「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。
iOS and Android Application Security Analysis and Penetration Testing
2026年10月26日(月)~2026年10月31日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
◆LiveOnline形式
オンライン
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:次の手順に沿って設定されたノートPCをご準備ください。
このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。
受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。
講座で使用する教材はダウンロードで提供されます。教材ファイルは容量が大きく、多くは40~50GB程度、中には100GBを超えるものもあります。ダウンロードには十分な時間を確保してください。インターネット接続状況や速度は様々な要因によって大きく異なるため、ダウンロードにかかる時間を予測することはできません。リンクを受け取ったらすぐに教材のダウンロードを開始してください。受講初日には教材がすぐに必要になります。受講前日の夜までダウンロードを待たないでください。
教材には「セットアップ手順」というドキュメントが含まれており、オンサイトに参加する場合、またはオンライン授業を開始する前に必要な重要な手順が記載されています。この手順を完了するには30分以上かかる場合があります。
授業では、実験の手順書として電子ワークブックを使用します。この新しい環境では、実験作業中に教材を表示するために、セカンドモニターやタブレット端末があると便利です。
ノートパソコンの仕様についてさらにご質問がある場合は、カスタマーサービスまでお問い合わせください。
この集中的なモバイルペネトレーションテストコースでは、セキュリティ専門家がiOSおよびAndroidプラットフォーム全体でモバイルデバイスのセキュリティを評価およびテストするための高度なスキルを習得できます。Corelliumプラットフォームを使用した実践的な演習を通して、アプリケーションの分析、脆弱性の特定、モバイルデバイスに特化した徹底的なペネトレーションテストの実施方法を学びます。コースでは、プラットフォームアーキテクチャとセキュリティ制御から、高度な動的分析技術とマルウェア評価まで、あらゆる内容を網羅しています。OWASP MASVSなどの業界標準ツールと手法に関する実践的な経験を積むとともに、関係者に対してリスクを効果的に伝える方法も学びます。組み込み機能の評価であれ、サードパーティ製アプリケーションの評価であれ、組織のモバイルインフラストラクチャを保護するために必要な専門知識を身につけることができます。
組織全体に広がり、すべてのユーザーの手にある攻撃対象領域を想像してみてください。それは頻繁に場所を移動し、機密性の高い重要なデータを保存し、攻撃の標的になりやすい様々な無線技術を搭載しています。残念ながら、このような攻撃対象領域は既に存在しています。それがモバイルデバイスです。これらのデバイスは、ほとんどの組織にとって最大の攻撃対象領域となっていますが、同時に、これらの組織はそれらを適切に評価するためのスキルを十分に備えていないことが少なくありません。
SEC575:iOS and Android Application Security Analysis and Penetration Testingは、Apple iOSおよびAndroidデバイス(Android 14およびiOS 17を含む)のセキュリティ上の強みと弱みを理解するためのスキルを習得できるように設計されています。これは、実際のモバイル環境を評価し、脆弱性を発見するためのスキルを受講者に提供する、最先端のモバイルペネトレーションテストコースです。モバイルデバイスはもはや単なる便利なテクノロジーではなく、世界中のユーザーが持ち歩いたり身につけたりする不可欠なツールであり、日常的な企業データニーズにおいて従来のコンピュータに取って代わることも少なくありません。この傾向は、世界中の企業、病院、銀行、学校、小売店などで見られます。現代において、ユーザーはかつてないほどモバイルデバイスに依存しています。これは周知の事実であり、悪意のある者も同様です。SEC575は、これらのデバイスのあらゆる側面を網羅的に検証し、GMOB認証(GIACモバイルデバイスセキュリティアナリスト)の要件に直接準拠しています。
組織全体で最大の攻撃対象領域に対するペネトレーションテストの方法を学ぶ
SEC575で習得するスキルにより、組み込みアプリケーションとサードパーティ製アプリケーションのセキュリティ上の脆弱性を評価できるようになります。プラットフォームの暗号化を回避し、クライアント側のセキュリティ技術を回避するためにアプリケーションを操作する方法を学びます。自動および手動のモバイルアプリケーション分析ツールを活用して、モバイルアプリのネットワークトラフィック、ファイルシステムストレージ、およびアプリ間通信チャネルの欠陥を特定します。モバイルマルウェアのサンプルを安全に操作して、AndroidおよびiOSデバイスに影響を与えるデータ漏えいとアクセス脅威を理解し、紛失または盗難されたデバイスを悪用するためにロック画面を回避する方法を学びます。
