ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 589

Cybercrime Intelligence
本コースは満席の為、受付終了しました。

Digital Forensics and Incident Response

English
日程

2024年12月2日(月)~2024年12月6日(金)

期間
5日間
講義時間

1日目: 9:00-17:30
2日目~5日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
-
講師
Sean O'Connor|シーン オコナー
言語
英語 英語教材・同時通訳
定員
20名
CPEポイント
30 Points
受講料

早期割引価格:1,180,000 円(税込み 1,298,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,290,000 円(税込み 1,419,000 円)

申込締切日
早期割引価格:2024年10月18日(金)
通常価格:2024年11月22日(金)
オプション
  • NetWars Continuous  270,000円(税込み 297,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。

現在お申し込みを受け付けておりません

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR589 PC設定詳細

重要!次の手順に従って設定されたPCを持参してください。

SANSトレーニングを有意義に受講していただくには要件を満たすノートPCが必須です。次の要件を確認し、事前に必要な設定を完了しておいてください。講義中は設定をする時間はありません。必ず事前の確認・設定をお願いいたします。
講義の前にシステムのバックアップを行うようにしてください。また、機密データが保存されているシステムは使用しないようにしてください。お客様のデータの消失・破損などへの影響につきましては、弊社は一切の責任を負いません。

システムハードウェア要件

  • CPU:64ビットIntel i5/i7(第4世代以上)プロセッサー、x64ビット2.0GHz以上プロセッサー、またはそれ以上の最新プロセッサーが必須です。
    (重要 - 必ずお読みください:64ビットシステムプロセッサは必須です)
  • 注意:アップルシリコンデバイス(M1プロセッサー以降)は必要な仮想化を行うことができないため、このコースには使用できません。
  • 64ビットのゲスト仮想マシンがラップトップ上で動作するように、CPUとオペレーティングシステムが64ビットをサポートしていること。
  • BIOS設定は、"Intel-VT "などの仮想化技術を有効にするように設定する必要があります。
  • 変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、アクセスできることを確認してください。
  • このコースでは16ギガバイト(GB)以上のRAMが必須です。
    (重要 - 必ずお読みください: 16GB以上のRAMは必須かつ最低限です)
  • USB 3.0 Type-Aポートが必要です。少なくとも1つのUSB 3.0 Type-Aポートが開いており、動作していることが必要です。
    (新しいノートパソコンにはType-CからType-Aへの変換アダプタが必要な場合があります。)
    (注意: エンドポイント保護ソフトウェアの中にはUSBデバイスの使用を禁止しているものがありますので、授業前に市販のUSBドライブでシステムをテストし、コースデータをロードできることを確認してください)
  • システムのハードドライブに150GBの空き容量が必要です。
  • ローカル管理者アクセスが必要です。コース期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ワイヤレス802.11対応

ホストの必須構成とソフトウェア要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • クラスの前にホスト・オペレーティング・システムを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linux のホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は受講者にあります。注意:最新のUSB 3.0デバイスを使用するために、正しいドライバとパッチをインストールする必要があります。
  • Linuxホストを使用する人は、適切なカーネルまたはFUSEモジュールを使用してExFATパーティションにアクセスできる必要もある。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっているか、完全に削除されているか、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品は、あなたがラボを完了するのを妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、コースのラボの達成を妨げるかもしれません。ファイアウォールは無効にするか、無効にするための管理者権限が必要です。
  • 授業前に以下のソフトウェアをインストールしてください:
  • クラス開始前に、VMware Workstation Pro 17+(Windowsホスト用)またはVMWare Fusion Pro 13+(macOSホスト用)をダウンロードしてインストールしてください。Workstation ProとFusion Proは、VMwareのウェブサイトから個人向けに無償で提供されています。また、これらの製品の商用サブスクリプションを使用することもできます。
  • Windowsホストでは、VMware製品がHyper-Vハイパーバイザーと共存できない場合があります。最良のエクスペリエンスを得るためには、VMwareが仮想マシンをブートできることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、および Credential Guard を無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • Microsoft Office(バージョン問わず)またはOpenOfficeがホストにインストールされていること。なお、Officeの試用版ソフトウェアはオンラインでダウンロードできます(30日間無料)。
  • 7Zip(Windowsホスト用)またはKeka(macOS)をダウンロードしてインストールしてください。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアは、SANSアカウントの「コース資料ダウンロード」ページからダウンロードできます。コースのメディアファイルは容量が大きく、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業開始前夜にダウンロードを開始すると、失敗する可能性が高くなります。

PDF形式の印刷教材の提供をしております。また、授業資料を見やすくするために、2台目のモニターやタブレット端末があると快適にご受講いただけます。

ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

FOR589 コース概要

サイバー犯罪インテリジェンスとは何か?

