ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 518

Mac and iOS Forensic Analysis and Incident Response

Digital Forensics and Incident Response

English
日程

2023年12月4日(月)~12月9日(土)

期間
6日間
講義時間

1日目:9:00-17:30 
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GIME
講師
Lee Whitfield|リー ウィットフィールド
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 point
受講料

早期割引価格:1,080,000 円(税込み 1,188,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,200,000円(税込み 1,320,000円)

申込締切日
早期割引価格:2023年11月10日(金)
通常価格:2023年11月24日(金)
オプション
  • GIAC試験  135,000円(税込み 148,500円)
  • OnDemand  135,000円(税込み 148,500円)
  • NetWars Continuous  235,000円(税込み 258,500円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

現在お申込みを受け付けておりません

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR518 PC設定詳細


重要! 次の手順に従ってシステムを構成してください。

**************************重要:MACハードウェアが必要です*************************************

このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読んで従わないと、このコースに不可欠な実践的な演習に参加できないため、クラスを満足できないままにしてしまう可能性があります。したがって、コースに指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。

授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

必須 ハードウェアおよびソフトウェア要件

ノートパソコンのハードウェア要件

  • 8GB以上のRAMが必要
  • 250GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上。最新のノートパソコンには、Type-CからType-Aへの変換アダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室での有線インターネットアクセスはありません。
このコースに必要なその他の条件
  • Apple MacOS 10.13以降が必要です。

ノートパソコンのホスト要件とソフトウェア要件

  • ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。ITチームにそうでないと言わせないでください)。あなたの会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。

コースメディアはダウンロードで配信されます。授業で使用するメディアファイルは大容量で、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ノートパソコンの仕様についてご不明な点がございましたら、laptop_prep@sans.org までお問い合わせください。

FOR518コース概要

デジタルフォレンジックやインシデントレスポンスの調査担当者は従来、Windowsマシンを扱ってきましたが、最新のApple Mac や iDevice を目の前にしたらどうなるでしょうか。Apple製デバイスの人気の高まりは、コーヒーショップから企業の役員室に至るまであらゆる場所で見られます。調査の担当者としてこれらのデバイスを扱うことはもはやニッチなスキルではありません - すべてのアナリストは、Appleデバイスを調査するために必要なコアスキルを持っている必要があります。

継続的に更新されてきている 「FOR 518:Mac and iOS Forensic Analysis and Incident Response」コースでは、MacまたはiOSの各対応項目に躊躇なく対応するために必要なテクニックとスキルを提供しています。このコースでは、徹底して実践的なフォレンジック分析とインシデント対応のスキルを習得することで、アナリストの能力を拡大し、MacやiOSデバイスを快適に分析するための自信と知識を得られます。このコースでは、侵入とインシデント対応のシナリオを提示し、Appleデバイスを侵害した攻撃者をアナリストが特定して追跡する方法を学ぶのに役立つこととなるでしょう。


他とは違ったフォレンジック調査です

FOR518: Mac and iOS Forensic Analysis and Incident Responseがあなたに教えること:

  1. MacとiOSの基礎:Apple File System (APFS+) を手動で分析して解析し、論理ファイルシステムの特定のドメインとMac固有のファイルタイプを認識する方法
  2. ユーザーアクティビティとデバイスアクティビティ:データファイルとプリファレンス設定を使用して、ユーザーとデバイスに対する高度な生活パターンを理解し、プロファイリングおよび実行する方法
  3. [Advanced Intrusion Analysis and Correlation] :システムログファイルと関連付けられたシステムおよびユーザデータファイルを使用して、システムがどのように使用されたか、または侵害されたかを判断する方法
  4. Apple Technologies:Time Machine、Spotlight、iCloud、Document Versions、FileVault、Continuity、FaceTimeなど、MacやiOSに特化した多くの技術を理解し、分析する方法

FOR518: Mac and iOS Forensic Analysis and Incident Response は、MacとiOSのフォレンジック分析と侵入分析を深く掘り下げて、幅広く調査担当者を訓練することを目標としています。このコースでは、APFSファイル・システム、Mac固有のデータ・ファイル、ユーザー・アクティビティの追跡、システム構成、Macログの分析と関連づけ、Macアプリケーション、Mac専用テクノロジーなどのトピックに重点を置いています。このコースを修了したコンピュータのフォレンジックアナリストは、MacまたはiOSのフォレンジックケースに対応するために必要なスキルを持っています。

