NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Windows Forensic Analysis
Digital Forensics and Incident Response
English2023年1月23日(月)~1月28日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
◆LiveOnline形式
オンライン
◆Onsite形式
御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/)
東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階
【年末年始特別価格※】1,180,000円(税込 1,298,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】1,280,000円(税込 : 1,408,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:以下の手順に従って設定されたPCを各自用意してください。
このコースに参加するには、適切に設定されたPCが必要です。以下の指示を注意深く確認し、ご用意いただかないと、このコースに不可欠な実践的な演習に参加することができません。したがって、コースに指定されたすべての要件を満たすシステムをご用意ください。
64bit版のWindows、Mac OSX、LinuxをホストOSとして利用することができます。ただし、VMware仮想ソフトウェアを正しくインストールして実行することができるOSを選択してください。このトレーニングで使用する仮想マシンの機能を適切に動作させるためには、8GB以上のRAMが必要になりますが、最適な環境を実現するには、16 GB の RAM を使用することを強くお勧めします。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用にフリーツールとしてダウンロードできます。こちらで利用になるノートPCの環境が、64bitのゲストOSを動作させることができるかどうか確認することができます。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation、VMware Fusion、VMware Workstation Playerの最新(若しくは1つ前まで)のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
注: M1 プロセッサを使用している Apple のシステムは、現時点では必要な仮想化を実行できないため、このコースでは使用できません。
オプションFOR500システムのハードウェア要件
本コースの1つの追加演習を行うためには、USBリムーバブルストレージデバイスが必要です。USB メディアのストレージサイズは、受講生のPCの RAM サイズよりも大きい必要があります。
で、VMware 仮想化製品(VMware Workstation、VMware fusion、またはVMware Player) をインストールおよび実行までを確認してください。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
守るものについて知らなければ、何も守ることはできない
(You can't protect what you don't know about)
Windowsフォレンジックをマスターする時がきました。
今日すべての組織において、襲いかかるサイバー犯罪への準備をする必要があります。詐欺、インサイダー、産業スパイ、内部不正、不正侵入に立ち向かうアナリストの必要性は今までは高くありませんでした。しかし近年、官公庁は、メディアエクスプロイテーションスペシャリスト(Windowsシステムから重要なインテリジェンスを復元・抽出できる人物)の養成を強く要望するようになりました。SANSはこの要望に応えるため、システムで何が起こったのかを秒単位で把握することができるように、これからもっとも優れたフォレンジックプロフェッショナル、インシデントレスポンダ―、メディアエクスプロイテーションマスターになる新しい幹部たちに対して世界中でトレーニングを実施しています。
