータのハンティングを行うことで、レスポンダーは予期せぬソフトウェアや悪意のあるソフトウェアを特定できます。Linuxの実行ファイルについても同様のことが言えます。ELF解析ツールや機能分析を活用すれば、調査員はバイナリを実際に実行することなく、その正体や機能を特定できます。これは、マルウェアの疑いがあるファイルを評価する際に極めて重要なプロセスです。

サイバー脅威インテリジェンスとスレットハンティングは、こうした証拠を「能動的な防御」へと昇華させます。脅威インテリジェンスの定義や情報源、そして侵害痕跡(IoC)が「Pyramid of Pain(苦痛のピラミッド)」のどの段階に位置するかを理解することで、レスポンダーは単なる個別の痕跡(アーティファクト)ではなく、攻撃者の行動パターンを認識できるようになります。スレットハンティングはこれを基盤とし、仮説主導型やインテリジェンス主導型のアプローチを採用します。近年では、AIによるクエリ生成支援やYARAなどのツールも活用され、インシデントが正式に宣言される前に、既存のセキュリティ対策をすり抜けた攻撃者を環境内から探索することが可能になっています。

トピックの詳細

  • Sleuth Kit
    • 概要とレイヤーモデル
    • ファイルシステム層のツール
    • ファイル名層のツール
    • メタデータ層のツール
    • データユニット層のツール
    • アプリケーション層のツール
  • Linuxファイルシステム
    • 概要
    • 基本構造:スーパーブロックとinode
    • Ext系ファイルシステム
    • XFSファイルシステム
    • Btrfsファイルシステム
    • 手動でのデータ抽出
  • ディスク上の証拠収集
    • 物理システムと仮想システム
    • dd
    • dcfldd
    • dc3dd
    • Ewfacquire
    • ネットワーク経由でのデータ収集
  • イメージのマウンティング
    • RAW/単純形式ファイル
    • E01形式の証拠ファイル
    • 複雑な構造のファイル
    • VHDX/VMDKファイルのマウンティング
    • LVMシステムのマウンティング
  • パッケージ管理
    • ディストリビューションによる違い
    • パッケージ管理ツールの違い
    • DebianおよびRed Hatシステムでの手動パッケージ解析
  • Linux実行ファイルの調査
    • ELF形式
    • ELFファイルの調査
    • Capaによる機能の調査
  • 脅威インテリジェンスとホストベースの脅威ハンティング
    • 脅威インテリジェンスとは
    • 脅威インテリジェンスのソース
    • 脅威ハンティング入門
    • 仮説主導型の脅威ハンティング
    • AIを活用した脅威ハンティングの支援
    • インテリジェンス主導型の脅威ハンティング
    • Yaraの活用

Linuxのログ記録とログ分析

このセクションでは、インシデント対応を目的としたLinuxのログ分析について解説します。まずデバイスのプロファイリングとログ記録の基礎から始め、syslog、systemdジャーナル、認証ログ、Auditdログを取り上げます。さらに、攻撃の痕跡が発見されることの多いWebサーバー、データベース、ファイル共有サービス、ファイアウォールなどのアプリケーションログについても扱います。

取り上げられるトピック

  • デバイスのプロファイリング
  • OSジャーナル
  • Linuxのログ記録
  • Auditd
  • アプリケーションログ(Webサーバー、データベース、ファイル共有、ファイアウォールなど)

ラボ

  • システムおよびログのプロファイリング
  • systemdジャーナルの調査
  • 認証ログの分析
  • AuditdとElasticsearchを使用した監査ログの分析
  • Webサーバー、データベース、ファイアウォールのログの確認

