ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 500 (旧:FORENSICS 408)

Windows Forensic Analysis

Digital Forensics and Incident Response

English
日程

2021年1月18日(月)~1月23日(土)

期間
6日間
講義時間

9:00 ~ 17:00

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCFE
講師
Kevin Ripa|ケビン リパ
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

810,000円(税抜)

申込締切日
2021年1月8日(金)
オプション
  • GIAC試験(印刷版テキスト含む) 95,000円(税抜)

※上記試験費用は講義と同時お申し込み時のみ有効です。
※講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(1万円)が発生します。
※また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。

  • OnDemand 95,000円(税抜)
  • NetWars Continuous 174,000円(税抜)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR500 PC設定詳細

SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCを受講者自らご用意いただきます。下記要件をよく確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。

重要:以下の環境のノートPCをご持参下さい。
コース開始前の事前準備として、5つのことをお願いしています。早めの準備をすることで、トレーニングを最大限に活用することができます。まず、適切に設定されたノートPCの持参をお願いいたします。この資料では、クラスに必要なシステムのハードウェアとソフトウェアの設定について詳しく説明しています。また、準備に関してのビデオをhttps://sansurl.com/sans-setup-videosから閲覧することができます。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

64bit版のWindows、Mac OSX、LinuxをホストOSとして利用することができます。ただし、VMware仮想ソフトウェアを正しくインストールして実行することができるOSを選択してください。このトレーニングで使用する仮想マシンの機能を適切に動作させるためには、8GB以上のRAMが必要になります。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用にフリーツールとしてダウンロードできます。こちらで利用になるノートPCの環境が、64bitのゲストOSを動作させることができるかどうか確認することができます。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation Pro 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。

ノートパソコンのハードウェア要件

  • CPU:64bit Intel i5 / i7(第4世代以降) - x64 2.0+ GHzプロセッサ以上(必須)
  • 16GB以上のRAM(必須)最小16GBが必要
  • 無線 802.11 b/g/n
  • USB3.0ポート(強く推奨)
  • 250GB以上の内蔵ハードディスクで、かつ空き容量が200GB以上(必須)
  • ホストOSのローカルアドミニストレーター権限、およびBIOS設定の変更権限(必須)

ノートパソコンのソフトウェア要件

  • Windows10、MacOSX(10.15以降)、Linux(2016年以降にリリースされたもの)のいずれかのバージョンであり、かつ最新のパッチが適用されているもの(必須)
  • USB 3.0デバイスを利用可能にするため、最新の状態のパッチを適用してください。また、LinuxシステムではexFATへのフルアクセスができるようにFUSEモジュール追加も必要になりますので、ご確認ください。

事前インストールするソフトウェア

  1. Microsoft Office Excel(いずれのバージョンでも可) または OpenOffice Calc。Microsoft Officeは、次のページから試用することができます(30日間)
  2. VMware Workstation Pro 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョン
  3. 7zipまたは keka(macOS)

追加で使用する機材(持参不要)

本コースでは、補足演習としてディスクイメージ取得をご自宅で行う宿題が用意してあります。実施は任意で、以降の演習や授業内容と関係はございません。演習を行いたい方は、下記のような3.5インチ IDE または SATAハードディスクを1つご自宅にご用意ください(会場では行いませんので、持参不要です)。

  • eBAYやCraigslistで購入したハードディスク
  • 自宅または会社で使用したハードディスク

(注記)このハードドライブはイメージ取得の補足演習で使います。使用済ドライブはイメージ取得以外に使いません。

セミナーへの参加前の実施事項(上記のまとめ)

  1. 適切なハードウェア条件(64bit/8GB RAM)とOS条件を満たしたノートPCを準備する
  2. VMware(Workstation、Player、Fusion)、MS Office、7zipをインストールする

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

FOR500 コース概要

守るものについて知らなければ、何も守ることはできない
 (You can't protect what you don't know about)

Windowsフォレンジックをマスターする時がきました。

今日すべての組織において、襲いかかるサイバー犯罪への準備をする必要があります。詐欺、インサイダー、産業スパイ、内部不正、不正侵入に立ち向かうアナリストの必要性は今までは高くありませんでした。しかし近年、官公庁は、メディアエクスプロイテーションスペシャリスト(Windowsシステムから重要なインテリジェンスを復元・抽出できる人物)の養成を強く要望するようになりました。SANSはこの要望に応えるため、システムで何が起こったのかを秒単位で把握することができるように、これからもっとも優れたフォレンジックプロフェッショナル、インシデントレスポンダ―、メディアエクスプロイテーションマスターになる新しい幹部たちに対して世界中でトレーニングを実施しています。