FOR500: Windows Forensic Analysisは、Windows OSに対するより深いフォレンジックスキル構築に焦点をあてたコースです。「守るものについて知らなければ、何も守ることはできない」という考え方があります。フォレンジックで出来ることやアーティファクトについて理解することは、今やサイバーセキュリティの必須事項といえるでしょう。このコースで、Windowsシステムでのデータ復旧、分析、検証方法を学んでいきましょう。ネットワーク上のユーザーの行動を詳細に追跡する方法を学習し、インシデントレスポンス、内部不正調査、民事/刑事訴訟において、どう見つかった証拠を整理していけばよいか理解しましょう。あなたがこのコースで身に付ける新しいスキルを存分に活用し、セキュリティツールの検証、脆弱性検査の強化、インサイダーの摘発、ハッカーの追跡、セキュリティポリシーの向上に役立てましょう。Windowsは知らず知らずのうちに、想像を絶するほどの大量なデータを溜め込んでいます。FOR500は、この大量な鉱山ともいえるデータから証拠を発掘する方法を教えます。
正確な分析方法を学ぶには、受講生たちに実際のデータを調べて貰う必要があるでしょう。そのため、FOR500というコースを根本から作成しなおしました。演習を行うラボでは、最新のMicrosoft製品で見つかる証拠を分析して貰います(Windows 7、Windows 8/8.1、10、OfficeおよびOffice 365、クラウドストレージ、Sharepoint、Exchange、Outlook)。これによりトレーニングを終えた受講生たちは、コースで使用した最新のツール・手法を用いて、直面するであろう複雑なシステムであっても立ち向かうことができます。このコースでは、レガシーシステムであるWindows 7から最新のWindows 11アーティファクトの分析まで余すところなく学べます。
FOR500: Windows Forensic Analysisでは、次のことを教えます。
本コースは、最新の知的財産犯事例や産業スパイ事例を加味し、半年以上の歳月を掛けて作られました。現実世界に適合させるため、トレーニングで使用するデータは現実に近いものを含むべきだと考えました。私たちコース開発チームは、自身の経験とノウハウを存分に活かし、信じられないほど豊富かつ詳細なシナリオを作成しました。受講生たちは本当のフォレンジック調査をしているかのごとく集中できるでしょう。講義中のデモでは、実際の調査で遭遇する可能性の高い最新の技術を取り入れています。また配布するワークブックテキストでは利用すべきツールやそのテクニックが記載されています。提供されるツールはコース終了後も利用可能です。
本コースは分析に特化したコースであり、FOR500 は証拠品の取り扱い、"Chain of Custody" やドライブの入手方法などの基本的な内容は含まれていないことに注意してください。本コースの著者は、発見された最新のアーティファクトや技術に対応するために、FOR500を積極的に更新しています。このコースは、Microsoft Windowsオペレーティングシステムのフォレンジックと分析に興味のある方に最適です。過去3年以上、Windowsフォレンジック分析のスキルを更新していない方は、このコースが必要不可欠です。
本講座受講にあたっての前提
このコースを受講するための前提条件となるコースはありません。このコースで学ぶ成果物やツールにとらわれない技術は、Windowsオペレーティングシステムに関わるあらゆるサイバー事件や犯罪の分析を成功に導きます。
メディアエクスプロイテーションアナリスト。タクティカルエクスプロイテーションとドキュメント&メディアエクスプロイテーション(DOMEX)を習得する必要がある方。
GIAC Certified Forensic Examiner(GCFE)は、Windowsコンピュータ・システムからデータを収集・分析するために必要なコア・スキルを中心とした、コンピュータ・フォレンジック分析に関する実務者の知識を検証する資格です。GCFE認定資格者は、e-Discovery、フォレンジック分析とレポート作成、証拠収集、ブラウザフォレンジック、Windowsシステム上でのユーザーやアプリケーションの活動の追跡など、典型的なインシデント調査を行うための知識、スキル、能力を有しています。
Windowsフォレンジックとデータトリアージ
Windowsレジストリフォレンジック、USBデバイス、シェルアイテム、電子メールフォレンジックとログ分析
高度なWebブラウザフォレンジック(Chrome、Edge、Firefox、Internet Explorer)
