ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 500

Windows Forensic Analysis

Digital Forensics and Incident Response

English
日程

2024年1月22日(月)~1月27日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCFE
講師
Phill Moore|フィル ムーアー
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

【早割価格】1,220,000 円(税込み:1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】1,350,000 円(税込み:1,485,000 円)

申込締切日
【早割価格】2023年12月27日(水)
【通常価格】2024年1月12日(金)
オプション
  • GIAC試験 価格:160,000 円(税込 176,000 円)
  • OnDemand 価格:160,000 円(税込 176,000 円)
  • NetWars Continuous 価格:270,000 円(税込 297,000 円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR500 PC設定詳細

重要:以下の手順に従って設定されたPCを各自用意してください。

このコースに参加するには、適切に設定されたPCが必要です。以下の指示を注意深く確認し、ご用意いただかないと、このコースに不可欠な実践的な演習に参加することができません。したがって、コースに指定されたすべての要件を満たすシステムをご用意ください。

授業の前にシステムをバックアップしてください。機密データや重要なデータがないシステムを使用してください。SANSは、あなたのシステムやデータに対して責任を負いません。

ノートパソコンのハードウェア要件

  • CPU64ビット Intel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、x64ビット、2.0GHz以上のプロセッサーが必須です。
  • 重要: M1/M2プロセッサーを使用したApple社製システムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。
  • 「Intel-VTx」または「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定を行う必要があります。BIOSがパスワードで保護されている場合は、変更が必要な場合に備えて、BIOSにアクセスできることを絶対に確認してください。
  • 16GB以上のRAMが必要です。
  • 300GB以上のストレージの空き容量が必要です。
  • USB 3.0 Type-Aポートが1つ以上必要です。新しいノートパソコンでは、Type-C to Type-Aアダプターが必要な場合があります。エンドポイントプロテクションソフトウェアによっては、USBデバイスの使用ができないものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室内には有線インターネット接続はありません。

オプションFOR500システムのハードウェア要件

本コースの1つの追加演習を行うためには、USBリムーバブルストレージデバイスが必要です。USB メディアのストレージサイズは、受講生のPCRAM サイズよりも大きい必要があります。

FOR500のホスト構成とソフトウェアの必須要件

  • ホストOSは、Windows 10Windows 11、またはmacOS 10.15.x以降の最新版である必要があります。
  • 授業前にホストOSを完全にアップデートし、正しいドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、多くのバリエーションがあるため、教室ではサポートされていません。Linuxをホストとして使用する場合、教材やVMと連動するように設定することは、各自の責任で行ってください。
  • ローカルアドミニストレーターアクセスが必要です。(はい、これは絶対に必要です。IT チームにそうでないと言われないようにしてください)。もし、あなたの会社がコース期間中、このアクセスを許可しない場合は、別のノートパソコンを持参するよう手配する必要があります。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっているか、完全に削除されているか、またはそのための管理者権限を持っていることを確認してください。当社のコースの多くは、オペレーティングシステムへの完全な管理者権限を必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • 退出トラフィックのフィルタリングは、コースのラボを達成するのを妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持っている必要があります。
  • Microsoft Office(バージョン問わず)またはOpenOfficeがホストにインストールされていること。なお、Officeの試用版ソフトはオンラインでダウンロードできます(30日間無料)。
  • VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+Windows 10ホスト用)、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+Windows 11ホスト用)、VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+ macOSホスト用) をクラス開始前にダウンロードおよびインストール。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトからトライアルに登録すると、期間限定のシリアルナンバーが送られてきます。また、VMware Workstation Playerは、VMware Workstation Proよりも機能が少ないことに注意してください。Windowsのホストシステムを使用している場合は、よりシームレスな学生体験のために、Workstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。最良の体験を得るためには、VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ文書に記載されています。
  • 7-ZipWindowsホスト用)またはKekamacOSホスト用)をダウンロードし、インストールします。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースのメディアはダウンロードで提供されます。授業で使用するメディアファイルは容量が大きい場合があります。4050GBのものが多く、中には100GBを超えるものもあります。ダウンロードが完了するまでに、十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の目安をお伝えすることはできません。コースメディを開始してください

コース教材には「セットアップ手順」が含まれており、ライブ・クラス・イベントへの参加やオンライン・クラスの開始前に行うべき重要な手順が詳しく説明されています。この手順を完了するには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を表示させておくのに便利です。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

FOR500 コース概要

守るものについて知らなければ、何も守ることはできない
 (You can't protect what you don't know about)

Windowsフォレンジックをマスターする時がきました。

今日すべての組織において、襲いかかるサイバー犯罪への準備をする必要があります。詐欺、インサイダー、産業スパイ、内部不正、不正侵入に立ち向かうアナリストの必要性は今までは高くありませんでした。しかし近年、官公庁は、メディアエクスプロイテーションスペシャリスト(Windowsシステムから重要なインテリジェンスを復元・抽出できる人物)の養成を強く要望するようになりました。SANSはこの要望に応えるため、システムで何が起こったのかを秒単位で把握することができるように、これからもっとも優れたフォレンジックプロフェッショナル、インシデントレスポンダ―、メディアエクスプロイテーションマスターになる新しい幹部たちに対して世界中でトレーニングを実施しています。