FOR500: Windows Forensic Analysisは、Windows OSに対するより深いフォレンジックスキル構築に焦点をあてたコースです。「守るものについて知らなければ、何も守ることはできない」という考え方があります。フォレンジックで出来ることやアーティファクトについて理解することは、今やサイバーセキュリティの必須事項といえるでしょう。このコースで、Windowsシステムでのデータ復旧、分析、検証方法を学んでいきましょう。ネットワーク上のユーザーの行動を詳細に追跡する方法を学習し、インシデントレスポンス、内部不正調査、民事/刑事訴訟において、どう見つかった証拠を整理していけばよいか理解しましょう。あなたがこのコースで身に付ける新しいスキルを存分に活用し、セキュリティツールの検証、脆弱性検査の強化、インサイダーの摘発、ハッカーの追跡、セキュリティポリシーの向上に役立てましょう。Windowsは知らず知らずのうちに、想像を絶するほどの大量なデータを溜め込んでいます。FOR500は、この大量な鉱山ともいえるデータから証拠を発掘する方法を教えます。

正確な分析方法を学ぶには、受講生たちに実際のデータを調べて貰う必要があるでしょう。そのため、FOR500というコースを根本から作成しなおしました。演習を行うラボでは、最新のMicrosoft製品で見つかる証拠を分析して貰います(Windows 7、Windows 8/8.1、10、OfficeおよびOffice 365、クラウドストレージ、Sharepoint、Exchange、Outlook)。これによりトレーニングを終えた受講生たちは、コースで使用した最新のツール・手法を用いて、直面するであろう複雑なシステムであっても立ち向かうことができます。このコースでは、レガシーシステムであるWindows 7から最新のWindows 10アーティファクトの分析まで余すところなく学べます。

FOR500: Windows Forensic Analysisでは、次のことを教えます。

  1. Windows OSに関するより深いフォレンジック手法、メディアエクスプロイテーション(Windows 7、Windows 8/8.1、Windows 10、Windows Server 2008/2012/2016)
  2. アプリケーションがいつ実行したか、ファイルにいつアクセスしたか、データが盗まれたのか、外部記憶媒体は使用されたのか、クラウドサービスが使用されたのか、物理的な地理はどこか、ファイルがダウンロードされたのはいつか、アンチフォレンジックの痕跡はあるか、その他システムの使用に関する詳細な履歴、といった重要な質問に答えるために必要なアーティファクト・証拠の場所や分析方法
  3. 特定ツールの利用方法を教えるのではなく、フォレンジック分析能力向上に焦点をあてる
  4. さまざまなフリーツール、オープンソースツール、商用ツールをSANS Windows SIFT Workstation上で利用して、フォレンジック機能を内製化し重要な問いの答えを導き出す方法

FOR500は継続的にアップデートしています。
本コースは、最新の知的財産犯事例や産業スパイ事例を加味し、半年以上の歳月を掛けて作られました。現実世界に適合させるため、トレーニングで使用するデータは現実に近いものを含むべきだと考えました。私たちコース開発チームは、自身の経験とノウハウを存分に活かし、信じられないほど豊富かつ詳細なシナリオを作成しました。受講生たちは本当のフォレンジック調査をしているかのごとく集中できるでしょう。講義中のデモでは、実業務で役立てるように、最新のWindowsアーティファクトとテクニックを紹介します。また、配布するワークブックテキストにはツールの利用方法やフォレンジック手法について気をつけるべき点など、驚くほどきめ細かいステップ・バイ・ステップの解説が記載されています。

本講座受講にあたっての前提

FOR500は、応用レベルのWindowsフォレンジックコースです。そのため、フォレンジックに関する基礎レベルの解説は省いています。このコースでは、Windows OSとそのアーティファクトについてベンダーフリーのツールを使用して、より深く解析をしていくことを目的としています。

受講対象者

  • サイバーセキュリティプロフェッショナル。Windowsフォレンジック調査について詳細に内容を理解したい方
  • インシデントレスポンスチームメンバー。Windowsに対するデータ侵害や侵入といったインシデントに立ち向かうため、より深いフォレンジックスキルを必要としている方
  • 法執行機関職員、政府職員、調査員。Windowsフォレンジックに関して精通する必要性が出てきた方
  • メディアエクスプロイテーションアナリスト。個人が使用するWindowsシステムに対して、戦術的にエクスプロイテーションをする必要がある、Document and Media Exploitation (DOMEX)をする必要がある方。個人が使用したシステムに関して、誰と通信したのか、どのファイルを編集、ダウンロード、削除したのかを特定することができるようになりたい方
  • Windowsフォレンジックに関して理解を深めたい方。前提知識として、情報システム、サイバーセキュリティ、コンピューターに関して知識・スキルが必要です。