FOR 518では、次の各項目についての準備を行います

  • チートシートと16進エディタのみを使用して、APFSファイルシステムを手動で解析する
  • APFSファイルシステムとその重要性を理解する
  • 各ファイル・システム・ドメインの重要性を判断する
  • データ・ファイルとログ分析を関連づけて、システムの時間的な分析を実行する
  • システムを使用した頻度、頻繁に使用したアプリケーション、個人的なシステム設定など、個人によるシステムの使用状況のプロファイルを行う
  • リモートまたはローカルのデータ・バックアップ、ディスク・イメージ、その他の接続されたデバイスの特定
  • 暗号化されたコンテナとFileVaultボリュームの検索、キーチェーンデータの理解、Macのパスワードの解読
  • Spotlightデータベース、Time Machine、および拡張属性におけるMacメタデータとその重要性の分析と理解
  • Safari WebブラウザおよびApple Mailアプリケーションに関する十分な知識の習得
  • iChat、メッセージ、FaceTime、リモートログイン、画面共有、およびAirDropを使用した他のユーザやシステムとの通信の識別
  • Macの侵入分析を行い、侵入やマルウェア感染の兆候を確認する
  • Macシステムからメモリを取得して分析する
  • iOSの取得とデバイスの詳細分析


コーストピック

  • APFSファイルシステムの徹底検証
  • ファイル・システムのタイムライン分析
  • 高度なコンピュータ科学捜査手法
  • Mac固有のデータ収集とインシデント対応
  • Macメモリの取得と分析
  • ファイルシステム・データ分析
  • メタデータ分析
  • 重要なMacファイルの復元
  • ボリュームとディスクイメージの分析
  • Time Machine、Spotlight、FileVaultなどのMacテクノロジーの分析
  • 高度なログ分析と相関
  • iDevice AnalysisとiOSアーティファクト

受講対象者

  • 経験豊富なデジタルフォレンジックアナリストで、ファイルシステムのフォレンジックと高度なMac分析についての理解を深め、統合したいと考えている方
  • 高度なコンピュータフォレンジック調査を習得し、操作のための能力を拡大したい法執行官、連邦捜査官、刑事
  • データやメディアの悪用についてのアナリストで、Macシステムから必要な重要なデータをどこで見つけられるかを知る必要がある方
  • インシデント対応チームのメンバーで、高度な攻撃者からの複雑なセキュリティインシデント/侵入に対応しており、侵害されたシステムを調査する際に何をすべきかを知る必要があるメンバー
  • MacOSおよびiOSシステムの内部に精通したい情報セキュリティの専門家
  • SANS FOR 500、FOR 508、FOR 526、FOR 610、FOR 585の既受講生で、フォレンジックのためのスキル習得を目指している方

本講座受講にあたっての前提

フォレンジック調査やUnixのコマンドラインに関する実用的な知識はとても役に立つでしょう。次のチュートリアルを使用すると、Unixコマンドラインに慣れることができます。
https://www.codecademy.com/learn/learn-the-command-line
https://www.learnenough.com/command-line-tutorial

コース開発者より

「このコースの目的は、Windowsベースのフォレンジック調査に精通したアナリストが、Macでも同じようなパフォーマンスを発揮できるようにすることです。MacとiOSの市場シェアは増え続けており、今やAppleは多くの企業や政府機関にとって人気の高いプラットフォームとなっています。私は、博識なフォレンジックアナリストは、Windowsのフォレンジックの世界では非常に準備が整えられていて、雇用に適した人物だと考えています。Windowsの分析はデジタルフォレンジック調査の競争環境におけるベースとなるものですが、Mac、モバイル、メモリ、マルウェアの分析など、その他のスキルを習得することで、他者との差別化を図ることができます。

MacとiOSのフォレンジックは私の情熱であり、フォレンジックコミュニティと共有したいと心から思っています。MacやiOSの調査に毎日取り組むわけではありませんが、このコースで学習するツールやテクニックは、Windows、Linux、モバイルなどの調査に役立ちます。」
- Sarah Edwards

「FOR 518は、組織内でMacを使用しているフォレンジック調査関係者や組織にとって素晴らしいコースであり、ラボは非常に魅力的でした。サラはこの分野の専門家であり、素晴らしいインストラクターで、私たちのコメントや質問にとても敏感に反応をしてくれました。」
- Ali Memarzia, Google

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

FOR518.1: Mac and iOS Essentials

概要

このセクションでは、データ取得、タイムスタンプ、論理ファイルシステム、ディスク構造など、MacとiOSの基本事項について説明します。データ取得の基本はMacとiOSデバイスで同じですが、分析のためには、MacとiOSシステムでそれぞれデータを簡単に収集するためのヒントとコツがいくつかあります。Windowsのフォレンジック分析に慣れている学生は、簡単にMacシステム上でのわずかな違いを理解できるでしょう。データは同じですが、形式だけが異なっています。