概要

ログデータは、インシデントレスポンスや脅威ハンティングにおいて、システム上で何がいつ発生したかを特定するための基本的な証拠となります。適切に設定されたログ環境があれば、攻撃者が痕跡を残さずに活動することは極めて困難になります。しかし、Linuxのログ記録の仕組みは、Windows環境での経験を持つレスポンダー(対応担当者)の想定とは大きく異なる場合があります。例えば、ディストリビューションによってデータの記録方法や保存場所が異なったり、タイムスタンプがUTCとローカルタイムで混在して記録されたりすることがあります。したがって、システムのプロファイル(識別情報、タイムゾーン、ディストリビューションなど)を把握し、syslog、systemd journal、ログローテーションの仕組みを理解することが、適切なログ分析の第一歩となります。

こうした基礎知識があれば、レスポンダーは侵入発生時に特に重要なログを分析できるようになります。システムログには、ブートシーケンス、カーネルメッセージ、ホスト上で動作するサービスなどが記録されます。一方、認証・認可ログ(バイナリ形式のwtmpやbtmpの記録を含む)からは、誰がいつログインし、どのような権限を行使したかが明らかになります。さらに、Linux Auditing Daemon(Auditd)を活用すれば、適切に設定することでシステムアクティビティの詳細な記録が得られ、これはライブレスポンスとオフライン分析の双方において極めて有用な情報となります。

多くのLinuxシステムはアプリケーションを実行するために運用されており、それらのアプリケーションが生成するログに、攻撃の痕跡が最初に現れることも少なくありません。NginxやApacheといったWebサーバー、MySQL・MariaDB・PostgreSQLといったデータベース、vsftpdやSambaといったファイル共有サービス、そしてホストファイアウォールなどのログの場所を特定し、その内容を解釈できるようになることで、レスポンダーは組織が実際に利用しているサービスを介して、攻撃者の活動を追跡することが可能になります。

ラボの詳細

  • システムおよびログのプロファイリング
  • ジャーナルの調査
  • 認証ログの分析
  • 監査ログの分析
  • auditdとElasticsearch
  • Webサーバーログの確認
  • データベースログの確認
  • ホストファイアウォールログの確認

トピックの詳細

  • デバイスプロファイリング
    • 証拠の管理
    • デバイスの確認
    • タイムゾーンの確認
    • ネットワーク構成の確認
    • ディストリビューションの検証
  • Linuxのログ記録
    • Linuxログ記録の基礎
    • Linux Journalの基礎
    • ログ分析の戦略
    • ログ記録の設定とLogrotate
  • JournalとSyslogの理解
    • Journalの仕組み
    • 記録される内容
    • Journalの分析手法
    • グローバルシステムログ(カーネル、ブートプロセス、システムメッセージ、バックグラウンドサービスのログ記録)
  • 認証ログ
    • 認証と特権の使用
    • バイナリおよびプレーンテキストのログ形式
  • Auditd
    • 概要
    • ログファイルの形式
    • 分析手法
  • アプリケーションログ
    • Webサーバーログ
    • データベースログ
    • ファイル共有アプリケーションログ
    • ホスト型ファイアウォールログ

ライブレスポンスと揮発性データ

このセクションでは、AIコーディングアシスタントやセルフホスト型プラットフォームを含む、ローカルおよびハイブリッド環境で展開されたAI・大規模言語モデル(LLM)システムの調査について扱います。プロンプトインジェクション、データ流出、サプライチェーン攻撃といったLLM特有の課題を取り上げ、最後にLinuxにおけるアンチフォレンジック手法や、インシデント対応を改善するための指針について解説します。

取り上げられるトピック

  • トリアージと迅速なデータ収集
  • エンタープライズ向けレスポンスツール(EDR、Sysmon、Kunai、Velociraptor、GRR)
  • タイムライン分析
  • Linuxのメモリ取得と分析
  • カーネルルートキットとライブシステム分析

ラボ

  • トリアージ分析
  • VelociraptorとGRRによるログ機能の拡張
  • ファイルシステムのタイムライン
  • スーパータイムラインの作成と分析
  • メモリの取得と分析