サイバー犯罪インテリジェンスとは、犯罪インテリジェンスのサブセットであり、組織が将来のサイバー脅威を予測、防止、軽減するのを支援する一方、法執行機関や諜報機関がサイバー犯罪者を捜査、起訴するのを支援することです。

本コースの内容

サイバー犯罪のインテリジェンスは、組織が潜在的なサイバー脅威を予測、防止、軽減する上で極めて重要であり、また法執行機関や政府がサイバー犯罪者と闘い、訴追する上でも役立ちます。本コースは、サイバー犯罪者が組織を悪用するために使用する幅広い戦術とテクニックを網羅し、サイバー犯罪のアンダーグラウンドを深く理解します。伝統的なインテリジェンスと最新のサイバーセキュリティ手法の両方に焦点を当てることで、このコースは、既存のインテリジェンス活動を補強し、リスクに積極的に対処し、全体的なサイバーセキュリティ態勢を強化するのに役立ちます。セキュリティ専門家、法執行官、サイバー犯罪のアンダーグラウンド、暗号通貨の犯罪利用の追跡、インテリジェンス、サイバー犯罪対策について詳しく学びたい方に最適です。

本コースでは、実践的な演習と実際のケーススタディを通じて、インフラストラクチャーのマッピング、能力の分析、サイバー犯罪の被害者の発見、キーボードの背後にいるサイバー犯罪者の操作の特定を行います。学生は、ダークウェブ経済、暗号通貨の追跡、マネーロンダリングのスキームについて学びます。また、このコースでは、ソックパペットアカウントの作成方法、脅威アクターとのやり取り、アンダーグラウンドコミュニティへの潜入方法など、サイバー犯罪を安全に調査する方法を学びます。受講者は、様々なサイバーセキュリティ・ツールを実際に使用し、実際のケーススタディに取り組むことで、サイバー脅威の検出、分析、緩和を行うとともに、組織的サイバー犯罪が組織に対して及ぼし得る範囲、規模、潜在的な影響を理解し、情報収集計画内の要件にマッピングします。

本コースのトピック

  • サイバー犯罪対策に関連するインテリジェンス・コンセプトの全情報概要。
  • アンダーグラウンドな世界を安全にナビゲートし、その中で経済を動かす。
  • アンダーグラウンドな世界に潜入し、将来の作戦のための戦術的配置とアクセスを得る。
  • 脅威調査プラットフォームの高度な使用による検索、ピボット、監視。
  • 組織の情報収集計画に対応する要件に関する情報を収集する。
  • インテリジェンス・ライフサイクルに沿って、収集中に脅威データを取得する。
  • 組織の戦略的、戦術的、運営上のニーズを満たすための運営管理。
  • 実績のある、また新たな調査技術を駆使して、人、金、システムを特定する。
  • サイバーキルチェーン、ダイヤモンドモデル、MITRE ATT&CKを用いたマッピングと分析。
  • ネットワーク境界を超えた外部データセットを使用してインシデント対応をサポートする。
  • 野生のインシデント指標を発見することにより、すでに発生した侵害を特定する。
  • 敵対勢力とその優先ターゲットとの関係をマッピングする。
  • 偽情報や誤報を植え付けることで、データポイズニングで行為者を欺く。
  • データポイズニングや偽旗作戦の行為者自身の使用を検出する。
  • 仮名性と匿名性の定義、および運用上のセキュリティとの関連性。
  • サイバー犯罪者にソーシャル・エンジニアリングを行い、人間とのやり取りから貴重な情報を引き出す。
  • 敵の範囲と帰属を理解するのに役立つ暗号通貨のトレース。
  • ブロックチェーン・フォレンジックにより、暗号通貨の支払いを人やサービスに帰属させる。
  • レイヤリングやミキシングなどの暗号ロンダリング手法による犯罪収益の追跡。
  • 発見、探知、拒否、混乱、劣化、破壊のための行動方針マトリックスを使用する。

