NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Mac and iOS Forensic Analysis and Incident Response
Digital Forensics and Incident Response
English2023年12月4日(月)~12月9日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
オンライン
早期割引価格:1,080,000 円(税込み 1,188,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,200,000円(税込み 1,320,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読んで従わないと、このコースに不可欠な実践的な演習に参加できないため、クラスを満足できないままにしてしまう可能性があります。したがって、コースに指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。
コースメディアはダウンロードで配信されます。授業で使用するメディアファイルは大容量で、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
ノートパソコンの仕様についてご不明な点がございましたら、laptop_prep@sans.org までお問い合わせください。
デジタルフォレンジックやインシデントレスポンスの調査担当者は従来、Windowsマシンを扱ってきましたが、最新のApple Mac や iDevice を目の前にしたらどうなるでしょうか。Apple製デバイスの人気の高まりは、コーヒーショップから企業の役員室に至るまであらゆる場所で見られます。調査の担当者としてこれらのデバイスを扱うことはもはやニッチなスキルではありません - すべてのアナリストは、Appleデバイスを調査するために必要なコアスキルを持っている必要があります。
継続的に更新されてきている 「FOR 518:Mac and iOS Forensic Analysis and Incident Response」コースでは、MacまたはiOSの各対応項目に躊躇なく対応するために必要なテクニックとスキルを提供しています。このコースでは、徹底して実践的なフォレンジック分析とインシデント対応のスキルを習得することで、アナリストの能力を拡大し、MacやiOSデバイスを快適に分析するための自信と知識を得られます。このコースでは、侵入とインシデント対応のシナリオを提示し、Appleデバイスを侵害した攻撃者をアナリストが特定して追跡する方法を学ぶのに役立つこととなるでしょう。
FOR518: Mac and iOS Forensic Analysis and Incident Responseがあなたに教えること:
FOR518: Mac and iOS Forensic Analysis and Incident Response は、MacとiOSのフォレンジック分析と侵入分析を深く掘り下げて、幅広く調査担当者を訓練することを目標としています。このコースでは、APFSファイル・システム、Mac固有のデータ・ファイル、ユーザー・アクティビティの追跡、システム構成、Macログの分析と関連づけ、Macアプリケーション、Mac専用テクノロジーなどのトピックに重点を置いています。このコースを修了したコンピュータのフォレンジックアナリストは、MacまたはiOSのフォレンジックケースに対応するために必要なスキルを持っています。
フォレンジック調査やUnixのコマンドラインに関する実用的な知識はとても役に立つでしょう。次のチュートリアルを使用すると、Unixコマンドラインに慣れることができます。
https://www.codecademy.com/learn/learn-the-command-line
https://www.learnenough.com/command-line-tutorial
「このコースの目的は、Windowsベースのフォレンジック調査に精通したアナリストが、Macでも同じようなパフォーマンスを発揮できるようにすることです。MacとiOSの市場シェアは増え続けており、今やAppleは多くの企業や政府機関にとって人気の高いプラットフォームとなっています。私は、博識なフォレンジックアナリストは、Windowsのフォレンジックの世界では非常に準備が整えられていて、雇用に適した人物だと考えています。Windowsの分析はデジタルフォレンジック調査の競争環境におけるベースとなるものですが、Mac、モバイル、メモリ、マルウェアの分析など、その他のスキルを習得することで、他者との差別化を図ることができます。
MacとiOSのフォレンジックは私の情熱であり、フォレンジックコミュニティと共有したいと心から思っています。MacやiOSの調査に毎日取り組むわけではありませんが、このコースで学習するツールやテクニックは、Windows、Linux、モバイルなどの調査に役立ちます。」
- Sarah Edwards
「FOR 518は、組織内でMacを使用しているフォレンジック調査関係者や組織にとって素晴らしいコースであり、ラボは非常に魅力的でした。サラはこの分野の専門家であり、素晴らしいインストラクターで、私たちのコメントや質問にとても敏感に反応をしてくれました。」
- Ali Memarzia, Google
このセクションでは、データ取得、タイムスタンプ、論理ファイルシステム、ディスク構造など、MacとiOSの基本事項について説明します。データ取得の基本はMacとiOSデバイスで同じですが、分析のためには、MacとiOSシステムでそれぞれデータを簡単に収集するためのヒントとコツがいくつかあります。Windowsのフォレンジック分析に慣れている学生は、簡単にMacシステム上でのわずかな違いを理解できるでしょう。データは同じですが、形式だけが異なっています。
はじめに、MacとiOSのトリアージデータを確認します。このデータは多くの場合、デバイスの分析を開始するために必要となります。その後、その情報を基に、ファイルシステムを実装し、過去に見た他のオペレーティングシステムとは異なる、さまざまな素晴らしい成果物を調べます。追加のボーナスセクションでは、Appleファイルシステム(APFS)を徹底的に深く理解することで、MacとiOSのフォレンジックの構成要素を学びます。16進エディタを使用し、MacOSとiOSシステムに実装されている主要なファイルシステムの基本構造を学びます。
MacおよびiOSデバイスには、デバイスがどのように使用(または悪用)されたかを示すことができる多くのシステム設定が含まれています。デバイスのユーザーは、有用なフォレンジックインサイトを提供できる特定の設定を変更する可能性があります。多くの場合、これらのコンフィギュレーションアクションはログでも見つけることができ、デバイスがどのように使用されていたかの詳細なストーリーを作成するための歴史的なコンテキストを提供します。
このセクションでは、ログ分析とともに、システムおよびデータ構成に焦点を当てます。これらのデバイスには、それぞれ独自の分析方法と内容を持つ多くの異なるタイプのログがあります。ログ・エントリーは、システム上で発見されたユーザーおよびシステム・データと関連付けられ、迅速かつ効率的に事件を解決するために使用できる詳細なタイムラインを作成することができます。
ユーザードメインにあるすべての設定情報と環境設定情報に加え、ユーザーは、インターネット、電子メール、通信、写真、位置情報データなど、さまざまなネイティブAppleアプリケーションとやりとりを行うことが可能です。これらのデータにより、どのような調査においても分析者が「誰が、何を、どこで、なぜ、どのように」といった情報を得られます。
このセクションでは、データが格納されているさまざまなデータベースおよびその他のファイルについて説明します。受講生は、市販ツールのパーサーを使用しなくても、情報を手動でパースできるようになります。
アップルのシステムには、MacやiOSデバイスを持つ人だけが利用できる技術がいくつか実装されています。このセクションでは、様々な調査で使用できる様々なトピックについて学びます。パターン・オブ・ライフなどのトピックでは、非常に具体的なユーザーとデバイスのアクティビティを詳細に調べ、正確な時間にどのアプリが使用されていたか、何歩歩いたか、デバイスのロックは解除されていたか、デバイスはどこにあったかを特定することができます。
その他のテクノロジーには、ドキュメントの履歴スナップショットを提供するDocument Versionsや、iCloudデータ同期などがある。その他の高度なトピックには、暗号化されたコンテナに隠されたデータのクラック、ライブ応答、侵害の指標、セキュリティ技術、マルウェア解析、Macメモリ解析などが含まれます。
この講義の最終日には、実世界をベースにしたシナリオをチームメンバーと実行します。それにより、Macのフォレンジックに関して新しく身に付けたスキルを確認していきます。