※FOR500は、GIAC(GCFE)認定試験対象コースです。

コース開発者より

"警察・保安官での30年の経験から、優れたデジタル・フォレンジック・アナリストとは何かと考えると、すぐに3つの能力がリストのトップに浮かび上がってきます。優れた技術力、健全な捜査方法、障害を克服する能力。SANS FOR500 Windows Forensic  Analysisは、これらの重要なスキルを学生に教えるように設計されています。単一のツールを教えることに焦点を当てた他の多くのトレーニングコースとは異なり、FOR500は多くのツールのトレーニングを提供します。優れたツールもありますが、すべてのフォレンジックアナリストは、それぞれのタスクに最適なツールを選択できるようにするために、様々なツールを用意しておく必要があると私たちは考えています。しかし、フォレンジックアナリストは、使用するツールが優れているからではなく、それぞれの分析に適切な調査方法を巧みに適用しているからだということも理解しています。例えば大工は、すべての道具の使い方をマスターできたとしても、家を建てる方法を知っているとは限りません。FOR500では、受講生がデジタル・フォレンジックの方法論を様々なケースタイプや状況に適用することや、現実の世界で最高の結果を得るために正しい方法論を適用することが学べます。最終的に、このコースでは、真に成功したフォレンジックアナリストになるために必要な問題解決能力を教え、実演します。フォレンジックアナリストとしてのキャリアをスタートさせた直後から、フォレンジック分析にはそれぞれ独自の課題があることを学ぶことができます。以前の調査では完璧に機能した技術が、次の調査では機能しない場合があります。優れたフォレンジックアナリストは、高度なトラブルシューティングと問題解決を通して障害物を克服することができなければなりません。FOR500は、将来の問題を解決し、障害物を克服し、優れたフォレンジックアナリストになるための基礎を受講生に提供します。フォレンジックコミュニティに初めて参加する人も、フォレンジックを何年もやっている人も、FOR500は必修のコースです。" - Ovie Carroll

"以前の受講生たちは、毎晩のニュースサイクルの一部であった非常に現実的な状況で、どのようにデジタルフォレンジックのスキルを使えるかについて、定期的に私に連絡してきました。このクラスで学んだスキルは、悪を直接的に止めるために使われます。SANS FOR500 Windows Forensic  Analysisの卒業生は、正確なデジタルフォレンジック、インシデントレスポンス、メディアエクスプロイテーション分析が必要なときに活躍する最前線の部隊です。テロリストのノートPCの分析、データ侵害、インサイダー関連の知的財産の盗難や詐欺の調査から、SANSのデジタルフォレンジックの卒業生は犯罪やテロとの戦いに立ち向かい、勝利を収めています。卒業生は分析を行い、適切に調査を行う方法を学んでいるため、いくつかの最も困難な事件を解決することに直接的に貢献していますこのコースでは、犯罪者や外国からの攻撃を阻止するレスポンダーにとって正しい方法論と知識を身につけることができ、とても安心しています。卒業生は日常的にそのような活動をしています。SANS FOR500コースが、犯罪と戦い、解決するための準備に役立っていることを誇りに思います。" - Rob Lee

"デジタルフォレンジックは、今日より需要が高まったことはありません。毎年ゼッタバイトのデータが作成されており、フォレンジック検査官は、小麦と籾殻を分離するためにますます必要とされるようになっています。良くも悪くも、ほとんどすべての行動にデジタルアーティファクトが記録されており、コンピュータへの侵入を撃退し、知的財産権の窃盗を阻止し、悪党を刑務所に入れるために働く調査官のハードルが上がってきています。このコースは、私たちのキャリアの早い段階で活用できるようなフォレンジックのトレーニングとして作成しました。フォレンジックの最先端を維持することは困難を伴いますが、頻繁に更新されるこのコースは、あなたがフォレンジックを始める場合、またはあなたのフォレンジックの武器庫に新しいスキルを追加したい場合でも、活用可能な最新のトレーニングを提供できると確信しています。" - Chad Tilbury