ビジネス上の利点

  • サイバー犯罪と暗号犯罪に関する知識のギャップを埋める。
  • サイバー犯罪の専門知識を活用し、サイバー脅威インテリジェンス(CTI)業務を強化する。
  • 新たなサイバー犯罪の脅威を積極的に発見し、緩和する。
  • リスク、脅威、不正行為を発見するための早期警告システムを確立する。
  • アクセス・ベクトルを特定し、それを保護し、それを標的とするサイバー犯罪者に対抗する。
  • サイバーアンダーグラウンドの新たなトレンドに基づいたアドバイスにより、捜査の優先順位を絞る。
  • 実績のあるインテリジェンスフレームワークとサイバーキルチェーンを使用して、サイバー犯罪の事象をプロファイルする。
  • 必要に応じて、サイバー攻撃やサイバー詐欺の背後にいる脅威者を特定する能力を開発する。
  • ブロックチェーン・フォレンジックを実施し、敵対者の特定と資金回収の可能性を高める。
  • ベンダーの製品を補完するために、カスタマイズされた適切なインテリジェンス製品を作成する。
  • インシデント対応チームをタイムリーかつ適切なインテリジェンスでサポートする。

本コースで習得できるスキル

  • 伝統的な情報収集分野が今日のサイバー中心の状況にどのように適応してきたかを理解し、何が実用的なインテリジェンスで何がノイズなのかを区別する。
  • 優先的に必要なインテリジェンスとして、脅威アクターと脅威ベクトルにマッピングされた組織のリスクを発見します。
  • 組織のリスク指針に基づく情報要件を、脅威情報に基づく収集計画および運用タスクに変換します。
  • 脅威情報に基づいた意思決定でサイバー犯罪リスクに対処し、防御と対応の両面から行動方針を決定して組織を保護し、犯罪組織にコストを課すことができます。
  • ダークウェブやアンダーグラウンドの脅威の状況を解明し、犯罪コミュニティ、マーケットプレイス、身代金要求サイトなどの情報を入手することができます。
  • オンライン上に偽の人物を作成し、安全な偽装工作を行うことで、受動的にフォーラムを閲覧するか、積極的にブローカーを聞き出すかにかかわらず、情報収集に必要な配置とアクセスを獲得する。
  • 作成した偽の人物が招待制コミュニティや敵対的なインフラに潜入できるよう、アンダーグラウンドネットワーク内で信頼性を築く。
  • 情報源の能力、アクセス、信頼性のレベルを測定し、情報源を吟味する。
  • 実績のあるインテリジェンス要件、収集計画、運用手順に基づいて構築された現実的なソリューションを提供することで、実用的なサイバー犯罪インテリジェンスを生成します。
  • 侵害指標と識別子によりサイバー攻撃の根本原因分析をスピードアップし、患者ゼロの特定にかかる時間を数週間/数日から数時間/数分に短縮。
  • 脅威インテリジェンス・プラットフォームを早期警戒システムとして調整し、インターネット・エコシステム、特にディープ・ウェブやダーク・ウェブにおけるリスク・エクスポージャーを検知する。
  • 商業ツールやオープンソースツールを使用して暗号通貨による支払いを追跡し、送金者と受信者を特定する。

サイバーインテリジェンス演習

SANSラボは、コースのコンセプトと学習目標を強化するための実践的な経験を提供します。このコースには、教材に直結したステップバイステップの電子ワークブックが含まれています。ラボでは以下の内容に取り組みます。

  • ラボ 1.1:CROM VM のセットアップと Authentic8 Silo の紹介
  • ラボ1.2:パスワード・ピボットとパスワード・マネージャー
  • ラボ1.3:ペルソナの準備とSock Puppetアカウントの作成
  • ラボ1.4:識別子、書類、プロファイリング
  • ラボ1.5:Maltegoによるリンク分析
  • ラボ2.1:サイバー犯罪サイトの特定と列挙
  • ラボ2.2:サイバー犯罪インフラ分析
  • ラボ2.3:敵のプロファイリング
  • ラボ2.4:能力評価とモニタリング
  • ラボ2.5:サイバー犯罪インテリジェンス・プラットフォーム
  • ラボ3.1:ジェネシス・ブロック
  • ラボ3.2:ツイッターのハックと詐欺
  • ラボ3.3: 防弾ホスティングプロバイダーのプロファイリング
  • ラボ3.4:ビットフィネックスのハックとマネーロンダリング
  • ラボ3.5:ダークサイド・ランサムウェアとコロニアル・パイプライン
  • ラボ4.1:初期アクセスの獲得
  • ラボ4.2:環境を評価する
  • ラボ4.3:自動収集と分析
  • ラボ4.4:スポッティングと評価
  • ラボ4.5:敵との交戦
  • ラボ5:FOR589キャップストーン演習