概要

セクション4では、これまでに習得した知識をさらに発展させ、大規模な企業環境における侵入への対応に役立つツールや手法を紹介します。まず、対応体制を拡張させる方法と、それを支援するツールについて解説します。続いて、Linux環境向けのEDRソリューションへと話題を広げ、高価な商用EDRツールの代替となる「OSSEC」と「Velociraptor」という2つのツールを取り上げます。これら両ツールの設定および導入方法を解説し、すべてのLinuxデバイスにおいて、質の高い監視と対応の能力を確保できるようにします。

最後に、Linuxのメモリ構造と、分析用の揮発性データを収集する方法について説明します。このプロセスは複雑になりがちであり、現在の分析ツールもまだ十分とは言えない現状を踏まえ、対象システム上で直接データを閲覧する「ライブレスポンス」の手法についても検討します。この手法には、EDRツールを活用できるという利点もあります。これにより、数百ギガバイトものRAMを搭載したシステムからメモリをキャプチャする際に必要となる時間や帯域幅を削減することが可能になります。

トピックの詳細

  • エンタープライズレスポンス
    • 概要
    • 問題点と解決策
    • 検討すべきツール
  • エンドポイント検出・対応(EDR)
    • 概要
    • Linux EDRの課題
    • 商用EDRの代替ソリューション
    • OSSECの導入と利用
    • Velociraptorの導入と利用
  • LinuxメモリとDFIR
    • メモリが重要な理由
    • AVMLによるメモリ取得
    • ファイルシステム上のメモリ位置
  • リアルタイムメモリ分析
    • /procの確認
    • リアルタイムレスポンスワークフロー

高度なインシデント対応技術

このセクションでは、大規模インシデント対応を強化するための迅速なトリアージ技術とタイムライン分析に重点を置いています。システムを迅速に評価するためのツールを紹介し、タイムラインの作成と分析方法を解説します。また、攻撃者が使用する一般的なフォレンジック対策の手法を探求し、Linuxベースのインシデント対応ワークフローを改善するための戦略で締めくくります。

取り上げられるトピック

  • AIおよびLLMツールの調査
  • AIコーディング支援ツールとセルフホスト型LLMプラットフォーム
  • LLM特有のインシデント:プロンプトインジェクション、データ流出、サプライチェーン攻撃
  • Linuxにおけるアンチフォレンジック
  • DFIRプレイブックとインシデントレスポンスの改善

ラボ

  • LLM関連証拠の初期トリアージ
  • プロンプトインジェクションの検知
  • LLMの調査

概要

人工知能(AI)や大規模言語モデル(LLM)のツールは、クラウドサービスやセルフホスト型モデルから、開発者のワークフローに組み込まれたAIコーディング支援ツールに至るまで、急速に企業環境へと浸透しています。これらはそれぞれ、新たな攻撃対象領域と、多くのインシデント対応担当者がこれまで調査したことのない新たな証拠源をもたらします。調査の第一歩は、それらがクラウド、ローカル、あるいはハイブリッドのいずれで展開されているか、そしてAIアプリケーションスタック内のどこに有用なデータが存在するかを理解することです。そうすることで、モデル、その実装、ホストシステム、ランタイムのそれぞれについて証拠を調査できるようになります。

これらのツールは、会話履歴、設定、ツールの動作ログを予測可能な場所に保存するため、調査作業の大部分は「どこを確認すべきか」を知ることに費やされます。調査担当者は、Claude Code、Cursor、GitHub Copilot、GoogleのGemini CLIといった広く利用されている支援ツールや、Ollamaなどのセルフホスト型プラットフォームが残す証拠の場所や痕跡を把握する必要があります。これには、会話データやRAGデータのほか、モデルが改ざんされていないことを検証する方法などが含まれます。自律的に行​​動できるAIエージェントの利用拡大は、対応担当者が調査すべき領域をさらに広げる要因となっています。