FOR500: Windows Forensic Analysisは、Windows OSに対するより深いフォレンジックスキル構築に焦点をあてたコースです。「守るものについて知らなければ、何も守ることはできない」という考え方があります。フォレンジックで出来ることやアーティファクトについて理解することは、今やサイバーセキュリティの必須事項といえるでしょう。このコースで、Windowsシステムでのデータ復旧、分析、検証方法を学んでいきましょう。ネットワーク上のユーザーの行動を詳細に追跡する方法を学習し、インシデントレスポンス、内部不正調査、民事/刑事訴訟において、どう見つかった証拠を整理していけばよいか理解しましょう。あなたがこのコースで身に付ける新しいスキルを存分に活用し、セキュリティツールの検証、脆弱性検査の強化、インサイダーの摘発、ハッカーの追跡、セキュリティポリシーの向上に役立てましょう。Windowsは知らず知らずのうちに、想像を絶するほどの大量なデータを溜め込んでいます。FOR500は、この大量な鉱山ともいえるデータから証拠を発掘する方法を教えます。

正確な分析方法を学ぶには、受講生たちに実際のデータを調べて貰う必要があるでしょう。この継続的に更新されるコースは、Microsoft Windowsバージョン1011OfficeMicrosoft 365Google WorkspaceG Suite)、クラウドストレージプロバイダ、Microsoft TeamsSharePointExchangeOutlookなどの最新テクノロジーで見つかった証拠を取り入れた一連の実習を通してデジタルフォレンジック分析者を養成します。これによりトレーニングを終えた受講生たちは、コースで使用した最新のツール・手法を用いて、直面するであろう複雑なシステムであっても立ち向かうことができます。このコースでは、レガシーシステムであるWindows 7から最新のWindows 11アーティファクトの分析まで余すところなく学べます。

FOR500: Windows Forensic Analysisでは、次のことを教えます。

  • Windows OSに関するより深いフォレンジック手法、メディアエクスプロイテーション(Windows 7、Windows 8/8.1、Windows10、Windows 11、Windows Server 製品)
  • アプリケーションがいつ実行したか、ファイルにいつアクセスしたか、データが盗まれたのか、外部記憶媒体は使用されたのか、クラウドサービスが使用されたのか、物理的な地理はどこか、ファイルがダウンロードされたのはいつか、アンチフォレンジックの痕跡はあるか、その他システムの使用に関する詳細な履歴、といった重要な質問に答えるために必要なアーティファクト・証拠の場所や分析方法
  • 特定ツールの利用方法を教えるのではなく、フォレンジック分析能力向上に焦点をあてる
  • さまざまなフリーツール、オープンソースツール、商用ツールをSANS Windows SIFT Workstation上で利用して、フォレンジック機能を内製化し重要な問いの答えを導き出す方法

本コースは、最新の知的財産犯事例や産業スパイ事例を加味し、半年以上の歳月を掛けて作られました。現実世界に適合させるため、トレーニングで使用するデータは現実に近いものを含むべきだと考えました。私たちコース開発チームは、自身の経験とノウハウを存分に活かし、信じられないほど豊富かつ詳細なシナリオを作成しました。受講生たちは本当のフォレンジック調査をしているかのごとく集中できるでしょう。講義中のデモでは、実際の調査で遭遇する可能性の高い最新の技術を取り入れています。また配布するワークブックテキストでは利用すべきツールやそのテクニックが記載されています。提供されるツールはコース終了後も利用可能です。

本コースは分析に特化したコースであり、FOR500 は証拠品の取り扱い、"Chain of Custody" やドライブの入手方法などの基本的な内容は含まれていないことに注意してください。本コースの著者は、発見された最新のアーティファクトや技術に対応するために、FOR500を積極的に更新しています。このコースは、Microsoft Windowsオペレーティングシステムのフォレンジックと分析に興味のある方に最適です。過去3年以上、Windowsフォレンジック分析のスキルを更新していない方は、このコースが必要不可欠です。

本講座受講にあたっての前提

このコースを受講するための前提条件となるコースはありません。このコースで学ぶ成果物やツールにとらわれない技術は、Windowsオペレーティングシステムに関わるあらゆるサイバー事件や犯罪の分析を成功に導きます。

受講対象者

  • サイバーセキュリティプロフェッショナル。Windowsフォレンジック調査について詳細に内容を理解したい方
  • インシデントレスポンスチームメンバー。Windowsに対するデータ侵害や侵入といったインシデントに立ち向かうため、より深いフォレンジックスキルを必要としている方
  • 法執行機関職員、政府職員、調査員。Windowsフォレンジックに関して精通する必要性が出てきた方
  • メディアエクスプロイテーションアナリスト。タクティカルエクスプロイテーションとドキュメント&メディアエクスプロイテーション(DOMEX)を習得する必要がある方。