本コースの提供教材

  • 仮想マシンワークステーション
    • 受講生は、設定済みのインストール可能な調査を可能にする仮想マシンを受け取ります。コースに必要なものはすべてインストール済みで、すぐに起動できます。
  • 調査用Authentic8 サイロ
    • 受講者は、Authentic8 Silo 管理アトリビューション プラットフォームにアクセスし、フォーラム、マーケット、チャットルーム、身代金サイト、貼り付けサイトなどのダークウェブ サイトやソースを安全に調査するためのデモ ライセンスを取得します。
  • Chainalysis Reactor platform
    • 学生には、暗号通貨取引を調査するためのChainalysis Reactorプラットフォームにアクセスするためのデモライセンスが提供されます。
  • Maltego
    • 学生は、データリンク分析とグラフ視覚化を利用した調査を実施するために、Maltegoにアクセスするためのデモライセンスを受け取ります。

受講対象者

前提条件

FOR589サイバー犯罪インテリジェンスは、サイバー犯罪経済からの脅威をナビゲートし、発見し、検知し、破壊することに焦点を当てたコースです。入門的な内容ですが、インテリジェンス、ダークウェブアクセス、ウェブデータ収集、暗号通貨トレース、デジタルフォレンジックやインシデントレスポンスに精通していることが有益です。このコースの技術的な要求は、他の初級SANSコースと同等であるため、SANSの初学者はこのコースで成功するでしょう。

下記のSANSコースのいずれか、または同等のトレーニングを受講していると有利です。ただし、これらのコースは役に立ちますが、必須ではありません。

講義内容の一例

コース開発者より

セキュリティ侵害は避けられない。それは「もし」ではなく、「いつ」の問題なのだ。そして、過去10年間、金銭的な動機によるデータ漏洩は、他のすべてのタイプの漏洩を合わせたよりも多かった。FOR589ではサイバー犯罪インテリジェンスでは、犯罪者の参入障壁が再び低くなったサイバー犯罪経済の産業革命を目の当たりにしている今、組織にとっての最大の脅威に関するインテリジェンスを積極的に収集するよう、セキュリティ専門家に指導します。

- Sean O'Connor

サイバー犯罪はあらゆる組織の運営にとって最大の脅威であり、組織的サイバー犯罪はさらに陰湿で破壊的な道へと進化し続けている。組織化されたサイバー犯罪者が蓄えた莫大な不正蓄財は、地下経済全体を顕在化させるに至っている。ランサムウェア攻撃は、あらゆる種類のネットワークへのアクセスを収益化する最も収益性の高い破壊的な手法の一つとして存続している。2021年に発生したコロニアル・パイプラインのランサムウェア事件は、米国の重要インフラに対するこれまでで最も破壊的なサイバー攻撃だった。この事件は、サイバー犯罪の根絶が現実世界の大惨事に直結することを示した。このように、サイバー犯罪の脅威を理解することはこれまで以上に重要である。FOR589:サイバー犯罪インテリジェンスは、その一助となるものです。このコースは、サイバー犯罪のアンダーグラウンドに関する知識と、サイバー犯罪のインテリジェンスを引き出し、潜入捜査を行い、最終的には敵対勢力を崩壊させる方法を学生に身に付けさせる。

- Will Thomas

サイバー犯罪者は、金銭的な利益を第一の目的としてネットワークに侵入することが多い。残念なことに、多くの組織が機密データや知的財産を窃盗や悪用されやすい状態に置いているため、ランサムウェア攻撃の被害に遭ったときの選択肢がほとんどありません。多くの場合、身代金を支払うことで、敵対者の財務能力を高め、その後の侵害の脅威をエスカレートさせることになります。FOR589では、サイバー犯罪の裏社会を深く掘り下げるスキルを学生に提供します。これは、組織の防御を強化し、将来のセキュリティインシデントの可能性を軽減し、この悪循環を断ち切るために不可欠です。FOR589では、この犯罪エコシステムを安全に探索する方法を学生に教えるとともに、暗号通貨取引を追跡するための実践的なトレーニングを提供し、ブロックチェーン上の金融の流れを監視することによって、さらなるインテリジェンスを提供します

- Conan Beach

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5

Cybercriminal Intelligence

概要

サイバー犯罪の先手を打ち、境界線を広げる方法はある。それは、直面している広大な状況を知り、そのすべてを理解するための健全な方法論を適用することから始まる。

セキュリティの専門家と法執行機関は、最新の犯罪動向を常に把握していなければならない。リスクが高く、ミスの余地が少ないシナリオでは、仲間や被害者は私たちの助けを必要としている。その助けを提供するためには、私たちの方法論とプロセスが防御可能でなければなりません。FOR589は、サイバー犯罪インテリジェンスの収集と処理に関するこれらの基準を使用することで、選択した行動指針が適切に導かれ、決定され、適用されることを保証することができます。

