ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 518

Mac and iOS Forensic Analysis and Incident Response

Digital Forensics and Incident Response

English
日程

2022年12月5日(月)~12月10日(土)

期間
6日間
講義時間

1日目:9:00-17:30 
2日目~6日目:9:30-17:30

受講スタイル
ハイブリッド (LiveOnlineとOnsiteの同時開催)
会場

◆LiveOnline形式
 オンライン

◆Onsite形式
 渋谷ソラスタコンファレンス(https://shibuya.infield95.com/
 東京都渋谷区道玄坂 一丁目21番1号 渋谷ソラスタ 4階

GIAC認定資格
GIME
講師
Sarah Edwards|サラ エドワーズ
SANSシニアインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 point
受講料

1,130,000円(税込み 1,243,000円)

申込締切日
2022年11月25日(金)
オプション
  • GIAC試験  135,000円(税込み 148,500円)
  • NetWars Continuous  220,000円(税込み 242,000円)
  • OnDemand 価格:135,000円(税込 148,500円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。

※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR518 PC設定詳細


重要! 次の手順に従ってシステムを構成してください。

**************************重要:MACハードウェアが必要です*************************************

このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読んで従わないと、このコースに不可欠な実践的な演習に参加できないため、クラスを満足できないままにしてしまう可能性があります。したがって、コースに指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。

必須 ハードウェアおよびソフトウェア要件

Apple Macラップトップの必須最小構成
  • 重要:MACハードウェアが必須
  • OS:MacOS 10.13以降
  • CPU:インテルまたはM1対応(M2はテスト中だが予備的にサポートされている)

  • NW:ワイヤレス802.11機能
  • RAM:8 GB以上を推奨
  • HDD/SSD:250 GB以上の空き容量(システムまたは外部のハードドライブ)
  • USB:2.0以上 (USB Type-Cアダプタの場合は、Type-Aアダプタへの変換プラグが必要)
  • その他:ホスト・オペレーティング・システム内でローカル管理者アクセス権限が必要
    (一部のモニタリングソフトやAVソフトウェアはコース進行の妨げになりますので、適宜オフにする必要があります)

コースメディアはダウンロードで配信されます。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

FOR518コース概要

デジタルフォレンジックやインシデントレスポンスの調査担当者は従来、Windowsマシンを扱ってきましたが、最新のApple Mac や iDevice を目の前にしたらどうなるでしょうか。Apple製デバイスの人気の高まりは、コーヒーショップから企業の役員室に至るまであらゆる場所で見られます。調査の担当者としてこれらのデバイスを扱うことはもはやニッチなスキルではありません - すべてのアナリストは、Appleデバイスを調査するために必要なコアスキルを持っている必要があります。

継続的に更新されてきている 「FOR 518:Mac and iOS Forensic Analysis and Incident Response」コースでは、MacまたはiOSの各対応項目に躊躇なく対応するために必要なテクニックとスキルを提供しています。このコースでは、徹底して実践的なフォレンジック分析とインシデント対応のスキルを習得することで、アナリストの能力を拡大し、MacやiOSデバイスを快適に分析するための自信と知識を得られます。このコースでは、侵入とインシデント対応のシナリオを提示し、Appleデバイスを侵害した攻撃者をアナリストが特定して追跡する方法を学ぶのに役立つこととなるでしょう。


他とは違ったフォレンジック調査です

FOR518: Mac and iOS Forensic Analysis and Incident Responseがあなたに教えること:

  1. MacとiOSの基礎:Apple File System (APFS+) を手動で分析して解析し、論理ファイルシステムの特定のドメインとMac固有のファイルタイプを認識する方法
  2. ユーザーアクティビティとデバイスアクティビティ:データファイルとプリファレンス設定を使用して、ユーザーとデバイスに対する高度な生活パターンを理解し、プロファイリングおよび実行する方法
  3. [Advanced Intrusion Analysis and Correlation] :システムログファイルと関連付けられたシステムおよびユーザデータファイルを使用して、システムがどのように使用されたか、または侵害されたかを判断する方法
  4. Apple Technologies:Time Machine、Spotlight、iCloud、Document Versions、FileVault、Continuity、FaceTimeなど、MacやiOSに特化した多くの技術を理解し、分析する方法