  • Windowsフォレンジックに関して理解を深めたい方。前提知識として、情報システム、サイバーセキュリティ、コンピューターに関して知識・スキルが必要です。

※FOR500は、GIAC(GCFE)認定試験対象コースです。

GIAC Certified Forensic Examiner(GCFE)は、Windowsコンピュータ・システムからデータを収集・分析するために必要なコア・スキルを中心とした、コンピュータ・フォレンジック分析に関する実務者の知識を検証する資格です。GCFE認定資格者は、e-Discovery、フォレンジック分析とレポート作成、証拠収集、ブラウザフォレンジック、Windowsシステム上でのユーザーやアプリケーションの活動の追跡など、典型的なインシデント調査を行うための知識、スキル、能力を有しています。

Windowsフォレンジックとデータトリアージ

Windowsレジストリフォレンジック、USBデバイス、シェルアイテム、電子メールフォレンジックとログ分析

高度なWebブラウザフォレンジック(ChromeEdgeFirefoxInternet Explorer)

コース開発者より

"警察・保安官での30年の経験から、優れたデジタル・フォレンジック・アナリストとは何かと考えると、すぐに3つの能力がリストのトップに浮かび上がってきます。優れた技術力、健全な捜査方法、障害を克服する能力。SANS FOR500 Windows Forensic  Analysisは、これらの重要なスキルを学生に教えるように設計されています。単一のツールを教えることに焦点を当てた他の多くのトレーニングコースとは異なり、FOR500は多くのツールのトレーニングを提供します。優れたツールもありますが、すべてのフォレンジックアナリストは、それぞれのタスクに最適なツールを選択できるようにするために、様々なツールを用意しておく必要があると私たちは考えています。しかし、フォレンジックアナリストは、使用するツールが優れているからではなく、それぞれの分析に適切な調査方法を巧みに適用しているからだということも理解しています。例えば大工は、すべての道具の使い方をマスターできたとしても、家を建てる方法を知っているとは限りません。FOR500では、受講生がデジタル・フォレンジックの方法論を様々なケースタイプや状況に適用することや、現実の世界で最高の結果を得るために正しい方法論を適用することが学べます。最終的に、このコースでは、真に成功したフォレンジックアナリストになるために必要な問題解決能力を教え、実演します。フォレンジックアナリストとしてのキャリアをスタートさせた直後から、フォレンジック分析にはそれぞれ独自の課題があることを学ぶことができます。以前の調査では完璧に機能した技術が、次の調査では機能しない場合があります。優れたフォレンジックアナリストは、高度なトラブルシューティングと問題解決を通して障害物を克服することができなければなりません。FOR500は、将来の問題を解決し、障害物を克服し、優れたフォレンジックアナリストになるための基礎を受講生に提供します。フォレンジックコミュニティに初めて参加する人も、フォレンジックを何年もやっている人も、FOR500は必修のコースです。" - Ovie Carroll

"以前の受講生たちは、毎晩のニュースサイクルの一部であった非常に現実的な状況で、どのようにデジタルフォレンジックのスキルを使えるかについて、定期的に私に連絡してきました。このクラスで学んだスキルは、悪を直接的に止めるために使われます。SANS FOR500 Windows Forensic  Analysisの卒業生は、正確なデジタルフォレンジック、インシデントレスポンス、メディアエクスプロイテーション分析が必要なときに活躍する最前線の部隊です。テロリストのノートPCの分析、データ侵害、インサイダー関連の知的財産の盗難や詐欺の調査から、SANSのデジタルフォレンジックの卒業生は犯罪やテロとの戦いに立ち向かい、勝利を収めています。卒業生は分析を行い、適切に調査を行う方法を学んでいるため、いくつかの困難な事件を解決することに貢献しているこのコースでは、犯罪者や外国からの攻撃を阻止するレスポンダーにとって正しい方法論と知識を身につけることができ、とても安心しています。卒業生は日常的にそのような活動をしています。SANS FOR500コースが、犯罪と戦い、解決するための準備に役立っていることを誇りに思います。" - Rob Lee

"デジタルフォレンジックは、今日より需要が高まったことはありません。毎年ゼッタバイトのデータが作成されており、フォレンジック検査官は、小麦と籾殻を分離するためにますます必要とされるようになっています。良くも悪くも、ほとんどすべての行動にデジタルアーティファクトが記録されており、コンピュータへの侵入を撃退し、知的財産権の窃盗を阻止し、悪党を刑務所に入れるために働く調査官のハードルが上がってきています。このコースは、私たちのキャリアの早い段階で活用できるようなフォレンジックのトレーニングとして作成しました。フォレンジックの最先端を維持することは困難を伴いますが、頻繁に更新されるこのコースは、あなたがフォレンジックを始める場合、またはあなたのフォレンジックの武器庫に新しいスキルを追加したい場合でも、活用可能な最新のトレーニングを提供できると確信しています。" - Chad Tilbury

"Ovieこのコースの講師として素晴らしい存在です。彼の知識と情熱は私たちに学ぶ楽しさを教えてくれました。レッスンが終わった後でも、ケースの教材をもう一度見直して時間をかけて読み翌朝の授業で彼が何を与えてくれるのかに期待していました。彼は、一日の始まりと終わりにポップクイズを行い、教えられていた「アーティファクト」を知識として結びつけてくれます。彼は、じっくり考えること、ストーリーを語ること、そして常に疑問にもつことを教えてくれました。" - Yao Guang Tan