セクション1では、インテリジェンス要件、収集計画、運用手順、フレームワークに関する基準を紹介する。リスクにさらされている自分たちの資産を理解すれば、攻撃ベクトルや関心を寄せている脅威行為者にそれらをマッピングすることができます。このアプローチにより、新たな脅威を予測し、サイバー犯罪者の一歩先を行くことができます。

エクササイズ

  • ワークステーションとベンダーのオリエンテーション
  • サイバー犯罪者のプロファイルと証拠書類の作成
  • データ可視化ツールによるリンク分析の実施
  • 業界標準モデルによるサイバー犯罪キャンペーンのプロファイリング
  • オンライン・ペルソナ・ソックパペット・アカウントを安全に作成する
  • ソックパペット・アカウントの維持・管理

トピックス

  • インテリジェンスの基礎
    • 情報とインテリジェンス
    • 情報収集分野
    • 全ソースコレクションの分析
    • 構造化された分析手法
    • 法的考察
  • 諜報活動
    • 情報プログラムの管理
    • 脅威ハント機能の構築
    • 能力提供のための人材派遣プログラム
    • 法的考察
  • プランニング・コレクション
    • 優先的に必要な情報
    • ターゲットを絞った収集計画
    • コレクション管理のフレームワーク
  • サイバー攻撃のプロファイリング
    • 標準化された手法による侵入のプロファイリング
    • MITRE ATT&CK フレームワークの使用
    • ロッキード・マーチンのサイバー・キル・チェーンの活用
    • 独自の帰属クラスターによるキャンペーンのグループ化
    • 情報漏えいの前兆を脅威情報に基づく予測に変換
    • 侵害前兆インテリジェンスによる身代金イベントの予測
  • オペレーション・セキュリティ101
    • 地下のオペレーション・セキュリティ(OPSEC)モデリングのための深層防衛
    • アイデンティティのフットプリントとアカウント登録の区分け
    • インターネットアクセスとネットワーク経路の区分け
    • ウェブブラウザとウェブセッションの区分け
    • ホストシステムと仮想マシンの区分け
    • アカウント・コンテキストのためのバックストーリー付きペルソナの作成
    • 潜入と偵察のための口座開設
    • もっともらしい否認可能性とログ・コンプライアンスのバランス
    • 事例集でOPSECの失敗を分析する
  • 覆面調査の準備ペルソナとアカウント
    • 偽名と匿名の区別
    • ソックパペットとデータポイズニング
    • 靴下人形の制作と裏話
    • ソックパペットの管理と取り扱い
    • OPSECの失敗は、しばしば悪質なソックパペットの結果である。
    • OPSECの失敗は、いかにしてカバーや作戦を燃やしやすいか
    • ソックパペットを守る:OPSEC、PERSEC、NETSEC

Cybercriminal Underground

概要

サイバー犯罪のエコシステムには、敵対者/犯罪者、被害者/ターゲット、手法/サービス、インフラ/資金がある。このエコシステムを明確にすることは、かつてないほど重要である。

サイバープロフェッショナルとして、サイバー犯罪のアンダーグラウンドを理解することは、直面している状況や経済を知る上で不可欠である。そのすべてにアクセスし、ナビゲートすることを学ばなければならない。サイバー犯罪のアンダーグラウンドをしっかりとマッピングすることで、私たちは敵の遊び場に遭遇し、アンダーグラウンドの情報を源流から収集することができます。

このセクションでは、"既知 "を見つけ、"未知 "を探るために必要なリソースを学生に提供する。サイバー犯罪のアンダーグラウンドを解明することで、新たなリスクや脅威に対処するための基本である両方を見つけることができる。これは、新たなリスクや脅威に対抗するための基本でもある。このセクションが終わる頃には、サイバー犯罪者と同じ土俵で渡り合えるようになり、強力な防御やノックアウト・オフェンスの可能性が開けるだろう。

エクササイズ

  • フォーラムの列挙
  • 脅威インテリジェンス・プラットフォームへのクエリによる犯罪活動のハンティング
  • クエリをアラート・ルールに変換して犯罪活動を追跡
  • サイバー犯罪フォーラムに掲載された初期アクセスブローカーの被害者を特定する。
  • サイバー犯罪マーケットプレイスに掲載されたマルウェア感染被害者ログを解剖する
  • 身代金恐喝サイトに掲載された犯罪者と被害者の関係を関連づける
  • 侵害されたデータへのアクセス、分析、そしてサイバー犯罪のアトリビューションのためのピボット。