"警察・保安官での30年の経験から、優れたデジタル・フォレンジック・アナリストとは何かと考えると、すぐに3つの能力がリストのトップに浮かび上がってきます。優れた技術力、健全な捜査方法、障害を克服する能力。SANS FOR500 Windows Forensic Analysisは、これらの重要なスキルを学生に教えるように設計されています。単一のツールを教えることに焦点を当てた他の多くのトレーニングコースとは異なり、FOR500は多くのツールのトレーニングを提供します。優れたツールもありますが、すべてのフォレンジックアナリストは、それぞれのタスクに最適なツールを選択できるようにするために、様々なツールを用意しておく必要があると私たちは考えています。しかし、フォレンジックアナリストは、使用するツールが優れているからではなく、それぞれの分析に適切な調査方法を巧みに適用しているからだということも理解しています。例えば大工は、すべての道具の使い方をマスターできたとしても、家を建てる方法を知っているとは限りません。FOR500では、受講生がデジタル・フォレンジックの方法論を様々なケースタイプや状況に適用することや、現実の世界で最高の結果を得るために正しい方法論を適用することが学べます。最終的に、このコースでは、真に成功したフォレンジックアナリストになるために必要な問題解決能力を教え、実演します。フォレンジックアナリストとしてのキャリアをスタートさせた直後から、フォレンジック分析にはそれぞれ独自の課題があることを学ぶことができます。以前の調査では完璧に機能した技術が、次の調査では機能しない場合があります。優れたフォレンジックアナリストは、高度なトラブルシューティングと問題解決を通して障害物を克服することができなければなりません。FOR500は、将来の問題を解決し、障害物を克服し、優れたフォレンジックアナリストになるための基礎を受講生に提供します。フォレンジックコミュニティに初めて参加する人も、フォレンジックを何年もやっている人も、FOR500は必修のコースです。" - Ovie Carroll
"以前の受講生たちは、毎晩のニュースサイクルの一部であった非常に現実的な状況で、どのようにデジタルフォレンジックのスキルを使えるかについて、定期的に私に連絡してきました。このクラスで学んだスキルは、悪を直接的に止めるために使われます。SANS FOR500 Windows Forensic Analysisの卒業生は、正確なデジタルフォレンジック、インシデントレスポンス、メディアエクスプロイテーション分析が必要なときに活躍する最前線の部隊です。テロリストのノートPCの分析、データ侵害、インサイダー関連の知的財産の盗難や詐欺の調査から、SANSのデジタルフォレンジックの卒業生は犯罪やテロとの戦いに立ち向かい、勝利を収めています。卒業生は分析を行い、適切に調査を行う方法を学んでいるため、いくつかの困難な事件を解決することに貢献しているこのコースでは、犯罪者や外国からの攻撃を阻止するレスポンダーにとって正しい方法論と知識を身につけることができ、とても安心しています。卒業生は日常的にそのような活動をしています。SANS FOR500コースが、犯罪と戦い、解決するための準備に役立っていることを誇りに思います。" - Rob Lee
"デジタルフォレンジックは、今日より需要が高まったことはありません。毎年ゼッタバイトのデータが作成されており、フォレンジック検査官は、小麦と籾殻を分離するためにますます必要とされるようになっています。良くも悪くも、ほとんどすべての行動にデジタルアーティファクトが記録されており、コンピュータへの侵入を撃退し、知的財産権の窃盗を阻止し、悪党を刑務所に入れるために働く調査官のハードルが上がってきています。このコースは、私たちのキャリアの早い段階で活用できるようなフォレンジックのトレーニングとして作成しました。フォレンジックの最先端を維持することは困難を伴いますが、頻繁に更新されるこのコースは、あなたがフォレンジックを始める場合、またはあなたのフォレンジックの武器庫に新しいスキルを追加したい場合でも、活用可能な最新のトレーニングを提供できると確信しています。" - Chad Tilbury
"Ovieはこのコースの講師として素晴らしい存在です。彼の知識と情熱は私たちに学ぶ楽しさを教えてくれました。レッスンが終わった後でも、ケースの教材をもう一度見直して時間をかけて読み、翌朝の授業で彼が何を与えてくれるのかに期待していました。彼は、一日の始まりと終わりにポップクイズを行い、教えられていた「アーティファクト」を知識として結びつけてくれます。彼は、じっくり考えること、ストーリーを語ること、そして常に疑問にもつことを教えてくれました。" - Yao Guang Tan
このコースは、Windows7、8、8.1、10、およびServer 2008、2012、2016などの最新のテクニックを含むように更新されています
Windowsフォレンジックコースの1日目は、モバイル、タブレット、クラウドストレージ、最新のWindows OSなど今日の社内環境に接続しているさまざまなデバイスに関する課題を議論していきます。