講義内容の一例

  • Windows 7Windows 8/8.1Windows 10Windows 11Windows Server製品に焦点を当て、査読済みのテクニックを適用して詳細なWindowsフォレンジック分析を実行する。
  • 最先端のフォレンジックツールと分析方法を使用して、容疑者がWindowsシステム上で行ったほぼすべてのアクション(誰がどのようにアーティファクトをシステムに置いたか、プログラムの実行、ファイル/フォルダのオープン、ジオロケーション、ブラウザ履歴、プロファイルUSBデバイス使用、クラウドストレージ使用、その他)を詳細に解析します。
  • 迅速なフォレンジックにより、システムを迅速に評価し、トリアージすることで、迅速な回答を提供し、情報に基づいたビジネス上の意思決定を促進することができます。
  • レジストリやWindowsアーティファクトの解析により、特定のユーザーが最後にプログラムを実行した正確な時間を特定し、この情報が知的財産の盗難、ハッカーが侵入したシステム、従来の犯罪などのケースで意図を証明するためにどのように使用されるかを理解する。
  • ブラウザフォレンジック、ショートカットファイル解析(LNK)、電子メール解析、Windowsレジストリ解析を通じて、容疑者がファイルを開いた回数を特定する。
  • クラウドストレージの利用状況を監査し、詳細なユーザーアクティビティ、削除されたファイルの特定、データ流出の兆候、さらにはクラウドでのみ利用可能なファイルの詳細情報を明らかにする。
  • Windowsシステムで特定のユーザーが検索した項目を特定し、容疑者が見つけようとしたデータや情報をピンポイントで特定し、詳細な損害評価を行う。
  • Windows Shell Bag分析ツールを使用して、ユーザーまたは攻撃者がローカル、リムーバブル、およびネットワークドライブにアクセスする際に操作したすべてのフォルダとディレクトリを明確にします。
  • レジストリハイブやイベントログファイルなどのWindowsアーティファクトを解析することで、Windowsシステムに接続されたUSBデバイス、アクセスされたファイルやフォルダ、接続したユーザーを特定します。
  • イベントログ解析のテクニックを学び、リモートセッション、キーボード操作、スクリーンセーバーのロック解除など、ユーザーがいつ、どのようにWindowsシステムにログインしたかを特定する。
  • Windows Search Databaseを使用して、ローカルドライブ、リムーバブルメディア、Microsoft OutlookOneNoteSharePointOneDriveなどのアプリケーションから、ファイルのメタデータやファイルコンテンツまで、膨大なコレクションを発見します。
  • レジストリデータを使用して犯罪が行われた場所を特定し、接続されたネットワークと無線アクセスポイントを調査してシステムの地理的位置を特定する。
  • ブラウザフォレンジックツールを使用して、詳細なウェブブラウザ分析を行い、生のSQLiteおよびESEデータベースを解析し、プライバシークリーナーやインプライベートブラウジングソフトウェアが使用されていても、セッション回復アーチファクトを活用してウェブ活動を特定します。
  • Electronアプリケーションデータベースを解析し、ほとんどのチャットクライアントを含む数百のサードパーティアプリケーションを調査することができます。
  • 個人のシステム利用状況、通信相手、ダウンロード、変更、削除されたファイルなどを具体的に把握することができます。
  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

デジタルフォレンジックと高度なデータトリアージ

Windowsフォレンジックコースの1日目は、モバイル、タブレット、クラウドストレージ、最新のWindows OSなど今日の社内環境に接続しているさまざまなデバイスに関する課題を議論していきます。

ハードディスク容量やデジタルメディアのサイズは増加傾向にあり、フォレンジック現場で適切に処理することが困難かつ時間を要するようになってきています。今日では効率的かつ適切な方法でデータを取得することが重要となっております。本セクションでは重要なテクニックを確認しながら、データの取得効率を向上させる新しい手法および機能を紹介します。メモリイメージ、NTFS MFT、Windowsログ、レジストリ、重要なファイルを短時間で取得する方法をデモンストレーションします。

また、商用ツールとオープンソースツールの両方を使用して、ファイルカービングとストリームベースの証拠抽出方法を解説します。フォレンジック現場で問われる主要な質問に答えるため、特定のデータに絞って調査する方法を学習することで、ベテランの捜査官になるスキル・知識を養成します。

演習

  • Windows SIFT Workstationをインストールし、その機能を理解する。
  • トリアージを意識した高度なデータ保全とイメージ取得を行う
  • 保全したディスクイメージ、証拠のマウントを行う
  • 空き領域から重要なファイルを抜き出す
  • ページファイル、ハイバネーションファイル、メモリイメージ、未割り当て領域から重要なユーザーデータの復元
  • チャットセッション、ウェブベースの電子メール、ソーシャルネットワーキング、プライベートブラウジングの復元
  • NTFSマスターファイルテーブルから得られる豊富なメタデータ情報を解析する

トピック

  • Windows オペレーティングシステムコンポーネント
    • 最新のWindowsの違い
  • フォレンジックの原則
    • 分析対象
    • スコープの決定
    • 調査計画の作成
  • ライブレスポンスとトリアージ技術
    • RAMの確保とVolatilityの順番