CorelliumによるAndroidおよびiOSエミュレーション
本コースでは、受講者は革新的なCorelliumプラットフォームを用いて、現実的な環境でiOSおよびAndroidのペネトレーションテストを体験します。Corelliumを使用すると、最新バージョンでもフルルートアクセス権限を持つ仮想iOSおよびAndroidデバイスを作成できます。このプラットフォームを利用することで、SEC575の受講者は、SSH/ADB機能や様々な強力なツールへのアクセスをフルに活用しながら、自身のブラウザ上で即座にスキルを試すことができます。
モバイルアプリケーションとオペレーティングシステム、そしてそれらに関連するインフラストラクチャの評価を深く掘り下げる
モバイルデバイスの脆弱性と脅威を理解し、特定することは非常に重要なスキルですが、関連するリスクを効果的に伝える能力も不可欠です。このコースでは、主要なステークホルダーに脅威を効果的に伝える方法を学習します。OWASPモバイルアプリケーションセキュリティ検証標準(MASVS)などの業界標準を使用してアプリケーションを評価し、すべてのリスクを理解することで、管理者や意思決定者に対して脅威を明確に説明できるようになります。これらのスキルは、GMOB認定試験でも強化され、このコースはGMOB認定試験の主要な準備コースとして機能します。
あなたのモバイルデバイスは攻撃の標的となる:組織が攻撃に備えるための支援
モバイルデバイスの導入は、高度なマルウェア、データ漏えい、企業秘密、知的財産、個人情報などの攻撃者への情報漏えいといった、組織にとって新たな脅威をもたらします。さらに問題を複雑にしているのは、安全なモバイル端末やタブレット端末の導入を特定し管理するために必要なセキュリティスキルを持つ専門家が圧倒的に不足していることです。このコースを修了することで、モバイルデバイスのセキュリティ評価、モバイルアプリケーションの脆弱性の効果的な評価と特定、そしてモバイルデバイスペネトレーションテストの実施といったスキルを習得し、他社との差別化を図ることができます。これらはすべて、モバイルデバイスの導入を保護・防御するために不可欠なスキルです。
SEC575トレーニングは、以下のような幅広い層の方々に推奨されます。
このセクションでは、iOSのセキュリティアーキテクチャとペネトレーションテスト手法について包括的に解説します。Corelliumの仮想環境を使用することで、受講者はiOSのセキュリティ制御、アプリケーションデータストレージ、アプリ間通信の分析を実践的に学ぶことができます。また、脱獄技術とマルウェア脅威評価についても取り上げます。
SEC575の最初のセクションでは、iOSプラットフォームについて考察します。iOSの構造を詳しく見ていくと、多くのセキュリティ制御がデフォルトで組み込まれており、Appleがハードウェアとソフトウェアの両方を非常に厳密に管理していることがわかります。次に、デバイスをジェイルブレイクすることで様々なセキュリティ制御を無効にする方法について解説します。ジェイルブレイクによって、ペネトレーションテストに役立つ様々なツールをインストールできるようになります。モバイルデバイスには多くの機密情報が含まれているため、iOSとインストールされているアプリケーションの内部ファイル構造を調べ、機密情報の安全でない保存方法などの問題点を特定したり、本格的なペネトレーションテストで使用できる興味深い情報を探したりします。もちろん、アプリケーションは他のアプリケーションから攻撃される可能性もあるため、iOS上でのアプリケーション間の相互作用についても考察します。最後に、iOSマルウェアについて見ていき、悪意のある攻撃者がプラットフォームとエンドユーザーの両方をどのように攻撃しようとしているのかを検証します。
実習では、仮想化環境で動作するiOSデバイスを操作するためにCorelliumを使用し、インストールされているアプリケーションサービスやアプリケーションデータへの低レベルアクセスを行います。
セクション2では、Androidのオープンソースアーキテクチャと多様なセキュリティ環境について詳しく解説します。受講者は、サービス、インテント、コンテンツプロバイダなど、Android独自のアプリ間通信方法を学びます。また、ルートアクセス技術、ファイルシステム解析、ランサムウェアやバンキング型トロイの木馬を含むマルウェア調査の実践的なスキルを習得します。
Androidは、圧倒的に最も人気のあるモバイルオペレーティングシステムです。Android搭載デバイスは多種多様で、そのため多くの断片化が生じています。このコースでは、Androidの内部構造と、ユーザーの安全を守るために実装されている様々なセキュリティ制御について詳しく見ていきます。iOSとは異なり、Androidはオープンソースです。また、開発者はサービス、インテント、ブロードキャストレシーバー、コンテンツプロバイダーなど、アプリケーションが他のアプリケーションと連携するための様々な方法を提供しています。これらの連携はアプリケーションの攻撃対象領域を定義するため、それらを適切に保護し、悪用する方法を詳しく見ていきます。AndroidはAndroid Debug Bridgeツールを介してシェルアクセスを提供しますが、完全なアクセスが必要な場合は、ブートローダーのロック解除またはデバイス固有のエクスプロイトを使用してデバイスをルート化する必要があります。ルート化後、一般的なAndroidデバイスとインストールされているアプリケーションの内部ファイル構造を調べ、有用な情報を特定します。最後に、ランサムウェア、モバイルバンキングトロイの木馬、スパイウェアなど、様々な種類のAndroidマルウェアについて調査します。