演習

  • ラボのセットアップ
  • インスペクターケースのセットアップと画像の取り付け
  • iOSによるデータ取得を探る
  • ディスクとパーティション

トピックス

  • Apple Essentials
    • MacおよびiOSシステム
    • Windows環境でのMac分析
    • Appleの基礎

  • Mac Essentialsとデータ取得
    • Macファイルシステムドメイン
    • Macディレクトリ構造
    • コンテナ・サンドボックス
    • 買収の落とし穴と考慮事項
    • ハードドライブ、ネットワーク、およびメモリ取得ツール
    • オープン・ソース・ユーティリティを使用したイメージのマウント

  • iOS EssentialsとAcquisition
    • iOSとMacOSの違い
    • セキュリティと暗号化
    • ジェイルブレイク
    • データ取得のタイプと相違点
    • ローカルバックアップとiCloudバックアップ
    • 取得と分析のためのツール
    • パスコードのバイパスとクラッキング

  • ディスクとパーティション
    • ディスクのレイアウト
    • パーティションスキーム
    • GPT
    • ファイルVault
    • ディスクイメージ
    • コアストレージ
    • APFSコンテナ
    • ブートキャンプ
    • Fusionドライブ

FOR518.2: File Systems & System Triage

概要

はじめに、MacとiOSのトリアージデータを確認します。このデータは多くの場合、デバイスの分析を開始するために必要となります。その後、その情報を基に、ファイルシステムを実装し、過去に見た他のオペレーティングシステムとは異なる、さまざまな素晴らしい成果物を調べます。追加のボーナスセクションでは、Appleファイルシステム(APFS)を徹底的に深く理解することで、MacとiOSのフォレンジックの構成要素を学びます。16進エディタを使用し、MacOSとiOSシステムに実装されている主要なファイルシステムの基本構造を学びます。

演習

  • MacとiOSのトリアージ
  • ファイルシステムの楽しみ!
  • APFSの解析

トピックス

  • MacとiOSのトリアージ
    • OSバージョン
    • デバイス識別データ
    • システムのインストール
    • ネットワーク設定
    • タイムゾーンと位置情報サービス
    • ユーザーアカウント
    • 管理対象デバイス
  • 拡張属性
    • コンテンツ
    • 分析
    • ツールサポート
    • フォレンジックに有用な属性
  • ファイルシステムイベント ストアデータベース
    • 使用方法
    • ツールによる解析
    • 実用的な分析
  • スポットライト
    • 分析手法とツール
    • 実用的なクエリー
  • ポータブル・アーティファクト
    • マックが残したアーティファクト
    • 各種ファイルシステムとの違い
  • ファイルシステム
    • HFS+とAPFSの概要
    • データ構造
    • 手動解析
    • APFSクローン
    • APFSスナップショット
    • APFSの利点と注意点

FOR518.3: User Data, System Configuration, and Log Analysis

概要

MacおよびiOSデバイスには、デバイスがどのように使用(または悪用)されたかを示すことができる多くのシステム設定が含まれています。デバイスのユーザーは、有用なフォレンジックインサイトを提供できる特定の設定を変更する可能性があります。多くの場合、これらのコンフィギュレーションアクションはログでも見つけることができ、デバイスがどのように使用されていたかの詳細なストーリーを作成するための歴史的なコンテキストを提供します。

このセクションでは、ログ分析とともに、システムおよびデータ構成に焦点を当てます。これらのデバイスには、それぞれ独自の分析方法と内容を持つ多くの異なるタイプのログがあります。ログ・エントリーは、システム上で発見されたユーザーおよびシステム・データと関連付けられ、迅速かつ効率的に事件を解決するために使用できる詳細なタイムラインを作成することができます。

演習

  • システムログの解析
  • ログ分析
  • ユーザーデータとシステム構成、パートIとパートII

トピックス

  • システムログの解析
    • ログの基本
    • ログの種類(Unix、BSM Audit、Apple System Logs(ASL)、Unified)
    • ログの構成
    • 解析方法と解析ツール
  • ログ解析
    • ツールと方法
    • ボリューム分析
    • システム状態
    • ソフトウェアのインストール
    • アプリケーションバンドルと拡張機能
    • エアドロップ
  • ユーザーデータとシステム構成
    • タイムマシン
    • ネットワーク
    • キーボード
    • 通知
    • ユーザーインターフェース
    • 保存されたアプリケーションの状態
    • 日付と時刻
    • ブルートゥース
    • 印刷
    • 画面共有
    • SSHと端末履歴
    • ユーザーアクティビティ
    • オートラン
    • ファイアウォール
    • キーチェーン
    • スクリーンタイム