ハードディスク容量やデジタルメディアのサイズは増加傾向にあり、フォレンジック現場で適切に処理することが困難かつ時間を要するようになってきています。今日では効率的かつ適切な方法でデータを取得することが重要となっております。本セクションでは重要なテクニックを確認しながら、データの取得効率を向上させる新しい手法および機能を紹介します。メモリイメージ、NTFS MFT、Windowsログ、レジストリ、重要なファイルを短時間で取得する方法をデモンストレーションします。
また、商用ツールとオープンソースツールの両方を使用して、ファイルカービングとストリームベースの証拠抽出方法を解説します。フォレンジック現場で問われる主要な質問に答えるため、特定のデータに絞って調査する方法を学習することで、ベテランの捜査官になるスキル・知識を養成します。
RAMの確保とVolatilityの順番
トリアージをベースにしたフォレンジックとファストフォレンジック
暗号化の検出
レジストリとロックされたファイルの抽出
KAPEトリアージコレクション
ここからはWindowsレジストリの話になります。デジタル・フォレンジックの調査員は、ほとんど全ての調査に関連するユーザーとシステムの重要な情報を発見する方法を学びます。どのようにレジストリからユーザープロファイルに関する情報、システム情報を抽出して分析するかを学んでいきます。調査対象のユーザーが行ったキーワード検索、実行したプログラム、開いたり保存したりしたファイル、閲覧したフォルダ、使用した外部記憶媒体をどう証明するか、その方法を学びます。
情報は急速にクラウドに移行しており、現代の企業にとって大きな課題とリスクとなっています。クラウド・ストレージ・アプリケーションは、一般消費者向けシステムや企業向けシステムの両方でほぼユビキタスなものとなっており、セキュリティとフォレンジックに関する興味深い課題を引き起こしています。 最も重要な情報の一部がサードパーティのシステムにしか存在しない世界では、どのようにして効果的に調査を行うことができるでしょうか?このセクションでは、OneDrive、OneDrive for Business、Google Drive、Google Workspace(G Suite)、Dropbox、および Box アプリケーションを分析し、アプリケーション ログに存在し、エンドポイントに残されたアーティファクトを導き出します。詳細なユーザーアクティビティ、削除されたファイルの履歴、クラウドコンテンツの発見などが可能です。また、フォレンジック情報収集という非常に現実的な課題に対するソリューションについても議論されています。これらの一般的なアプリケーションを分析することで何が得られるかを理解することで、あまり一般的ではないクラウドストレージソリューションに遭遇した際の調査が容易になります。
このセクションでは、実際のハンズオンケースで自分のスキルを駆使しながら、証拠を探り、分析します。
ユーザ操作に関するレジストリキーを解析して、開いたファイルやフォルダを特定する。
ワイヤレス、有線、VPN、ブロードバンドネットワークの監査
ネットワークプロファイリングによるデバイスのジオロケーション
ファイルを最初に閲覧した日時、最後に閲覧した日時を特定するスキルは、分析スキルにおいて最も重要です。SHELL ITEMSの調査を通じて、ショートカット(LNKファイル)、ジャンプリスト、シェルバッグデータベースを調べれば、簡単にいつ、どんなファイルを開いたのかピンポイントで特定することが可能です。SHELL ITEMSを調べることで得られる知識は、内部またはハッカーが知的財産を盗難するといったユーザアクティビティをトラッキングするために重要です。
外部記憶媒体の調査方法は、フォレンジックの主要トピックになることが多いものです。本セクションでは最新のWindowsにおけるUSBデバイスの詳細調査方法を解説します。外部記憶媒体が最初および最後に接続された日時やベンダー/メーカー/モデル、ドライブ容量、デバイス固有のシリアル番号まで特定する方法を学習していきます。
ドライブ容量
悪意のあるUSBデバイスの特定
調査や何らかの証明事案によっては、メールを分析して証拠を抽出することが重要になる場合があります。メールを復元することで得られた情報は、非常に有力な証拠となることも少なくありません。メールはワークステーションや会社のメールサーバー、モバイルデバイスなど、複数のクラウドやメールアカウントに存在することが一般的であるため、メールの発見と収集は課題の一つとなります。