FOR518: Mac and iOS Forensic Analysis and Incident Response は、MacとiOSのフォレンジック分析と侵入分析を深く掘り下げて、幅広く調査担当者を訓練することを目標としています。このコースでは、APFSファイル・システム、Mac固有のデータ・ファイル、ユーザー・アクティビティの追跡、システム構成、Macログの分析と関連づけ、Macアプリケーション、Mac専用テクノロジーなどのトピックに重点を置いています。このコースを修了したコンピュータのフォレンジックアナリストは、MacまたはiOSのフォレンジックケースに対応するために必要なスキルを持っています。

FOR 518では、次の各項目についての準備を行います

  • チートシートと16進エディタのみを使用して、HFS+ファイルシステムを手動で解析する
  • APFSファイルシステムとその重要性を理解する
  • 各ファイル・システム・ドメインの重要性を判断する
  • データ・ファイルとログ分析を関連づけて、システムの時間的な分析を実行する
  • システムを使用した頻度、頻繁に使用したアプリケーション、個人的なシステム設定など、個人によるシステムの使用状況のプロファイルを行う
  • リモートまたはローカルのデータ・バックアップ、ディスク・イメージ、その他の接続されたデバイスの特定
  • 暗号化されたコンテナとFileVaultボリュームの検索、キーチェーンデータの理解、Macのパスワードの解読
  • Spotlightデータベース、Time Machine、および拡張属性におけるMacメタデータとその重要性の分析と理解
  • Safari WebブラウザおよびApple Mailアプリケーションに関する十分な知識の習得
  • iChat、メッセージ、FaceTime、リモートログイン、画面共有、およびAirDropを使用した他のユーザやシステムとの通信の識別
  • Macの侵入分析を行い、侵入やマルウェア感染の兆候を確認する
  • Macシステムからメモリを取得して分析する
  • iOSの取得とデバイスの詳細分析


コーストピック

  • HFS+ファイルシステムの詳細な調査とAPFSの概要
  • ファイル・システムのタイムライン分析
  • 高度なコンピュータ科学捜査手法
  • Mac固有のデータ収集とインシデント対応
  • Macメモリの取得と分析
  • ファイルシステム・データ分析
  • メタデータ分析
  • 重要なMacファイルの復元
  • ボリュームとディスクイメージの分析
  • Time Machine、Spotlight、FileVaultなどのMacテクノロジーの分析
  • 高度なログ分析と相関
  • iDevice AnalysisとiOSアーティファクト

 

受講生が受け取るもの

  • BlackBag Technologies BlackLight フォレンジックソフトウェアの90日間トライアル
  • ケース・サンプル、ツール、ドキュメント、ダウンロード可能なコース・パッケージ
  • 講座全体のMP 3音声ファイル

受講対象者

  • 経験豊富なデジタルフォレンジックアナリストで、ファイルシステムのフォレンジックと高度なMac分析についての理解を深め、統合したいと考えている方
  • 高度なコンピュータフォレンジック調査を習得し、操作のための能力を拡大したい法執行官、連邦捜査官、刑事
  • データやメディアの悪用についてのアナリストで、Macシステムから必要な重要なデータをどこで見つけられるかを知る必要がある方
  • インシデント対応チームのメンバーで、高度な攻撃者からの複雑なセキュリティインシデント/侵入に対応しており、侵害されたシステムを調査する際に何をすべきかを知る必要があるメンバー
  • MacOSおよびiOSシステムの内部に精通したい情報セキュリティの専門家
  • SANS FOR 500、FOR 508、FOR 526、FOR 610、FOR 585の既受講生で、フォレンジックのためのスキル習得を目指している方

本講座受講にあたっての前提

フォレンジック調査やUnixのコマンドラインに関する実用的な知識はとても役に立つでしょう。次のチュートリアルを使用すると、Unixコマンドラインに慣れることができます。
https://www.learnenough.com/command-line-tutorial