講義内容の一例

  • Windows オペレーティングシステム (Windows 7, Windows 8/8.1, Windows 10, Server 2008/2012/2016)
  • Windows ファイルシステム (NTFS, FAT, exFAT)
  • アドバンストエビデンス取得ツールとテクニック
  • レジストリフォレンジック
  • Shell アイテムフォレンジック
    • ショートカットファイル(LNK)- ファイルオープンの証拠
    • Shellbags - フォルダオープンの証拠
    • JumpLists - ファイルオープン・プログラム実行の証拠
  • Windows アーティファクト分析
    • Facebook, Gmail, Hotmail, Yahoo Chat, Webメール分析
    • マイクロソフトOffice文書分析
    • システムリソース使用法データベース
    • Windows 10 タイムラインデータベース
    • Windows Recycle Bin 分析
    • ファイルと画像のメタデータトラッキングと検証
    • Windows 10の新機能を含む10種類の異なるアプリケーション実行に関わるアーティファクト
  • クラウドストレージファイルとメタデータの調査・テスト
    • OneDrive、Dropbox、G Drive、G Suite File Stream、Box
  • Office365とG Suiteを含むEメールフォレンジック(ホスト、サーバー、Web)
  • イベントログファイル分析
  • Firefox, Chrome, Edge, Internet Explorerブラウザフォレンジック
  • 削除されたレジストリキーとファイルのリカバリ
  • レジストリとESEデータベース.logファイルから欠落したデータのリカバリ
  • 文字列検索とファイルカービング
  • Windows 7, Windows 8/8.1, and Windows 10に関連する検証ケーススタディ
  • メディア分析と下記のエクスプロイト
    • Windows PCを使用したユーザー通信の追跡 (Email, Chat, IM, Webmail)
    • 容疑者が特定のファイルをPCにダウンロードしたかどうかとその方法の特定
    • 容疑者がプログラムを実行した正確な時間と回数の特定
    • 容疑者がファイルを最初に開いたときと最後に開いたときを表示する
    • 容疑者が特定のファイルを知っていたかどうかの確認
    • システムの正確な物理的位置の表示
    • 外付けデバイスとUSBデバイスの追跡と分析
    • コンソール、RDP、またはネットワーク経由でマシンにログオンした疑いのあるユーザーの表示
    • プライベートブラウジングモード使用時におけるブラウザアーティファクトのリカバリと調査
    • ファイルの削除、時間の操作、プログラムの削除など、アンチフォレンジックの使用状況の検出

このコースは、Windows7、8、8.1、10、およびServer 2008、2012、2016などの最新のテクニックを含むように更新されています

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

Windowsフォレンジック、高度なデータ復元方法

Windowsフォレンジックコースの1日目は、モバイル、タブレット、クラウドストレージ、最新のWindows OSなど今日の社内環境に接続しているさまざまなデバイスに関する課題を議論していきます。また、SSD(Solid State Devices)といった最新のハードドライブがフォレンジックの証拠保全プロセスに及ぼす影響、これらの新しいテクノロジーの出現に対応するためにどうすればよいかを解説していきます。

ハードドライブ容量は増加傾向にあり、フォレンジック現場では適切に扱うことが困難になってきています。今日では、効率的、かつ、法的訴訟に耐えうる手順(forensically sound)でデータを保全することは、すべてのフォレンジック調査者にとって重要な事項となっています。大半の基礎レベルにあるアナリストたちは、書き込み防止装置を使用して簡単にハードドライブのイメージを取得しています。本コースでは、証拠保全プロセスをよりスピーディーに効率化する方法として、抽出する対象をトリアージして取得する新しいテクニックを紹介します。現在の保全プロセスでは、何時間も、時には何日間も費やしています。メモリイメージ、NTFS MFT、Windowsログ、レジストリ、重要なファイルを短時間で取得する方法をデモンストレーションします。

また、商用ツールとオープンソースツールの両方を使用して、ファイルカービングとストリームベースの証拠抽出方法を解説します。フォレンジック現場で問われる主要な質問に答えるため、特定のデータに絞って調査する方法を学習することで、ベテランの捜査官になるスキル・知識を養成します。

演習

  • オリエンテーションとWindows SIFT Workstationをインストールする
  • トリアージを意識した高度なデータ保全とイメージ取得を行う
  • 保全したディスクイメージ、証拠のマウントを行う
  • 空き領域から重要なファイルを抜き出す
  • ページファイル、ハイバネーションファイル、メモリイメージ、未割り当て領域から重要なユーザーデータの復元
  • チャットセッション、ウェブベースの電子メール、ソーシャルネットワーキング、プライベートブラウジングの復元

トピック

Windows オペレーティングシステムコンポーネント
  • Windowsバージョン間での違い
  • Windows 7とそれ以上
  • Microsoft Server シリーズ
フォレンジックの原則
  • 分析対象
  • キーとなる質問
  • スコープの決定
ライブレスポンスとトリアージ技術
  • RAMの確保
  • レジストリの展開
  • トリアージをベースにしたフォレンジック
  • Volatilityの順番
  • KAPE トリアージコレクション
Windowsイメージのマウントと検証
NTFSファイルシステムの概要
ドキュメントとファイルのメタデータ
ファイルカービング
  • データカービングの原理
  • メタデータファイルシステムの消失
  • ファイルカービングツール
  • 独自カービングシグネチャ
メモリ、ページファイル、未割り当てスペースの分析
  • アーティファクトのリカバリと検証
  • Facebook Live、MSN Messenger、 Yahoo、AIM、GoogleTalk Chat
  • IE8-11, Edge, Firefox, Chrome InPrivate/リカバリURLs
  • Yahoo, Hotmail, G-Mail, Webmail, E-Mail