インシデント対応の基本的なプロセスは変わりませんが、これらのシステムに対する攻撃手法は変化しています。モデルが読み込むデータを介した間接的なインジェクションを含む「プロンプトインジェクション」は、AIツールの動作を意図しないものに変えてしまう可能性があります。また、通常の利用や接続されたデータソースの悪用を通じて、機密データが漏洩したり外部に持ち出されたりすることもあります。さらに、サプライチェーンリスク、モデルの改ざん、侵害されたプラグインといった問題も状況を複雑にしています。こうした攻撃の兆候を認識し、LLM関連インシデントの範囲を特定し、適切なライブレスポンスデータを収集し、プロンプトとそれがホストに及ぼした影響を関連付けること。これらこそが、標準的な調査を、AI関連インシデントに対する効果的な対応へと変えるスキルなのです。

攻撃者は自身の活動を隠蔽しようとしますが、Linux環境にはそのための手段が数多く存在します。シェル履歴の改ざん、touchコマンドなどによるファイルタイムスタンプの操作、証拠の削除といった一般的な「アンチフォレンジック」手法を検証することで、それらの仕組みと検知方法の両方を理解できます。ファイルが削除・破壊された場合でも、Foremost、Scalpel、PhotoRec、tsk_recoverといった復元ツールを使用すれば、多くの場合ファイルを復元でき、攻撃者の隠蔽工作にもかかわらず調査を継続することが可能になります。最後に、優れたインシデント対応とは、事後の対応と同様に、事前の備えも重要です。再現性のあるDFIRプレイブック、AIを活用した机上演習、システムの堅牢化、フォレンジック対応能力の整備、そして効果的な監視体制。これらすべてが、組織が次回のインシデントに対してより迅速かつ一貫性を持って対応し、対応を重ねるごとに改善を続けていくための助けとなります。

トピックの詳細

  • AIおよびLLMツールの調査
    • 拡大するAI/LLMの攻撃対象領域と調査の難しさ
    • デプロイメントモデル:クラウド、ローカル、ハイブリッド
    • AIアプリケーションスタック全体での証拠のマッピング:モデル、実装、システム、ランタイムの各レイヤー
  • AIコーディングアシスタント
    • Claude Code、Cursor、GitHub Copilot、Windsurf、Gemini CLIにおける証拠の場所とアーティファクト
    • Model Control Protocol のアーキテクチャとフォレンジック・アーティファクト
    • 具体例:Claude Codeの履歴とCursorのstate.vscdb
  • セルフホスト型LLMプラットフォーム
    • OllamaのアーキテクチャとローカルLLMの証拠ソース
    • 会話およびRAGに関する証拠
    • モデルの整合性検証と自律型AIエージェントの調査
  • LLMインシデントの特徴
    • LLMの脅威カテゴリと攻撃対象領域
    • プロンプトインジェクション(間接的インジェクションを含む)とその兆候
    • 機密データの露出、流出、およびRAGの悪用(ベクトルデータベースの読み取りを含む)
    • サプライチェーンリスク、モデル改ざん、プラグイン/ツールの侵害
  • LLMインシデントへの対応
    • LLMインシデントの範囲特定とトリアージ
    • ローカルLLMのライブレスポンス・コマンドとエージェント関連の証拠収集
    • プロンプト、ツール、ホストへの影響の相関分析と封じ込め判断
  • Linuxにおけるアンチフォレンジック
    • シェル履歴ファイルへの攻撃
    • touchコマンドによるタイムスタンプ改ざんとその検知方法
    • Foremost、Scalpel、PhotoRec、tsk_recoverによる削除ファイルの復元
  • インシデント対応の改善
    • DFIRプレイブックの構築と継続的改善
    • AI支援による机上演習(TTX)
    • システムの堅牢化、フォレンジック対応能力の確保、および監視

APTインシデント対応チャレンジ

この集大成となる演習では、国家、金融犯罪組織、ハクティビスト集団など、様々な攻撃者による高度な脅威と数十年にわたり戦ってきた経験豊富な講師陣が監修する、現実的な攻撃の調査に関する実践的な経験を積むことができます。