コース開発者より

このコースの目的は、Windowsベースのフォレンジック調査に精通したアナリストが、Macでも同じようなパフォーマンスを発揮できるようにすることです。MacとiOSの市場シェアは増え続けており、今やAppleは多くの企業や政府機関にとって人気の高いプラットフォームとなっています。私は、博識なフォレンジックアナリストは、Windowsのフォレンジックの世界では非常に準備が整えられていて、雇用に適した人物だと考えています。Windowsの分析はデジタルフォレンジック調査の競争環境におけるベースとなるものですが、Mac、モバイル、メモリ、マルウェアの分析など、その他のスキルを習得することで、他者との差別化を図ることができます。

MacとiOSのフォレンジックは私の情熱であり、フォレンジックコミュニティと共有したいと心から思っています。MacやiOSの調査に毎日取り組むわけではありませんが、このコースで学習するツールやテクニックは、Windows、Linux、モバイルなどの調査に役立ちます。
- Sarah Edwards

FOR 518は、組織内でMacを使用しているフォレンジック調査関係者や組織にとって素晴らしいコースであり、ラボは非常に魅力的でした。サラはこの分野の専門家であり、素晴らしいインストラクターで、私たちのコメントや質問にとても敏感に反応をしてくれました。
- Ali Memarzia, Google

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

FOR518.1: Mac and iOS Essentials

概要

このセクションでは、データ取得、タイムスタンプ、論理ファイルシステム、ディスク構造など、MacとiOSの基本事項について説明します。データ取得の基本はMacとiOSデバイスで同じですが、分析のためには、MacとiOSシステムでそれぞれデータを簡単に収集するためのヒントとコツがいくつかあります。Windowsのフォレンジック分析に慣れている学生は、簡単にMacシステム上でのわずかな違いを理解できるでしょう。データは同じですが、形式だけが異なっています。

演習

  • ラボのセットアップ
  • ブラックライトおよびイメージマウント
  • iOSによるデータ取得を探る
  • ディスクとパーティション

トピックス

  • Apple Essentials
    • MacおよびiOSシステム
    • Windows環境でのMac分析
    • Appleの基礎

  • Mac Essentialsとデータ取得
    • Macファイルシステムドメイン
    • Macディレクトリ構造
    • コンテナ・サンドボックス
    • 買収の落とし穴と考慮事項
    • ハードドライブ、ネットワーク、およびメモリ取得ツール
    • オープン・ソース・ユーティリティを使用したイメージのマウント

  • iOS EssentialsとAcquisition
    • iOSとMacOSの違い
    • セキュリティと暗号化
    • ジェイルブレイク
    • データ取得のタイプと相違点
    • ローカルバックアップとiCloudバックアップ
    • 取得と分析のためのツール
    • パスコードのバイパスとクラッキング

  • ディスクとパーティション
    • ディスクのレイアウト
    • パーティションスキーム
    • GPT
    • ファイルVault
    • ディスクイメージ
    • コアストレージ
    • APFSコンテナ
    • ブートキャンプ
    • Fusionドライブ

FOR518.2: File Systems & System Triage

概要

MacとiOSのフォレンジック調査の基本は、HFS+を完全に理解することから始まります。16進エディタを使用して、受講生は、MacOSシステムに実装されたプライマリファイルシステムの基本原則を学びます。その後、受講生はその情報を使用してファイルシステムを使用し、これまでに学生が見た他のオペレーティングシステムとは異なる、さまざまな優良なアーティファクトを見ていきます。最後に、学生らは MacとiOS のトリアージデータをレビューします。

演習

  • HFS+
  • ファイル・システム
  • MacとiOSのトリアージ

トピックス

  • ファイル・システム
    •  HFS+とAPFSの概要
    •  データ構造
    •  手作業でのパース
    •  APFSクローン
    •  APFSスナップショット
    •  APFSのメリットと注意事項
    •  ツールの出力と注意事項