コアWindowsフォレンジックパート1:Windowsレジストリフォレンジックと分析

2日目はWindowsレジストリフォレンジックについて学習します。Windowsレジストリから、大半のフォレンジック調査において、システムおよびユーザーに関する重要な情報が見つかります。どのようにレジストリからユーザープロファイルに関する情報、システム情報を抽出して分析するかを学んでいきます。調査対象のユーザーが行ったキーワード検索、実行したプログラム、開いたり保存したりしたファイル、閲覧したフォルダ、使用した外部記憶媒体をどう証明するか、その方法を学びます。

情報は急速にクラウドに移行しており、現代の企業にとって大きな課題とリスクとなっています。クラウド・ストレージ・アプリケーションは、一般消費者向けシステムや企業向けシステムの両方でほぼユビキタスなものとなっており、セキュリティとフォレンジックに関する興味深い課題を引き起こしています。 最も重要な情報の一部がサードパーティのシステムにしか存在しない世界では、どのようにして効果的に調査を行うことができるでしょうか?このセクションでは、OneDrive、Google Drive、G Suite、Dropbox、および Box アプリケーションを分析し、アプリケーション ログに存在し、エンドポイントに残されたアーティファクトを導き出します。詳細なユーザーアクティビティ、削除されたファイルの履歴、クラウドコンテンツの発見などが可能です。また、フォレンジック情報収集という非常に現実的な課題に対するソリューションについても議論されています。これらの一般的なアプリケーションを分析することで何が得られるかを理解することで、あまり一般的ではないクラウドストレージソリューションに遭遇した際の調査が容易になります。

このセクションでは、実際のハンズオンケースで自分のスキルを駆使しながら、証拠を探り、分析します。

演習

  • レジストリに含まれる証拠を解析して、コンピューターシステムをプロファイリングする
  • レジストリに含まれる証拠を解析して、ユーザーの行動をプロファイリングする
  • レジストリベースの UserAssist、AppCompability、Amcache、RecentApps、BAM/DAM などを調べて、ユーザが最近実行したプログラムを調査
  • レジストリに含まれるrecentdocsキーを解析して、最近開いたファイルが何かを特定する
  • 最近開いたOffice 365ファイルを解析して、ファイルが開かれた最初と最後の時間を特定する
  • レジストリに含まれるopen/save keyを解析して、ユーザーが最近開いたフォルダを調べる
  • クラウドストレージのフォレンジックを実施し、ログ、メタデータ、ファイルの情報のリカバリ

トピック

詳細レジストリフォレンジック
  • レジストリコア
    • ハイブ、キー、値
    • レジストリの最終書き込み時刻
    • MRUリスト
    • 削除されたレジストリキーのリカバリ
    • 汚染されたレジストリの特定と紛失したデータのリカバリ
    • 複数ハイブの検索とタイムライン化
  • ユーザーとグループのプロファイリング
    • ユーザー名とそこに紐づいたSIDを発見する
    • 最終ログイン
    • 最終失敗ログイン
    • ログイン回数
    • パスワードポリシー
  • 重要なシステム情報
    • 現コントロールセットの特定
    • システム名とそのバージョン
    • タイムゾーン
    • ローカルIPアドレス情報
    • 無線、有線、3Gネットワーク
    • コネクテッドネットワーク監査と機器の位置情報
    • ネットワーク共有とオフラインキャッシュ
    • 最終シャットダウン時間
    • レジストリベースの持続的マルウェア
  • ユーザのフォレンジックデータ
    • ファイルダウンロードの証拠
    • OfficeとOffice 365のファイル履歴分析
    • Windows 7、Windows 8/8.1、Windows 10 での検索履歴
    • パスとディレクトリ
    • 最近使ったドキュメント
    • 開く>保存・実行ダイアログボックスによる証拠
    • ユーザー補助を経由したアプリケーション実行履歴、シムキャッシュ、最近使ったアプリケーション、AmCache、BAM/DAM
  • クラウドストレージフォレンジック
    • Microsoft OneDrive
    • オンデマンドのOneDrive ファイル
    • Microsoft OneDrive for Business
    • OneDrive の統合監査ログ
    • Google Drive
    • G Suite File Stream
    • G Suite ロギング
    • Dropbox
    • Dropbox 復号化
    • Dropbox ロギング
    • Box ドライブ
    • Box バックアップと同期
    • 同期とタイムスタンプ
    • フォレンジック情報取得のチャレンジ
    • ユーザーアクティビティの列挙
  •  使用するツール
    • レジストリエクスプローラー
    • TZWork's CAFAE
    • ShimCacheParser
    • Amcacheparser
    • SQLite Viewer

