NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Mac and iOS Forensic Analysis and Incident Response
Digital Forensics and Incident Response
English2022年12月5日(月)~12月10日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
◆LiveOnline形式
オンライン
◆Onsite形式
渋谷ソラスタコンファレンス(https://shibuya.infield95.com/)
東京都渋谷区道玄坂 一丁目21番1号 渋谷ソラスタ 4階
1,130,000円(税込み 1,243,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。
※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読んで従わないと、このコースに不可欠な実践的な演習に参加できないため、クラスを満足できないままにしてしまう可能性があります。したがって、コースに指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
CPU:インテルまたはM1対応(M2はテスト中だが予備的にサポートされている)
コースメディアはダウンロードで配信されます。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
デジタルフォレンジックやインシデントレスポンスの調査担当者は従来、Windowsマシンを扱ってきましたが、最新のApple Mac や iDevice を目の前にしたらどうなるでしょうか。Apple製デバイスの人気の高まりは、コーヒーショップから企業の役員室に至るまであらゆる場所で見られます。調査の担当者としてこれらのデバイスを扱うことはもはやニッチなスキルではありません - すべてのアナリストは、Appleデバイスを調査するために必要なコアスキルを持っている必要があります。
継続的に更新されてきている 「FOR 518:Mac and iOS Forensic Analysis and Incident Response」コースでは、MacまたはiOSの各対応項目に躊躇なく対応するために必要なテクニックとスキルを提供しています。このコースでは、徹底して実践的なフォレンジック分析とインシデント対応のスキルを習得することで、アナリストの能力を拡大し、MacやiOSデバイスを快適に分析するための自信と知識を得られます。このコースでは、侵入とインシデント対応のシナリオを提示し、Appleデバイスを侵害した攻撃者をアナリストが特定して追跡する方法を学ぶのに役立つこととなるでしょう。
FOR518: Mac and iOS Forensic Analysis and Incident Responseがあなたに教えること:
FOR518: Mac and iOS Forensic Analysis and Incident Response は、MacとiOSのフォレンジック分析と侵入分析を深く掘り下げて、幅広く調査担当者を訓練することを目標としています。このコースでは、APFSファイル・システム、Mac固有のデータ・ファイル、ユーザー・アクティビティの追跡、システム構成、Macログの分析と関連づけ、Macアプリケーション、Mac専用テクノロジーなどのトピックに重点を置いています。このコースを修了したコンピュータのフォレンジックアナリストは、MacまたはiOSのフォレンジックケースに対応するために必要なスキルを持っています。
フォレンジック調査やUnixのコマンドラインに関する実用的な知識はとても役に立つでしょう。次のチュートリアルを使用すると、Unixコマンドラインに慣れることができます。
https://www.learnenough.com/command-line-tutorial
このコースの目的は、Windowsベースのフォレンジック調査に精通したアナリストが、Macでも同じようなパフォーマンスを発揮できるようにすることです。MacとiOSの市場シェアは増え続けており、今やAppleは多くの企業や政府機関にとって人気の高いプラットフォームとなっています。私は、博識なフォレンジックアナリストは、Windowsのフォレンジックの世界では非常に準備が整えられていて、雇用に適した人物だと考えています。Windowsの分析はデジタルフォレンジック調査の競争環境におけるベースとなるものですが、Mac、モバイル、メモリ、マルウェアの分析など、その他のスキルを習得することで、他者との差別化を図ることができます。
MacとiOSのフォレンジックは私の情熱であり、フォレンジックコミュニティと共有したいと心から思っています。MacやiOSの調査に毎日取り組むわけではありませんが、このコースで学習するツールやテクニックは、Windows、Linux、モバイルなどの調査に役立ちます。
- Sarah Edwards
FOR 518は、組織内でMacを使用しているフォレンジック調査関係者や組織にとって素晴らしいコースであり、ラボは非常に魅力的でした。サラはこの分野の専門家であり、素晴らしいインストラクターで、私たちのコメントや質問にとても敏感に反応をしてくれました。
- Ali Memarzia, Google
このセクションでは、データ取得、タイムスタンプ、論理ファイルシステム、ディスク構造など、MacとiOSの基本事項について説明します。データ取得の基本はMacとiOSデバイスで同じですが、分析のためには、MacとiOSシステムでそれぞれデータを簡単に収集するためのヒントとコツがいくつかあります。Windowsのフォレンジック分析に慣れている学生は、簡単にMacシステム上でのわずかな違いを理解できるでしょう。データは同じですが、形式だけが異なっています。
MacとiOSのフォレンジック調査の基本は、HFS+を完全に理解することから始まります。16進エディタを使用して、受講生は、MacOSシステムに実装されたプライマリファイルシステムの基本原則を学びます。その後、受講生はその情報を使用してファイルシステムを使用し、これまでに学生が見た他のオペレーティングシステムとは異なる、さまざまな優良なアーティファクトを見ていきます。最後に、学生らは MacとiOS のトリアージデータをレビューします。
このセクションでは、個人がコンピュータをどのように使用しているかプロファイルし、理解するためのさまざまな情報源を取り上げています。論理Macファイルシステムは、User、Local、System、Networkの4つのドメインで構成されています。Userドメインには、ユーザに関連するフォレンジック関連のほとんどの項目が含まれています。このドメインは、ユーザー・プリファレンスと構成で構成されています。
LocalドメインとSystemドメインには、アプリケーションのインストール、システムの設定と環境設定、システムログなど、システム固有の情報が含まれています。この日の講義では、基本的なシステム情報、GUIプリファレンス、およびシステムアプリケーションデータについて詳しく説明します。システムログの基本的な分析によって、システムがどのように使用または悪用されたかを十分に理解できます。Networkドメインはかなり雲をつかむような存在ですが、このコース全体のいろいろな箇所やログの多くの場所でこのドメインを発見できるでしょう。
タイムライン分析は、そのシステムがどのように使われたかを物語ります。ログファイルの各エントリにはそれぞれ特定の意味があり、ユーザーがコンピュータとどのようやりとりしたかを示すことができます。ログエントリをシステム上の他のデータと互いに関連づけることで、迅速かつ効率的に詳細なタイムラインを作成できます。分析ツールや手法を使用してデータを関連付け、受講生が、一貫性がある意味のある方法でストーリーをまとめるのをお手伝いします。
ユーザードメインにあるすべての設定情報と環境設定情報に加え、ユーザーは、インターネット、電子メール、通信、写真、位置情報データなど、さまざまなネイティブAppleアプリケーションとやりとりを行うことが可能です。これらのデータにより、どのような調査においても分析者が「誰が、何を、どこで、なぜ、どのように」といった情報を得られます。
このセクションでは、データが格納されているさまざまなデータベースおよびその他のファイルについて説明します。受講生は、市販ツールのパーサーを使用しなくても、情報を手動でパースできるようになります。
Macシステムには、MacおよびiOSデバイスを使用しているユーザーのみが利用できるテクノロジが実装されています。これにはTime Machine、Document Versions、iCloudによるデータバックアップのほか、 FileVault によるディスク暗号化が含まれます。その他の高度なトピックとしては、暗号化されたコンテナに隠されたデータ、ライブレスポンス、Macへの侵入とマルウェア解析、Macのメモリ分析などがあります。
この講義の最終日には、実世界をベースにしたシナリオをチームメンバーと実行します。それにより、Macのフォレンジックに関して新しく身に付けたスキルを確認していきます。