  • 拡張属性
    •  目次
    • 分析
    •  ツールサポート
    •  興味深い属性

  • ファイル・システム・イベント・ストア・データベース
    •  用途
    •  ツールを使用した解析
    •  実用的な解析

  • Spotlight
    •  分析方法とツール
    •  実用的なクエリー
    •  ポータブルアーティファクト
    •  Macに残されたアーティファクト
    •  さまざまなファイルシステムとの違い

  • MacとiOSのトリアージ
    •  OSバージョン
    •  デバイス識別データ
    •  システムのインストール
    •  ネットワーク設定
    •  タイムゾーンと位置情報サービス
    •  ユーザーアカウント
    •  管理対象デバイス
    •  メールとインターネットアカウントの設定

  • 最近使用した項目 (MRU)
    •  最近使用したiOSアプリ
    •  最近使用したフォルダ
    •  最近使用したアプリケーション
    •  最近使用したドキュメント
    •  最近使用したサーバー
    •  最近使用したファイル
    •  解析方法とツール
    •  エイリアスBLOBとブックマークBLOB
    •  NSKeyed Archiver Plistファイルの手動解析

FOR518.3: User Data, System Configuration, and Log Analysis

概要

このセクションでは、個人がコンピュータをどのように使用しているかプロファイルし、理解するためのさまざまな情報源を取り上げています。論理Macファイルシステムは、User、Local、System、Networkの4つのドメインで構成されています。Userドメインには、ユーザに関連するフォレンジック関連のほとんどの項目が含まれています。このドメインは、ユーザー・プリファレンスと構成で構成されています。

LocalドメインとSystemドメインには、アプリケーションのインストール、システムの設定と環境設定、システムログなど、システム固有の情報が含まれています。この日の講義では、基本的なシステム情報、GUIプリファレンス、およびシステムアプリケーションデータについて詳しく説明します。システムログの基本的な分析によって、システムがどのように使用または悪用されたかを十分に理解できます。Networkドメインはかなり雲をつかむような存在ですが、このコース全体のいろいろな箇所やログの多くの場所でこのドメインを発見できるでしょう。

タイムライン分析は、そのシステムがどのように使われたかを物語ります。ログファイルの各エントリにはそれぞれ特定の意味があり、ユーザーがコンピュータとどのようやりとりしたかを示すことができます。ログエントリをシステム上の他のデータと互いに関連づけることで、迅速かつ効率的に詳細なタイムラインを作成できます。分析ツールや手法を使用してデータを関連付け、受講生が、一貫性がある意味のある方法でストーリーをまとめるのをお手伝いします。

演習

  • ユーザデータとシステム設定
  • ログの解析と分析
  • タイムライン分析とデータ相関

トピックス

  • ユーザデータとシステム設定
    •  Bashの履歴
    •  キーチェイン
    •  印刷
    •  ファイアウォール設定
    •  設定の共有
    •  Bluetooth
    •  自動実行
    •  アプリケーションバンドル
    •  ソフトウェアのアップデート
    •  GUI設定

  • ログのパースと分析
    • ログの基本
    • ログ形式
    • ログの回復
    • ログタイプ(Unix、BSM Audit、Apple System Logs (ASL) およびUnified)
    • ログ構成
    • 解析の方法とパースのためのツール

  • タイムライン分析とデータ相関
    • 時間的コンテキストとタイムスタンプ
    • ボリューム分析
    • 時間変更
    • システム情報と状態
    • ネットワーク分析
    • ユーザーアクセス
    • 権限のエスカレーション
    • アカウントの作成/削除
    • ソフトウェアのインストール
    • バックアップのアクティビティ
    • 位置データ
 

FOR518.4: Application Data Analysis

概要

ユーザードメインにあるすべての設定情報と環境設定情報に加え、ユーザーは、インターネット、電子メール、通信、写真、位置情報データなど、さまざまなネイティブAppleアプリケーションとやりとりを行うことが可能です。これらのデータにより、どのような調査においても分析者が「誰が、何を、どこで、なぜ、どのように」といった情報を得られます。