コアWindowsフォレンジックパート2:USBデバイス、シェル関連、
キーワードサーチ

ファイルを最初に閲覧した日時、最後に閲覧した日時を特定するスキルは、分析スキルにおいて最も重要です。SHELL ITEMSの調査を通じて、ショートカット(LNKファイル)、ジャンプリスト、シェルバッグデータベースを調べれば、簡単にいつ、どんなファイルを開いたのかピンポイントで特定することが可能です。SHELL ITEMSを調べることで得られる知識は、内部またはハッカーが知的財産を盗難するといったユーザアクティビティをトラッキングするために重要です。

外部記憶媒体の調査方法は、フォレンジックの主要トピックになることが多いものです。ここでは、Windows 7~10といった各々の環境上で動作するUSBデバイスについて、どのように調査するか解説していきます。外部記憶デバイスが最初および最後に接続された日時、ベンダー/製造元/モデル、デバイス固有のシリアル番号まで特定する方法を学習していきます。

演習

  • レジストリとファイルシステムを解析して、接続したUSBやBYODデバイスが何かを追跡する
  • USBデバイスを接続した最初と最後の日時を特定する
  • 最後にUSBデバイスを取り外した日時を特定する
  • ショートカット(LNKファイル)を解析して、ファイルの初回/最終閲覧日時を特定する
  • レジストリキーのシェルバッグ(Shellbag)を解析して、いつフォルダにアクセスしたのか特定する
  • ジャンプリスト(Jumplist)を解析して、特定のプログラムでどのファイルにいつアクセスしたかを特定する
  • Bitlocker-To-Goによって暗号化されているUSBデバイスをアンロックする

トピック

Shell Item Forensics
  • リンク・ショートカット:ファイル開封の証跡
  • Windows7/Windows10ジャンプリスト:ファイル開封とプログラム実行の証跡
  • Shellバグ分析 フォルダアクセスの証跡
USBとBYOD端末のフォレンジック
  • 製造元/モデル/バージョン
  • シリアル番号
  • ラストドライブレター
  • マウントポイント2 ユーザ毎のラストドライブ(共有含む)
  • ボリューム名とシリアル番号
  • USB機器を使用したユーザー名
  • 最初にUSB機器を接続した時刻
  • 最後にUSB機器を接続した時刻
  • 最後にUSB機器を取り外した時刻
  • 大規模なBYOD機器の監査
  • Bitlocker -可搬可能なUSB機器の暗号化

コアWindowsフォレンジックパート3:
メール、その他重要なアーティファクト、イベントログ

調査や何らかの証明事案によっては、メールを分析して証拠を抽出することが重要になる場合があります。メールを復元することで、調査で見つかった情報を綺麗につなぎ合わせることが可能となります。また、内部不正の証拠として非常に有力なものとなるのが多いのも特徴です。メールはユーザーが利用するワークステーションのローカル、メールサーバー、プライベートクラウド、複数のウェブメールに保存されています。

Windowsプリフェッチやappcompatcacheのデータなどの追加のアーティファクトは、実行されたことを証明するために最も重要なものです。また、最新のデジタルアーティファクトの1つであるSRUM(System Resource Usage Monitor)は、カウンターフォレンジックプログラムが行われた後においても重要なユーザアクションを特定するのに役立ちます。

4日目の最後は、Windowsログ分析を行います。その他の分析と比べて、より多くのことが分かるのが理解できるでしょう。ログのありかと内容を理解することは、あらゆる調査において非常に有用です。多くの場合、Windowsログをざっと確認します。なぜなら確認すること自体は、ツールや特有の知識が必要ないからです。今まで長い年月を掛けて培われてきた不可欠な知識とスキルを身に付けていきます。