FOR518.4: Application Data Analysis

概要

ユーザードメインにあるすべての設定情報と環境設定情報に加え、ユーザーは、インターネット、電子メール、通信、写真、位置情報データなど、さまざまなネイティブAppleアプリケーションとやりとりを行うことが可能です。これらのデータにより、どのような調査においても分析者が「誰が、何を、どこで、なぜ、どのように」といった情報を得られます。

このセクションでは、データが格納されているさまざまなデータベースおよびその他のファイルについて説明します。受講生は、市販ツールのパーサーを使用しなくても、情報を手動でパースできるようになります。

演習

  • iOSのスナップショット、Appのパーミッション、MRU
  • Safariとメール
  • アプリケーション-パートI
  • アプリケーション-パートII

トピックス

  • アプリケーションの基礎
    • ロケーション
    • iOSスナップショット
    • アプリの許可とプライバシー設定
    • 位置情報サービス
    • 最近使用したアプリ(MRU)
    • 設定済みアカウント
    • アプリケーションのテストと分析
  • SQL Lite
    • クエリ構築
    • データベース分析
  • Safariブラウザ
    • 歴史
    • セッション情報
    • キャッシュ
    • 同期
    • プライベートモード

  • Appleメール
    • 場所とデータアクセス
    • メールアカウントと設定
    • 添付ファイル
    • メタデータ

  • コミュニケーション
    • メッセージ
    • FaceTime
    • SMSとiMessage
    • コール履歴
    • ボイスメール
  • その他のアプリケーション
    • カレンダー
    • リマインダー
    • 連絡先
    • メモ
    • WalletとApple Pay
    • 写真
    • 地図
    • Apple Watch

FOR518.5: Advanced Analysis Topics

概要

アップルのシステムには、MacやiOSデバイスを持つ人だけが利用できる技術がいくつか実装されています。このセクションでは、様々な調査で使用できる様々なトピックについて学びます。パターン・オブ・ライフなどのトピックでは、非常に具体的なユーザーとデバイスのアクティビティを詳細に調べ、正確な時間にどのアプリが使用されていたか、何歩歩いたか、デバイスのロックは解除されていたか、デバイスはどこにあったかを特定することができます。

その他のテクノロジーには、ドキュメントの履歴スナップショットを提供するDocument Versionsや、iCloudデータ同期などがある。その他の高度なトピックには、暗号化されたコンテナに隠されたデータのクラック、ライブ応答、侵害の指標、セキュリティ技術、マルウェア解析、Macメモリ解析などが含まれます。

演習

  • Pattern of Life
  • 文書バージョン
  • マルウェアとライブ応答
  • メモリ分析、パスワードのクラッキング、および暗号化されたコンテナ

トピックス

  • Pattern of Life
    • アプリケーションの使用
    • メディア使用状況
    • デバイスの状態
    • 健康状態
    • 位置情報
  • ドキュメントのバージョン
    • バージョンメタデータ
    • バージョンデータベース
    • 世代
    • チャンクストレージ

  • iCloud
    • 同期されたアカウント
    • モバイルドキュメント
    • 同期された環境設定

  • Appleマルウェア
    • 侵入分析
    • ファイル隔離
    • Xプロテクト
    • ゲートキーパー
    • 公証(Notarization)
  • ライブ応答
    • ライブトリアージテクニック
    • 揮発性データの収集

  • メモリーの取得と分析
    • 取得ツール
    • 解析ツール

  • パスワードクラッキングと暗号化コンテナ
    • パスワードシャドウファイル
    • パスワードの解読
    • 辞書ファイル・キーチェーン
    • ファイルVault
    • 暗号化されたボリュームとディスクイメージ

FOR518.6: Mac Forensics & Incident Response Challenge

概要

この講義の最終日には、実世界をベースにしたシナリオをチームメンバーと実行します。それにより、Macのフォレンジックに関して新しく身に付けたスキルを確認していきます。

トピックス

  • ファイル・システムの詳細な調査
  • ファイル・システムのタイムライン解析
  • 高度なコンピュータフォレンジック手法
  • Macメモリ分析
  • ファイル・システム・データ分析
  • メタデータ分析
  • 重要なMacファイルのリカバリ
  • ボリュームとディスクイメージの分析
  • アップル固有技術の分析
  • 高度なログ分析と相関
  • iDeviceの分析とiOSのアーティファクト

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