    • トリアージをベースにしたフォレンジックとファストフォレンジック

    • 暗号化の検出

    • レジストリとロックされたファイルの抽出

    • ボリュームシャドウサービスの活用
    • KAPEトリアージコレクション

  • Windowsイメージのマウントと検証
  • NTFSファイルシステムの概要
  • ドキュメントとファイルのメタデータ
  • ボリュームシャドウコピー
  • ファイルカービングとストリームカービング
    • データカービングの原理
    • ファイルシステムメタデータの復旧
    • ファイルカービングとストリームカービングのツール
    • 独自カービングシグネチャ
  • メモリ、ページファイル、未割り当てスペースの分析
    • アーティファクトのリカバリと検証
    • チャットアプリケーションの解析
    • Internet ExplorerEdgeFirefoxChromeInPrivateブラウズの回復
    • YahooOutlook.comGmailなどの電子メールおよびウェブメール

レジストリ解析、アプリケーション実行、クラウドストレージ・フォレンジック

ここからはWindowsレジストリの話になります。デジタル・フォレンジックの調査員は、ほとんど全ての調査に関連するユーザーとシステムの重要な情報を発見する方法を学びます。どのようにレジストリからユーザープロファイルに関する情報、システム情報を抽出して分析するかを学んでいきます。調査対象のユーザーが行ったキーワード検索、実行したプログラム、開いたり保存したりしたファイル、閲覧したフォルダ、使用した外部記憶媒体をどう証明するか、その方法を学びます。

情報は急速にクラウドに移行しており、現代の企業にとって大きな課題とリスクとなっています。クラウド・ストレージ・アプリケーションは、一般消費者向けシステムや企業向けシステムの両方でほぼユビキタスなものとなっており、セキュリティとフォレンジックに関する興味深い課題を引き起こしています。 最も重要な情報の一部がサードパーティのシステムにしか存在しない世界では、どのようにして効果的に調査を行うことができるでしょうか?このセクションでは、OneDriveOneDrive for BusinessGoogle DriveGoogle Workspace(G Suite)、Dropbox、および Box アプリケーションを分析し、アプリケーション ログに存在し、エンドポイントに残されたアーティファクトを導き出します。詳細なユーザーアクティビティ、削除されたファイルの履歴、クラウドコンテンツの発見などが可能です。また、フォレンジック情報収集という非常に現実的な課題に対するソリューションについても議論されています。これらの一般的なアプリケーションを分析することで何が得られるかを理解することで、あまり一般的ではないクラウドストレージソリューションに遭遇した際の調査が容易になります。

このセクションでは、実際のハンズオンケースで自分のスキルを駆使しながら、証拠を探り、分析します。

演習

  • レジストリに含まれる証拠を解析して、コンピューターシステムをプロファイリングする
  • レジストリに含まれる証拠を解析して、ユーザーの行動をプロファイリングする
  • レジストリベースのUserAssist、Prefetch、Capability/AccessManager、FeatureUsage、Background Activity Monitorのデータなどを調査し、ユーザーがどのアプリケーションを実行したかを調べる
  • ユーザ操作に関するレジストリキーを解析して、開いたファイルやフォルダを特定する。

  • 最近開いたMicrosoft 365とSharePointのファイルを調べ、最初と最後に開いた時間を特定する

  • レジストリに含まれるopen/save keyを解析して、ユーザーが最近開いたフォルダを調べる
  • クラウドストレージのフォレンジック、ローカルファイルの情報の復元、クラウド専用ファイル、削除されたログのアイテム、アプリケーションのメタデータデータベース、ホストベースのアーティファクト

トピック

詳細レジストリフォレンジック

  • レジストリコア
    • ハイブ、キー、値
    • レジストリの最終書き込み時刻
    • MRUリスト
    • 削除されたレジストリキーのリカバリ
    • 汚染されたレジストリの特定と紛失したデータのリカバリ
    • 複数ハイブの検索とタイムライン化
  • ユーザーとグループのプロファイリング
    • ユーザー名とそこに紐づいたSIDを発見する
    • 最終ログイン
    • 最終失敗ログイン
    • ログイン回数
    • パスワードポリシー
    • ローカルユーザとドメインユーザのプロファイリング
  • 重要なシステム情報
    • 現コントロールセットの特定
    • システム名とそのバージョン
    • システムタイムゾーンの文書化
    • インストールされたアプリケーションの監査
    • ワイヤレス、有線、VPN、ブロードバンドネットワークの監査