演習

  • 大量のデータから調査対象のメールと添付ファイルを探し出すための、フォレンジックツールの最善の組み合わせ方法を学習する
  • メッセージヘッダーとメールの信頼性をSPFとDKIMを用いて分析する
  • 拡張MAPIヘッダーをどのように調査で活用するかを学ぶ
  • ExchangeやOffice365から効率よく証拠を収集する
  • 最新のOffice365統合監査ログを学ぶ
  • ウェブメールやモバイルメールの残骸を探索する
  • メールのフィルタリング、重複除外、メッセージの類似性といった主要概念を理解する
  • フォレンジックツールを使って、メールアーカイブから削除されたオブジェクトを復元する
  • 代表的なメールフォレンジックツール、eディスカバリツールの経験値を上げる
  • データの可視化、タイムライン解析を行う
  • メールアーカイブにあるドキュメントメタデータを解析する
  • 複数バージョンのリサイクルビン(Recycle Bin)を解析する
  • Windowsプリフェッチファイルを解析し、アプリケーションの実行時刻を特定する
  • SRUM(System Resource Usage Monitor)を利用しWindowsフォレンジックでは今まで回答されなかった質問に対応する
  • イベントログをマージして、高度なフィルタリングを行う
  • アカウントの使用履歴をプロファイリングし、ログオンセッション期間を特定する
  • 監査ファイルおよびフォルダへのアクセス
  • 時刻改ざんの証拠を見つける
  • その他のレジストリ分析 BYODデバイスの監査
  • 無線ネットワーク関連の履歴を分析し、デバイスの物理的位置を特定する

トピック

メールフォレンジック
  • 通信内容の証拠
  • 電子メールの仕組み
  • メールヘッダーの検証
  • メールの信頼性
  • 送信者位置情報の特定
  • 拡張MAPIヘッダ
  • ホストベースメールフォレンジック
  • Exchangeにおけるリカバリー可能なアイテム
  • Exchangeにおける証拠取得とメールのエクスポート
  • Exchangeのコンプライアンス検索とeDiscovery
  • Office 365の統一監査ログ
  • Google G Suite ロギング
  • 削除済みメールのリカバリ
  • Webおよびクラウドベースのメール
  • Webメール 情報取得
  • Eメールの検索と検査
  • モバイルメールの残骸
  • ビジネスEメールの情報流出
Windows OSアーティファクトのフォレンジック
  • Windowsサーチインデックスフォレンジック
  • ESEデータベースのリカバリと改修
  • Thumbs.sbとThumbscacheファイル
  • Windowsプリフェッチ分析(XP、Windows 7~Windows 10)
  • Windows Recycle Bin分析(XP、Windows 7~Windows 10)
  • Windows 10タイムラインデータベース
  • System Resource Usage Monitor(SRUM)
    • 接続ネットワーク、その期間と帯域の使い方
    • アプリケーションの実行とアプリケーション毎のデータの送受信
    • アプリケーションプッシュ通知
    • 電源の使用方法
Windowsイベントログ分析
  • フォレンジック官に影響するエベントログ
  • EVTXとECTログファイル
    • RDP、ブルートパスワード攻撃などのアカウント(不良なものを含む)使用状況のトラック
    • ファイルとフォルダアクセスの監査と分析
    • システムタイムの操作の証明
    • BYOD端末と外部デバイスのトラック
    • Microsoft Officeのアラートロギング
    • イベントログからのデバイス位置情報の割出し

コアWindowsフォレンジックパート4:
Webブラウザーフォレンジック(Firefox、Internet Explorer、Chrome)

現在はWebの使用頻度が増しており、Webベースのアプリケーションやクラウドコンピューティングにシフトしつつあります。このような現状において、ブラウザーフォレンジックのスキルは不可欠なものになっています。5日目は、Internet Explorer、Firefox、Google Chrome、Edgeで残される証拠を総合的に見ていきます。合わせて、Webブラウザーの証拠を調査する上で必要になる、SQLiteやESEといったデータベースのパーシング方法も学習していきます。また、クッキー、閲覧履歴、ダウンロード履歴、インターネットキャッシュファイル、ブラウザー拡張、フォームデータといった主要なアーティファクトの調査方法も学びます。これらのファイルをどうやって見つけるかをデモンストレーションし、アーティファクトを解釈する上で犯しがちなミスについて解説します。その他に、セッションリストア情報、トラッキングクッキー、プライベートブラウジングで残るアーティファクトなどについても解説を加えていきます。

本章を通じて実際に手を動かして解析することで、Chrome、Firefox、Edge、Internet Explorer、Torにより作られた証拠を調査するスキルが身に付くでしょう。

演習

  • ブラウザー履歴とキャッシュファイルにより被疑者の行動を追跡し、ローカル上で開いたファイルを特定する
  • Extensible Storage Engine(ESE)データベースに含まれるアーティファクトを解析する
  • 被疑者がダウンロードしたファイルが何かを調査する
  • 被疑者が入力したURL、クリックしたURL、ブックマークしたURL、ブラウジング中にポップアップしただけのURLを特定する
  • 以前のブラウザーセッションを復元するのに使用されるクラッシュリカバリファイルをパーシングする
  • Google Analyticsのクッキーを活用して、ユーザーの行動をプロファイリングする
  • FirefoxとChromeで利用されているSQLiteデータベースを手動でパーシングする方法を学ぶ
  • アンチフォレンジックを検出し、プライベートブラウジングセッションを見つける
  • オートコンプリートデータを解析する