トピックス

  • アンダーグラウンド・インテリジェンスによるサイバー犯罪のエコシステムの追跡
    • サイバー犯罪者の地下を造成する
    • サイバー犯罪経済のマッピング
    • サイバー犯罪インテリジェンスの使用例
    • サイバー犯罪用語
    • ダークウェブの基礎と進化
    • 地下コミュニティの種類
    • サイバークライム・アズ・ア・サービス
  • サイバー犯罪の発見サービスとインフラ
    • 活動地域を類型化してプロファイリング
    • 隠れたサービスと一般的なインターネット・サービスの比較
    • サイバー犯罪インフラのマッピングとピボット
    • キャンペーンで使用される攻撃インフラの特定
    • サイバー犯罪のためのInfrastructure-as-a-Service
    • コミュニティをナビゲートする:フォーラム、マーケット、チャット
    • キャンペーン・インフラをナビゲート:身代金恐喝サイト、C2パネル
    • ナビゲーション・サービス:検索ツール、ホスティング・サービス
  • サイバー犯罪の発見アクターと敵対者
    • 類型化によるサイバー犯罪者のプロファイリング
    • フォーラム、マーケット、チャットでのサイバー犯罪者の追跡
    • サイバー犯罪の脅威者/グループ
    • マルウェア、ボットネット、フィッシング、データブローカー、アクセスブローカー、ランサムウェア、マネーロンダリング、国家、APT(Advanced Persistent Threat:高度持続的脅威)といった脅威要因の種類を深く掘り下げる。
    • 敵の評価
  • サイバー犯罪の発見方法と能力
    • サイバー犯罪ツールキット
    • サイバー犯罪者のテンプレート化された攻撃
    • サイバー犯罪サービスレンタル
    • 脆弱性と悪用
    • マルウェアツール
    • フィッシング攻撃
    • ソーシャル・エンジニアリング
    • アカウント買収
    • 金融詐欺
    • 犯罪者のDox公開の分析
    • MITRE ATT&CKとダイヤモンド・イベントのマッピング
    • ダイヤモンド・イベントをロッキード・マーチンのサイバー・キル・チェーンにマッピングする
  • サイバー犯罪の発見ターゲットと被害者
    • サイバー攻撃と詐欺インシデントの被害者分析
    • 事故前兆指標の収集
    • セキュリティ・インシデントの識別情報を収集する
    • 公開身代金恐喝ブログから被害者を発見する
    • イニシャル・アクセス・ブローカーの被害者の発見
    • データ漏洩やマルウェア感染における被害者の発見
    • マルスパムリストによる標的型メールの発見
    • インターネットスキャンで対象システムを発見
    • ネットワーク・トラフィック分析によるC2被害者の発見
  • 戦術のツール脅威インテリジェンス・プラットフォーム(TIPs)
    • 脅威調査ツールのオプションを発見する
    • FlashpointやIntel471のような脅威情報プラットフォームを操る
    • デジタルリスク監視のための早期警告システムの構築
    • 情報要件に基づくアラートの設計
    • TIPクエリーによるリスクと脅威の探索
    • TIPクエリを実用的な検出に変換する
    • TIPを用いた脅威行為者の活動の調査
    • TIPによるフォーラムと市場の調査
    • OSINTツールとフレームワークの発見

Cryptocurrency Investigations

概要

暗号通貨は匿名だと思われがちだが、せいぜい仮の名前だ。

犯罪者はこうした仮想資産を大量に扱っているため、これを悪用して彼らの正体を暴くことができる!

犯罪経済における暗号通貨の普及は、誇張しすぎず、見過ごすこともできません。このセクションでは、暗号通貨の取引を追跡し、基礎となるブロックチェーン技術を理解し、この領域に重層するマネーロンダリングのスキームについて学びます。さらに、これらの概念を犯罪の帰属など、実践的なインテリジェンス・アプリケーションに置き換えます。

このような仮想資産は、サイバー犯罪のアンダーグラウンドにおけるサービスの資金調達において、確かに多くの役割を果たしてきたが、防弾仕様ではない!取引中にミスが起こり、犯罪相手とその現実の身元を割り出す機会が生まれる。このセクションでは、送り手と受け手を区別し、サービスと人を区別し、マネーロンダリングのスキームを解明するのに役立つクラスター分析スキルを学ぶ。最後に、犯罪者の正体を暴くためのKYC(Know Your Customer:顧客情報開示請求)記録の実用的な利用法を探る。