    • ネットワークプロファイリングによるデバイスのジオロケーション

    • システムアップデートと最終シャットダウン時間の確認
    • レジストリベースの持続的マルウェア
    • 不正なアプリケーションによるWebカメラやマイクの使用を特定
  • ユーザのフォレンジックデータ
    • ファイルダウンロードの証拠
    • OfficeとOffice 365のファイル履歴分析
    • Windows 7、Windows 8/8.1、Windows 10/11 での検索履歴
    • 入力したパスとディレクトリ
    • 最近使ったドキュメント
    • 悪意のあるマクロが有効となっている文書の特定
    • 開く>保存・実行ダイアログボックスによる証拠
    • UserAssistPrefetchSystem Resource Usage MonitorSRUM)、FeatureUsageBAM/DAMによるアプリケーション実行履歴
    • UserAssist、プリフェッチ、Windows 10タイムライン、システムリソース使用状況モニター(SRUM)、FeatureUsage、BAM/DAMによるアプリケーション実行履歴
  • クラウドストレージフォレンジック
    • Microsoft OneDrive
    • オンデマンドのOneDrive ファイル
    • Microsoft OneDrive for Business
    • OneDrive の統合監査ログ
    • デスクトップ用Googleドライブ
    • Google Workspace (G Suite)ロギング
    • Google Protocol Buffersのデータ形式
    • Dropbox
    • Dropbox 復号化
    • Dropbox ロギング
    • Box ドライブ
    • 同期とタイムスタンプ
    • フォレンジック情報取得のチャレンジ
    • ユーザーアクティビティの列挙
    • SQLiteデータベース解析の自動化

シェル関連とリムーバブルデバイスのプロファイリング

ファイルを最初に閲覧した日時、最後に閲覧した日時を特定するスキルは、分析スキルにおいて最も重要です。SHELL ITEMSの調査を通じて、ショートカット(LNKファイル)、ジャンプリスト、シェルバッグデータベースを調べれば、簡単にいつ、どんなファイルを開いたのかピンポイントで特定することが可能です。SHELL ITEMSを調べることで得られる知識は、内部またはハッカーが知的財産を盗難するといったユーザアクティビティをトラッキングするために重要です。

外部記憶媒体の調査方法は、フォレンジックの主要トピックになることが多いものです。本セクションでは最新のWindowsにおけるUSBデバイスの詳細調査方法を解説します。外部記憶媒体が最初および最後に接続された日時やベンダー/メーカー/モデル、ドライブ容量、デバイス固有のシリアル番号まで特定する方法を学習していきます。

演習

  • マスストレージクラス(MSC)、ヒューマンインターフェースデバイス(HID)、メディア転送プロトコル(MTP)デバイスの違いについて理解する。
  • レジストリ、イベントログ、ファイルシステムのアーティファクトを使用して、システムに接続されたUSBデバイスとBYODデバイスを追跡する。
  • USBデバイスを接続した最初と最後の日時を特定する
  • 最後にUSBデバイスを取り外した日時を特定する
  • Windows 8およびWindows 10で導入された新しいリムーバブルデバイス監査機能の確認
  • ショートカット(LNK)ファイルの解析により、ファイルが最初に開かれた時間・最後に開かれた時間を判断したり、リムーバブルメディアやネットワーク共有に存在するファイルやフォルダを追跡
  • レジストリキーのシェルバッグ(Shellbag)を解析して、いつフォルダにアクセスしたのか特定する
  • ジャンプリスト(Jumplist)を解析して、特定のプログラムでどのファイルにいつアクセスしたかを特定する

トピック

  • Shell Item Forensics
    • リンク・ショートカット:ファイル開封の証跡
    • Windows7-10ジャンプリスト:ファイル開封とプログラム実行の証跡
    • Shellバグ分析 フォルダアクセスの証跡
  • USBとBYOD端末のフォレンジック
    • 製造元/モデル/バージョン
    • シリアル番号
    • ラストドライブレター
    • マウントポイント2 ユーザ毎のラストドライブ(共有含む)
    • ボリューム名とシリアル番号
    • USB機器を使用したユーザー名
    • 最初にUSB機器を接続した時刻
    • 最後にUSB機器を接続した時刻
    • 最後にUSB機器を取り外した時刻
    • ドライブ容量

    • 大規模なBYOD機器の監査
    • 悪意のあるUSBデバイスの特定

E-mail解析、Windows タイムライン、SRUM、 イベントログ

調査や何らかの証明事案によっては、メールを分析して証拠を抽出することが重要になる場合があります。メールを復元することで得られた情報は、非常に有力な証拠となることも少なくありません。メールはワークステーションや会社のメールサーバー、モバイルデバイスなど、複数のクラウドやメールアカウントに存在することが一般的であるため、メールの発見と収集は課題の一つとなります。

Windows Search Indexはファイルの内容や電子メール、ファイルごとの600種類以上のメタデータを含む、最大100万項目のインデックスを作成できます。これはフォレンジックにおいて重要なデータですが、あまり活用されていません。同様にSystem Resource Usage MonitorSRUM)は、アプリケーションごとのネットワーク使用状況、VPNや無線ネットワークの使用状況など、多くの重要なユーザ活動を判断するのに役立ちます。フォレンジック対策プログラムの実行後でも、クラウドストレージやバックドアによるネットワーク利用を監査出来ることを想像してみてください。

最後に、Windowsのイベントログ解析は、おそらく他のどのタイプの解析よりも多くのケースを解決してきました。Windows 11には現在340以上のログが含まれており、利用可能なログファイルの場所と内容を理解することは、調査員の成功には不可欠です。多くの調査員がこれらの記録を見落としているのは、仕事を効率的に進めるための十分な知識やツールを持っていないためです。このセクションでは、調査員が長年にわたってこの重要なスキルを維持し、構築するための基本的な知識と能力を身につけます。