トピック

ブラウザフォレンジック
  • 歴史
  • キャッシュ
  • 検索
  • ダウンロード
  • ブラウザタイムスタンプの理解
  • Internet Explorer
    • IEフォレンジックにおけるファイルの場所
    • ファイルの履歴:Index.datとWebCache.dat
    • キャッシュリカバリとタイムスタンプ
    • Microsoft ユニバーサルアプリケーションアーティファクト
    • ダウンロード履歴
    • Windows Vaultにおける認証情報の保管場所
    • IE タブリカバリ分析
    • タブ、履歴、お気に入り、パスワードを含むクロスデバイスの同期
  • Edge
    • 歴史、キャッシュ、Cookies、ダウンロード履歴、セッションリカバリ
    • Spartan.ebd
    • リーディングリスト、WebNotes、トップサイト、SweptTabs
  • Firefox
    • Firefoxアーティファクト
    • MorkフォーマットとSQLite ファイル Firefox Quantumアップデート
    • ダウンロード履歴
    • Firefox Cache2検証
    • 訪問タイプデータの詳細
    • Form履歴
    • セッションリカバリ
    • Firefox拡張
    • FirefoxのCrossデバイスSync
  • Chrome
    • Chromeファイルの場所
    • 履歴内容におけるURLと訪問テーブルの相関関係
    • 履歴とページ遷移種別
    • Chrome設定ファイル
    • Webデータ、ショートカット、ネットワークアクションプリディクターデータベース
    • Chromeタイムスタンプ
    • Chace検証
    • ダウンロード履歴
    • Chromeセッションリカバリ
    • Chromeプロファイル機能
    • クロスデバイス同期の特定
  • プライベートブラウジングとブラウザアーティファクトリカバリ
    • IEとEdgeのInPrivateブラウジング
    • ChromeとFirefoxのPrivateブラウジング
    • Torブラウザの調査
    • 選択、削除されたデータベースの特定
  • SQLiteとESEデータベース、 ブラウザアーティファクトのカービング検証
    • DOMとWebストレージオブジェクト
    • Google AnalyticsとUniversal Cookies
    • キャッシュされたWebページのリビルト
    • ブラウザの祖先
  • 使用するツール
    • Nirsoft Tools
    • SQLite Parsers
    • ESE DatabaseView
    • Hindsight

Windowsフォレンジックチャレンジ

フォレンジックスキルの向上は、実践が最も効果的です。1週間を通じて見に付けたスキルと知識をフル活用して、フォレンジックチャレンジに挑んでください。午前中に、一緒に作業をするチーム分けをします。配布された証拠を分析し、事件全体の流れを順に行っていきます。法廷で耐えうる形式で適切に証拠を保全し、分析し、報告を行います。コンピューターの利用履歴をプロファイリングし、法廷において提出するであろう重要な証拠をかき集めます。

この複雑なフォレンジックチャレンジは、Windows OSの最新バージョンの1つを利用し行います。使用する証拠はリアルです。今日のトレーニングにおいて、もっとも現実に近いものといえると思います。この事件を解明するためには、いままで学習してきたすべてのスキルと知識をフル活用する必要があります。

そして、最後に模擬裁判を行い、収集した証拠についてプレゼンテーションをして貰います。もっとも優れたプレゼンテーションと簡潔なライトアップ(Write-up)を行ったチームが、このチャレンジ…事件の勝者です!

演習

  • Windows 10フォレンジックチャレンジ
  • スキルを磨くための二つの本格的なお持ち帰り用エクササイズ

トピック

デジタルフォレンジックケース
  • 分析
    • 新しい証拠類から分析開始
    • 週を通して学んだ下記のエビデンス分析方法と決定的な証拠の発見
    • メモリ検証、レジストリ、チャット、ブラウザ、リカバリしたファイル、その他
  • 報告
    • 発見された証拠の上位3つに焦点を当てて提出し、それらが証明する事実について議論
    • 模擬裁判中に提出された証拠の1つの文書化
プレゼンテーション
  • それぞれのチームには以下の内容を依頼します。
    • エグゼクティブサマリ
    • 小プレゼン
    • 結論
  • 最も優れた論拠とプレゼンテーションを行ったチームは投票で選び表彰されます。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。