エクササイズ

  • オープンソースツールを使用した基本的なクラスタリングによるトランザクション分析
  • Chainalysis Reactorを用いた高度なクラスタリングによるトランザクション分析
  • 難読化手法の特定と追跡
  • KYCリクエストの提出
  • 暗号通貨犯罪に使われるロンダリング手法を探る
  • 現実世界のサイバー犯罪組織の金融ネットワークをマッピングする

トピックス

  • ファイナンシャル・インテリジェンス(FININT)による金融犯罪の追跡
    • 金融犯罪の歴史と進化
    • マネーロンダリングとその発生
    • アンチマネーロンダリング(AML)に関する法規制
    • AML調査におけるファイナンシャル・インテリジェンス・ユニットの役割
    • 疑わしい活動報告(SAR)の提出
    • 仮想資産と仮想資産サービス・プロバイダー
    • 暗号通貨と犯罪のユースケース
  • ブロックチェーン・インテリジェンスで暗号通貨犯罪を追跡する
    • 暗号通貨と犯罪情報のユースケース
    • 暗号通貨の目的と基礎知識
    • ブロックチェーン技術の機能
    • 暗号通貨の種類と用語
    • 親権者と非親権者の財布
    • トランザクションを文脈化するクラスター分析
    • 違法サービスと合法サービスの区別
  • 暗号通貨のトレース基本的なクラスタリング
    • ブロックチェーン・エクスプローラー・ツールで暗号通貨を追跡する
    • 送信者と受信者を発見するビットコイン取引相手のマッピング
    • インプットとアウトプットをマッピングするためのビットコイン支出と共同支出分析
    • 未使用取引(UTXO)モデルによるビットコイン変動分析
    • オフチェーン・インテリジェンスによるオンチェーン分析の強化
    • 新規ビットコイン取引の監視
  • 暗号通貨のトレース高度なクラスタリング
    • Chainalysis Reactorのようなブロックチェーン分析プラットフォームの紹介
    • 高度な暗号通貨取引の特定と追跡
    • 暗号通貨ウォレット識別のための行動パターン
    • プライバシーを強化したウォレットの検出と追跡
    • ミキサーやチェーンホッピングのような高度な難読化テクニックの検出とトレース
    • "doxxic change "の検出と追跡
    • ダスティング攻撃による対象ターゲットの追跡と帰属
  • 暗号通貨アトリビューションによるサイバー犯罪者のプロファイリング
    • ブロックチェーン分析のダイヤモンドモデルの応用
    • KYCリクエストの紹介
    • KYC要求による利害関係者の特定
    • 暗号通貨をフィアットに変換する際のオペレーション・セキュリティ(OPSEC)リスク
    • 外国資産管理局(OFAC)により制裁された取引所
    • キャッシュアウトのための中央集権型および分散型P2P取引所
    • キャッシュアウト戦略のための資金洗浄スキーム
    • アトリビューションにつながるOPSECミスの特定

Undercover Operations & Countermeasures

概要

サイバー犯罪の生態系を評価したのだから、次はより深く潜入し、対策の利用を促進しよう。犯罪者は、社会的交流、キャンペーン・マッピング、計画的なテイクダウンによって混乱させることができます。

人、システム、資金は、適切なアクセスとスキルを持つ調査員が認識できる、悪用可能な特徴を持っている。これらの特徴を収集することで、対策に役立てることができます。このセクションでは、これらの特徴を発見し、手動と自動の両方で収集し、犯罪捜査や混乱に活用する方法を説明します。

このセクションでは、オンライン・ヒューマン・インテリジェンス(HUMINT)情報源の中核的な特徴を利用した、ラポール(信頼関係)と聞き出しテクニックの組み合わせを使用する方法を学習します。このプロセスを通じて、情報コレクターは会話の密かに構造化されたコントロールを維持し、各サイバー犯罪者の情報源がコレクターの情報要件に関連するトピックを明らかにするようにします。サイバー犯罪者とそのインフラストラクチャーが特定されると、掌握から協調的なテイクダウンに至るまで、対策を実施する新たな可能性が広がる。

エクササイズ

  • vHUMINTのエンゲージメント・コレクションに紛れ込むソックパペットを使う
  • ウェブブラウザでTorネットワークを経由して隠されたサービスサイトを閲覧する
  • 隠されたサービスファイルディレクトリのスクレイピング
  • ペルソナに焦点を当てたディープダイブによるサイバー犯罪者の特定
  • 事前のアトリビューション調査結果を行動方針マトリクスにマッピング(サイバー犯罪対策)