演習

  • 大量のデータから調査対象のメールと添付ファイルを探し出すための、フォレンジックツールの最善の組み合わせ方法を学習する
  • メッセージヘッダーとメールの信頼性をSPFとDKIMを用いて分析する
  • 拡張MAPIヘッダーをどのように調査で活用するかを学ぶ
  • ExchangeMicrosoft 365Google WorkspaceG Suite)から効果的な証拠の収集
  • 最新のOffice365統合監査ログを学ぶ
  • ウェブメールやモバイルメールの残骸を探索する
  • フォレンジックソフトウェアを使った、メールアーカイブの削除されたオブジェクトの回復

  • 代表的なメールフォレンジックツール、eディスカバリツールの経験値を上げる

  • メールアーカイブにあるドキュメントメタデータを解析する
  • ビジネスメール詐欺に対して適切に対応するためのツールやログを理解する

  • 様々なバージョンのリサイクルビン(Recycle Bin)を解析する

  • SRUM(System Resource Usage Monitor)を利用しWindowsフォレンジックでは今まで回答されなかった質問に対応する
  • ターゲットシステムにおけるクラウドストレージの使用状況のトラッキング
  • Windows Search Indexerおよび拡張メタデータの解析

  • イベントログのマージと高度なフィルタリングにより、数百万件のイベントを容易に把握可能
  • アカウントの使用履歴をプロファイリングし、ログオンセッション期間を特定する
  • 時刻改ざんの証拠を見つける
  • BYODデバイス監査によるレジストリ分析の補完

  • 無線ネットワーク関連の履歴を分析し、デバイスの物理的位置を特定する

トピック

  • メールフォレンジック
    • 通信内容の証拠
    • 電子メールの仕組み
    • メールヘッダーの検証
    • メールの信頼性
    • 送信者位置情報の特定
    • 拡張MAPIヘッダ
    • ホストベースメールフォレンジック
    • Exchangeにおけるリカバリー可能なアイテム
    • ExchangeM365の証拠取得とメールエクスポート
    • ExchangeM365 コンプライアンスサーチとeDiscovery
    • Office 365の統一監査ログ
    • Google G Suite ロギング
    • Google ワークスペース(G suite)からのデータ復旧
    • Webおよびクラウドベースのメール
    • Webメール 情報取得
    • Eメールの検索と検査
    • モバイルメールの残骸
    • ビジネスEメールの情報流出
  • Windows OSアーティファクトのフォレンジック
    • Windowsサーチインデックスフォレンジック
    • ESEデータベースのリカバリと改修
    • Thumbcacheの解析

    • Windows Recycle Bin分析(XP、Windows 7~Windows 10)
    • System Resource Usage Monitor(SRUM)
      • 接続ネットワーク、その期間と帯域の使い方
      • アプリケーションの実行とアプリケーション毎のデータの送受信
      • アプリケーションプッシュ通知
      • 電源の使用方法
  • Windowsイベントログ分析
    • フォレンジック監査に影響するイベントログ
    • EVTXとEVTログファイル
      • RDP、ブルートパスワード攻撃などのアカウント(不良なものを含む)使用状況のトラック
      • システムタイムの操作の証明
      • BYOD端末と外部デバイスのトラック
      • Microsoft Officeのアラートロギング
      • イベントログからのデバイス位置情報の割出し

Webブラウザフォレンジック

現在はWebの使用頻度が増しており、Webベースのアプリケーションやクラウドコンピューティングにシフトしつつあります。このような現状において、ブラウザーフォレンジックのスキルは不可欠なものになっています。5日目は、Internet Explorer、Firefox、Google Chrome、Edgeで残される証拠を総合的に見ていきます。合わせて、Webブラウザーの証拠を調査する上で必要になる、SQLiteやESEといったデータベースのパーシング方法も学習していきます。また、クッキー、閲覧履歴、ダウンロード履歴、インターネットキャッシュファイル、ブラウザー拡張、フォームデータといった主要なアーティファクトの調査方法も学びます。これらのファイルをどうやって見つけるかをデモンストレーションし、アーティファクトを解釈する上で犯しがちなミスについて解説します。その他に、セッションリストア、HTML5ウェブストレージ、ズームレベル、予測サイトプリフェッチ、プライベートブラウジングで残るアーティファクトを分析する方法についても解説します。最後に、ChromiumベースのElectronアプリケーションを調査するスキルを紹介し、DiscordSignalSkypeMicrosoft TeamsSlackWhatsAppYammerAsanaなどのチャットクライアントを含む、このフレームワークを使った何百ものサードパーティ製Windowsアプリケーションを調査する機能を公開します。

本章を通じて実際に手を動かして解析することで、Chrome、Firefox、Edge、Internet Explorer、Torにより作られた証拠を調査するスキルが身に付くでしょう。