Windows Search Indexはファイルの内容や電子メール、ファイルごとの600種類以上のメタデータを含む、最大100万項目のインデックスを作成できます。これはフォレンジックにおいて重要なデータですが、あまり活用されていません。Windows10/11のTimeline Databaseはユーザの詳細な活動(アプリケーション実行アーティファクト、ファイル使用量の特定プログラムとユーザへのマッピング、同期されたアーティファクトによる追加デバイスの識別)を記録する上で大きな可能性を持っています。同様にSystem Resource Usage Monitor(SRUM)は、アプリケーションごとのネットワーク使用状況、VPNや無線ネットワークの使用状況など、多くの重要なユーザ活動を判断するのに役立ちます。フォレンジック対策プログラムの実行後でも、クラウドストレージやバックドアによるネットワーク利用を監査出来ることを想像してみてください。
最後に、Windowsのイベントログ解析は、おそらく他のどのタイプの解析よりも多くのケースを解決してきました。Windows 11には現在340以上のログが含まれており、利用可能なログファイルの場所と内容を理解することは、調査員の成功には不可欠です。多くの調査員がこれらの記録を見落としているのは、仕事を効率的に進めるための十分な知識やツールを持っていないためです。このセクションでは、調査員が長年にわたってこの重要なスキルを維持し、構築するための基本的な知識と能力を身につけます。
フォレンジックソフトウェアを使った、メールアーカイブの削除されたオブジェクトの回復
代表的なメールフォレンジックツール、eディスカバリツールの経験値を上げる
ビジネスメール詐欺に対して適切に対応するためのツールやログを理解する
様々なバージョンのリサイクルビン(Recycle Bin)を解析する
Windows Search Indexerおよび拡張メタデータの解析
BYODデバイス監査によるレジストリ分析の補完
Thumbcacheの解析
Windowsアクティビティデータベース
現在はWebの使用頻度が増しており、Webベースのアプリケーションやクラウドコンピューティングにシフトしつつあります。このような現状において、ブラウザーフォレンジックのスキルは不可欠なものになっています。5日目は、Internet Explorer、Firefox、Google Chrome、Edgeで残される証拠を総合的に見ていきます。合わせて、Webブラウザーの証拠を調査する上で必要になる、SQLiteやESEといったデータベースのパーシング方法も学習していきます。また、クッキー、閲覧履歴、ダウンロード履歴、インターネットキャッシュファイル、ブラウザー拡張、フォームデータといった主要なアーティファクトの調査方法も学びます。これらのファイルをどうやって見つけるかをデモンストレーションし、アーティファクトを解釈する上で犯しがちなミスについて解説します。その他に、セッションリストア、HTML5ウェブストレージ、ズームレベル、予測サイトプリフェッチ、プライベートブラウジングで残るアーティファクトを分析する方法についても解説します。最後に、調査対象者が使用している他のデバイスによるアーティファクトを提供する、ブラウザの同期かについて学習します。
本章を通じて実際に手を動かして解析することで、Chrome、Firefox、Edge、Internet Explorer、Torにより作られた証拠を調査するスキルが身に付くでしょう。
Webブラウジング中に被疑者が入力、クリック、ブックマーク、単にリダイレクトされたURLを特定する
Microsoft Edgeコレクション
EdgeのInternet Explorerモード
ChromeとEdgeの拡張機能
Edge アーティファクトの同期と複数プロファイルのトラッキング
Edge HTMLとSpartan.edbデータベース
WebCache.dat履歴ファイル
SQLiteファイルとFirefox Quantumアップデート
本コースで学んだ知識とスキルを活用する実践的な課題を通すことで、フォレンジックに対する心構えを養うことが出来ます。個人またはチーム単位で、配布された証拠を分析し、事件全体の流れを順に行っていきます。コンピュータの利用状況を迅速にプロファイリングし、捜査上の疑問を明らかにする重要な情報を収集するために、フォレンジック技術を活用します。
この複雑なフォレンジックチャレンジは、Windows OSの最新バージョンの1つを利用し行います。使用する証拠はリアルです。今日のトレーニングにおいて、もっとも現実に近いものといえると思います。この事件を解明するためには、いままで学習してきたすべてのスキルと知識をフル活用する必要があります。
そして、最後に模擬裁判を行い、収集した証拠についてプレゼンテーションをして貰います。もっとも優れたプレゼンテーションと簡潔なライトアップ(Write-up)を行ったチームが、このチャレンジ…事件の勝者です!
新しい証拠類の選別と分析
メモリ検証、レジストリ、チャット、ブラウザ、リカバリしたファイル、同期されたアーティファクト、インストールされたマルウェア、その他
テクニカルな事例の紹介