このセクションでは、データが格納されているさまざまなデータベースおよびその他のファイルについて説明します。受講生は、市販ツールのパーサーを使用しなくても、情報を手動でパースできるようになります。

演習

  • Safariとメール
  • アプリケーション-パートI
  • アプリケーション-パートII

トピックス

  • アプリケーションの権限
    • プライバシー設定
    • ロケーションサービス

  • ネイティブ・アプリケーションの基礎
    • 所在地
    • スナップショット

  • Safariブラウザ
    • 歴史
    • キャッシュ
    • 同期
    • データ保持

  • Appleメール
    • 場所とデータアクセス
    • メールアカウントと設定
    • 添付ファイル
    • メタデータ

  • コミュニケーション
    • iChat/メッセージ
    • FaceTime
    • SMS
    • iMessage
    • コール履歴
    • ボイスメール

  • カレンダーとリマインダ
    • ファイル
    • データベース分析

  • 連絡先
    • ファイル
    • データベース分析

  • メモ
    • ファイル
    • データベース分析
    • バージョンの違い
    • メディア分析

  • Apple Pay、Wallet、パス
    • ファイル
    • データベース分析

  • 写真
    • ファイル
    • データベース分析
    • iCloud同期

  • マップ
    • ファイル
    • データベース分析
    • 注意事項

  • 位置データ
    • 日常的活動、iWiFi、モバイルフォンの場所
    • ファイル
    • データベース分析
    • ツールと解析

  • Apple Watch
    • ファイル
    • 機能
    • 同期データ

  • サードパーティ製アプリケーション
    • 場所
    • 解析における注意事項
    • データ構造
    • 解析ツール

FOR518.5: Advanced Analysis Topics

概要

Macシステムには、MacおよびiOSデバイスを使用しているユーザーのみが利用できるテクノロジが実装されています。これにはTime Machine、Document Versions、iCloudによるデータバックアップのほか、 FileVault によるディスク暗号化が含まれます。その他の高度なトピックとしては、暗号化されたコンテナに隠されたデータ、ライブレスポンス、Macへの侵入とマルウェア解析、Macのメモリ分析などがあります。

演習

  • Time Machineとドキュメントのバージョン
  • マルウェアとライブ応答
  • メモリ分析、パスワードのクラッキング、および暗号化されたコンテナ

トピックス

  • タイムマシン
    • バックアップ設定
    • バックアップボリューム
    • スナップショット解析
    • ローカル・スナップショット
    • 暗号化バックアップ
    • マウントと分析

  • ドキュメントのバージョン
    • バージョンメタデータ
    • バージョンデータベース
    • 世代
    • チャンクストレージ

  • iCloud
    • 同期されたアカウント
    • モバイルドキュメント
    • 同期された環境設定

  • マルウェアおよび侵入分析
    • 侵入分析
    • JavaキャッシュとIDXファイル
    • ファイル隔離
    • Xプロテクト
    • ゲートキーパー

  • ライブ応答
    • ライブトリアージテクニック
    • 揮発性データの収集

  • メモリーの取得と分析
    • 取得ツール
    • 解析ツール

  • パスワードクラッキングと暗号化コンテナ
    • パスワードシャドウファイル
    • クラッキングソフトウェア
    • キーチェイン
    • ファイルVault
    • 暗号化されたボリュームとディスクイメージ

FOR518.6: Mac Forensics & Incident Response Challenge

概要

この講義の最終日には、実世界をベースにしたシナリオをチームメンバーと実行します。それにより、Macのフォレンジックに関して新しく身に付けたスキルを確認していきます。

トピックス

  • ファイル・システムの詳細な調査
  • ファイル・システムのタイムライン解析
  • 高度なコンピュータフォレンジック手法
  • Macメモリ分析
  • ファイル・システム・データ分析
  • メタデータ分析
  • 重要なMacファイルのリカバリ
  • ボリュームとディスクイメージの分析
  • Time Machine、Spotlight、FileVaultなどのMacテクノロジーの分析
  • 高度なログ分析と相関
  • iDeviceの分析とiOSのアーティファクト

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。