演習

  • FirefoxChromeMicrosoft EdgeからSQLiteデータベースを手動で解析する方法を学びます
  • Google ChromeとMicrosoft Edgeの類似点と相違点を探る
  • ブラウザの履歴やキャッシュファイルから行動を追跡し、ローカルファイルへのアクセスを特定する
  • Extensible Storage Engine(ESE)データベースに含まれるアーティファクトを解析する
  • 被疑者がダウンロードしたファイルが何かを調査する
  • Webブラウジング中に被疑者が入力、クリック、ブックマーク、単にリダイレクトされたURLを特定する

  • 自動クラッシュリカバリーファイルをパースし、過去の複数のブラウザセッションを再構築
  • アンチフォレンジック活動を識別し、プライベートブラウジングセッションを再構築
  • ブラウザのオートコンプリートやフォームデータを調査し、ハンズオンキーボードでの調査に近づける
  • 各ブラウザが他のデバイスとどのようにデータを同期するのか、また同期されたデータを活用して、携帯電話、タブレット、その他のワークステーションなど、これまで知られていなかったユーザーデバイスで発生したアクティビティを監査する方法を学ぶ
  • ローカルのElectron Applicationデータベースを介してMicrosoft Teamsのチャットを復元する

トピック

  • ブラウザフォレンジック
    • 履歴
    • キャッシュ
    • 検索
    • ダウンロード
    • ブラウザタイムスタンプの理解
    • Chrome
      • Chromeファイルの場所
      • 履歴内容におけるURLと訪問テーブルの相関関係
      • 履歴とページ遷移種別
      • Chrome設定ファイル
      • Webデータ、ショートカット、ネットワークアクションプリディクターデータベース
      • Chromeタイムスタンプ
      • Chace検証
      • ダウンロード履歴
      • メモリ履歴
      • Webストレージ、IndexDBHTML5ファイルシステム
      • Chromeセッションリカバリ
      • Chromeプロファイル機能
      • Chromium Snapshots フォルダ

      • クロスデバイス同期の特定

    • Edge
      • Chromium Edge Google Chrome
      • 歴史、キャッシュ、Cookies、ダウンロード履歴、セッションリカバリ
      • Microsoft Edgeコレクション
      • EdgeInternet Explorerモード
      • ChromeEdgeの拡張機能
      • Edge アーティファクトの同期と複数プロファイルのトラッキング
      • Edge HTMLSpartan.edbデータベース
      • リーディングリスト、WebNotes、トップサイト、SweptTabs
    • Internet Explorer
      • Internet Explorer Essentialsと死なないブラウザー
      • WebCache.datデータベースの検証
      • インターネットエクスプローラーとローカルファイルアクセス
    • Electronアプリケーションとチャットクライアントフォレンジック
      • Electronアプリケーションの構造
      • Electron Chromiumキャッシュ
      • LevelDBの構造とツール
      • LevelDBの手動パース
      • 特殊なLevelDBパーサー
    • Firefox
      • Firefoxアーティファクト
      • SQLiteファイルとFirefox Quantumアップデート

      • ダウンロード履歴
      • Firefox Cache2検証
      • 訪問タイプデータの詳細
      • Form履歴
      • セッションリカバリ
      • Firefox拡張
      • FirefoxのCrossデバイスSync
    • プライベートブラウジングとブラウザアーティファクトリカバリ
      • Chrome、Edge、Firefoxのプライベートブラウジング
      • Torブラウザの調査
      • 選択、削除されたデータベースの特定
    • SQLiteとESEデータベース、 ブラウザアーティファクトのカービング検証
      • DOMとWebストレージオブジェクト
      • キャッシュされたWebページのリビルト
      • ブラウザの祖先
      • 保存されたブラウザの認証情報をキャプチャする

Windowsフォレンジックチャレンジ

本コースで学んだ知識とスキルを活用する実践的な課題を通すことで、フォレンジックに対する心構えを養うことが出来ます。個人またはチーム単位で、配布された証拠を分析し、事件全体の流れを順に行っていきます。コンピュータの利用状況を迅速にプロファイリングし、捜査上の疑問を明らかにする重要な情報を収集するために、フォレンジック技術を活用します。

この複雑なフォレンジックチャレンジは、Windows OSの最新バージョンの1つを利用し行います。使用する証拠はリアルです。今日のトレーニングにおいて、もっとも現実に近いものといえると思います。この事件を解明するためには、いままで学習してきたすべてのスキルと知識をフル活用する必要があります。

そして、最後に模擬裁判を行い、収集した証拠についてプレゼンテーションをして貰います。もっとも優れたプレゼンテーションと簡潔なライトアップ(Write-up)を行ったチームが、このチャレンジ…事件の勝者です!

演習

  • Windows 10フォレンジックチャレンジ
  • スキルを磨くための一つの本格的なお持ち帰り用エクササイズ

トピック

  • デジタルフォレンジックケース
    • 分析
      • 新しい証拠類の選別と分析

      • 週を通して学んだ下記のエビデンス分析方法と決定的な証拠の発見
      • メモリ検証、レジストリ、チャット、ブラウザ、リカバリしたファイル、同期されたアーティファクト、インストールされたマルウェア、その他

    • 報告
      • 調査用タイムラインの作成
      • 事実に基づく証拠を用いて調査の重要な質問に答える
      • エグゼクティブサマリーとレポート作成の実践
      • テクニカルな事例の紹介

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。