トピックス

  • 覆面調査の準備ケース管理
    • 収集の任務、目的、ターゲットの選択
    • オペレーション、インフラ、考え方の準備
    • 覆面調査員の幅広いスキルセットを認識する
    • 配置とアクセス(P&A)要件の特定
    • オペレーション・セキュリティ(OPSEC)対策の実施
    • 覆面調査における法的・倫理的配慮
    • 収集限度を超えるデータアクセス要求の承認
  • 潜入捜査潜入と欺瞞
    • バーチャル・ヒューミント(vHUMINT)におけるソーシャル・エンジニアリング
    • 情報源への関与のアプローチ:公然、秘密、内密
    • ゲート付きソースとゲートなしソースの浸潤
    • ゲーテッド・ソースへの侵入:有料入場と審査付き入場
    • 規範や基準を意識して詐欺に紛れ込み、見破る
    • ソースの募集、取り扱い、プロファイリング、焼却通知
    • 収集のための人的資源を関与させ、引き出すための尋問戦術
    • データブローカーおよびアクセスブローカー広告によるアトリビューション分析
    • 被害者のデータ復元、帰属分析、法的懸念のための管理された買い付け
    • HUMINTの情報収集を実用的な成果に変換する
  • 覆面調査データ収集の自動化
    • ウェブスクレイピング作業をゼロから構築する方法を探る
    • Torネットワーク経由のウェブフォーラムスクレイピングの要件を評価する
    • ダークウェブ・フォーラム・スクレイパーを構築し、データを収集・保存する
    • ダークウェブ・フォーラムのデータベースを構築し、データのクエリ、解析、インジェストを行う。
  • 覆面対策:レスポンシブ・ディスラプション
    • サイバー犯罪の妨害とテイクダウンに関する法的・倫理的考察
    • 法執行機関や同業者とのコンサルティング
    • 計画、意図、行動を合法的に検討するため、法務チームと協議する。
    • サイバー犯罪インフラと脅威アクターのマッピングと特定
    • 法執行機関との連携によるサイバー犯罪の阻止
    • 疑わしいインフラの撤去を通じてサイバー犯罪を阻止する
    • 復号化インテリジェンスを使って、身代金なしで身代金要求されたシステムを取り戻す
    • アドレス、キー、ウォレットなどの暗号通貨アーティファクトの収集
    • サイバー犯罪の取り締まりユースケースの行動規範マトリックス

Capstone

概要

サイバー犯罪者の地下組織を調査し、新種のサイバー恐喝キャンペーンの背後にいる人物を解明することで、学んだことのすべてを試してみよう。

FOR589の最終日は、調査を開始することに焦点を当てたキャップストーン・チャレンジである。受講生は、コース全体の様々な要素をまとめた楽しく有意義な演習に取り組む。キャップストーンでは、受講生が新しく学んだスキルを実践できるようなシミュレーション・シナリオを通じて、教えられた原則を強化する。

受講生には架空のシナリオが提示され、調査・分析すべき項目のリストが与えられる。これらには、サイバー犯罪者の地下フォーラム、マーケット、リークサイトからの投稿、スレッド、プロフィール、リークされたプライベートチャットログ、データベース、脅威行為者のインフラストラクチャなどが含まれます。また、架空のブロックチェーン台帳も用意され、受講生はそれを使って取引を追跡し、脅威行為者やさまざまな種類の活動を追跡する。受講生は、情報アナリストが調査する現実世界のシナリオを模したデータセットを使って、法執行機関の観点から情報要件を満たす方法を考えなければならない。

受講生たちはチームに分かれ、その日の終わりには、講師やクラスメートに向けて、収集、処理、分析、悪用といった諜報活動のライフサイクルにおけるステップを含め、調査で発見したことを発表する。

トピックス

  • 何を学ぶか
    • コースで学んだスキルの実践方法
    • サイバー犯罪の模擬作戦を安全に調査する方法
    • 召喚状の発動を正当化または保証する証拠を提示する方法
    • 利害関係者に調査結果を示すプレゼンテーションの作成方法
  • 必要なもの
    • チーム - 生徒はチームを編成され、協力して調査を行う。
    • コンピュータ - シミュレートされたデータセットにアクセスし、分析するシステム
    • 調査マインドセット - 生徒は不可解なシナリオを率先して解決する。
  • 何をするのか
    • 業務範囲を理解し、要件を満たすための計画を立てる。
    • チーム内で役割を分担し、メンバーのスキルに合った仕事をこなす
    • 最初の収集段階はすでに終わっているため、データの処理と分析を行う。
    • 特定された活動やソーシャルネットワークを利用して、敵の資料を作成する。
    • サイバー犯罪者の地下組織をマッピングし、主要なサービスと敵対者を浮き彫りにする。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