このセクションでは、静的分析技術を用いてモバイルアプリケーションのリスクを評価することに焦点を当てます。受講者は、iOSおよびAndroidアプリ向けの自動評価ツールと手動評価ツールの両方の使い方を学び、シンプルなアプリケーションから難読化されたアプリケーションまで段階的に学習を進めます。様々なアプリケーションフレームワークとその特有のセキュリティ上の課題の分析に特に重点を置きます。
モバイルセキュリティアナリストとして必要なコアスキルの1つは、モバイルアプリが組織にもたらすリスクと脅威を評価する能力です。このコースセクションで提供される講義と実践演習を通して、分析スキルを駆使して重要なモバイルアプリケーションを評価し、それらがもたらすアクセス脅威と情報漏えい脅威の種類を特定できるようになります。iOSアプリとAndroidアプリを静的に評価するために、自動および手動のアプリケーション評価ツールを使用します。最初は理解しやすいアプリケーションを扱いますが、セクションの後半では、解析がはるかに困難な難読化されたアプリケーションを掘り下げていきます。最後に、さまざまな種類のアプリケーションフレームワークと、それらを専用ツールで分析する方法について検討します。
静的解析のスキルを基礎として、本セクションでは実行時アプリケーションの解析と変更について学びます。受講者は、Cycript、Frida、Objectionなど、AndroidとiOSの両方に対応した高度な計測フレームワークの使い方を習得します。最後に、包括的なセキュリティ評価のためのOWASP MASVS標準の実装方法を解説します。
前のセクションでアプリケーションの静的解析を行った後、今回は動的解析へと進みます。熟練したアナリストは、静的解析と動的解析を組み合わせてアプリケーションのセキュリティ状態を評価します。動的インストルメンテーションフレームワークを用いることで、アプリケーションが実行時にどのように変更されるか、メソッド呼び出しがどのように傍受・改変されるか、そしてデバイスのネイティブメモリに直接アクセスする方法を理解できます。Cycript、Frida、Objection、そしてメソッドスウィズリングについて学び、AndroidおよびiOSアプリケーションを完全にインストルメンテーションして検証します。このセクションの最後には、OWASPモバイルアプリケーションセキュリティ検証(MASVS)標準を用いた、モバイルアプリケーションのセキュリティ評価と格付けのための統一的なシステムについて解説します。これらの脆弱性を特定することで、実用的で有用なリスク指標を用いて、組織におけるモバイル端末展開のリスクを評価できます。ペネトレーションテストを実施する役割であれ、他者のペネトレーションテストを評価・分析する役割であれ、これらの技術を理解することで、組織は脆弱性がインシデントに発展する前に特定し、解決できるようになります。
最終技術セクションでは、バックエンドサーバーの評価や中間者攻撃を含む、包括的なモバイルペネトレーションテストに焦点を当てます。受講者は、セキュリティ制御の回避、ロックされたデバイスへのアクセス、レッドチーム演習用の高度なリモートアクセス型トロイの木馬(RAT)の作成方法を学びます。
アプリケーションを静的および動的に分析した後、まだ手つかずのコンポーネントが1つ残っています。それはバックエンドサーバーです。このコースのセクションでは、ネットワーク上でアドレス解決プロトコル(ARP)スプーフィング攻撃を実行して中間者攻撃を行う方法、およびAndroidとiOSがユーザーの機密情報が傍受されるのを防ぐためにどのように機能しているかを検証します。また、バックエンドサーバーの脆弱性を見つけるために、意図的にトラフィックを傍受するテストデバイスを設定する方法についても検証します。場合によっては、他人のデバイスにアクセスする必要があるため、PINコードや生体認証で保護されたモバイルデバイスにペネトレーションできるかどうかを検証します。最後に、リモートで侵害されたデバイス、またはレッドチーム演習中に物理的に入手したデバイスにインストールしてユーザーを標的にし、内部ネットワークへのアクセス権を取得できるリモートアクセス型トロイの木馬(RAT)アプリケーションを作成して、このセクションを締めくくります。
この集大成となるセクションでは、コースで学んだすべての概念を統合した包括的な実践課題に取り組みます。受講者は複数のアプリケーションとフォレンジックイメージを分析し、脆弱性や機密データの漏えい箇所を特定するとともに、実際のモバイルセキュリティ評価技術を応用します。
この最終セクションでは、コース全体を通して学んだすべての概念と技術を統合し、包括的なキャプチャー・ザ・フラッグ形式の演習を行います。この実践的なモバイルセキュリティ課題では、複数のアプリケーションとフォレンジックイメージを調査して脆弱性や機密情報漏えいの原因を特定し、難読化されたマルウェアサンプルを分析してその動作原理を理解します。学んだスキルを実践に活かし、システムやアプリケーションを評価することで、オフィスに戻った際に保護する必要のある現実的な環境をシミュレートします。