取り上げられるトピック

  • 実践的なインシデント対応経験
  • 攻撃者の行動の特定と追跡
  • 脅威インテリジェンスの収集
  • 修復と復旧の手順

概要

この実践的な侵入フォレンジック・チャレンジは、実際のAPTグループによる、Linuxエンタープライズ環境への実際の侵入事例に基づいています。本コースで習得した技術を駆使し、高度な攻撃者による攻撃に対して自身のスキルを試す内容となっています。受講者はインシデントレスポンスチームの一員として、最初に侵害されたシステムや攻撃者の侵入経路を特定し、ネットワーク内でのラテラルムーブメントや攻撃者が取得したアカウント・権限を追跡します。さらに、攻撃に使用されたマルウェアを復元・分析してIoCを特定し、ホストおよびネットワークレベルでの影響範囲のスコーピングを行います。また、どのようなデータがどのような手法で外部に持ち出されたかを特定し、攻撃者を排除するために必要な措置を決定するとともに、復旧策や将来的な類似インシデントの防止策を提案します。最後に、実際の侵害対応時と同様に、技術的な知見を持つCISOに対して調査結果を報告します。これにより、高度なLinux侵入事案の調査を最初から最後まで一貫して行う実践的な経験を積むことができます。

トピックの詳細

  • インシデント対応チームの一員として、企業ネットワーク内の複数のシステムを分析します。
  • マルチデバイス環境における攻撃者の行動を特定・追跡し、初期攻撃、偵察、永続化、権限昇格、横方向移動、データ窃盗/流出といった手口を習得します。
  • チームベースのインシデント対応を実際に体験し、参加します。
  • 国家主導型マルウェアを含む、実際に発生している最も一般的で高度な攻撃の証拠を発見します。
  • 各チームは、組織内で実際に発生した侵害時と同様に、以下の重要な領域について、主要な質問に答えることが求められます。
  • 特定と範囲の特定:
    • APTグループはいつネットワークに侵入しましたか?
    • ターゲットタイムラインの作成
    • 攻撃者はどのようにして環境に侵入しましたか?
    • ターゲットタイムラインの作成
    • どのシステムが侵害されましたか?
  • ターゲットタイムラインの作成:
    • 攻撃者は各システムでどのようなアカウントと権限を取得しましたか?
    • ターゲットタイムラインの作成
    • 攻撃者はいつ、どのようにして各システムに横方向に移動しましたか?
    • ターゲットタイムラインの作成
  • 封じ込めと脅威インテリジェンスの収集:
    • 攻撃者は他のシステムに侵入した後、各システムで何を探しましたか?
    • o    どのようなデータが流出し、どのように流出したのか?盗まれたデータを特定し(流出したアーカイブを復元し、暗号化パスワードを特定し、抽出したデータを検証するために内容を抽出し)、被害状況の評価を実施する。
    • 攻撃で使用されたすべてのマルウェアを収集し、一覧化する。
    • ホストベースおよびネットワークベースのエンタープライズスコープの両方について、APTグループの「ビーコン」マルウェアに関するセキュリティインテリジェンスまたは侵害指標を開発し、提示する。このマルウェアの使用を示す具体的な指標は何か?
  • 修復と復旧:
    • どのユーザーアカウントのパスワード変更が必要か?悪意のあるアカウントは作成されたか?
    • 今回のインシデントで発見された攻撃者の手法とツールに基づき、このインシデントからの修復と復旧のために推奨される手順は何か?
      • どのシステムを再構築する必要があるか?
      • どのIPアドレスをブロックする必要があるか?
      • 攻撃者が再び侵入してきた場合に、攻撃を遅らせたり阻止したりするために、どのような対策を講じるべきか?
      • ネットワークへの侵入者を再び検知するために、どのような推奨事項があるか?

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。