SECURITY 487

Open-Source Intelligence (OSINT) Gathering and Analysis

日程 2020年10月5日(月)~9日(金)、10月12日(月)~16日(金) (10日間)
講義時間 9:00~14:00
会場

オンライン

講師

Micah Hofman(SANSプリンシパルインストラクター) >> 講師プロフィール

定員 40名 英語教材・同時通訳
CPEポイント 36 point
受講料 810,000円(税抜)
申込締切日 2020年9月25日(金)
オプション
■GIAC試験 95,000円(税抜)
※上記試験費用は講義と同時申込み時のみ有効です。講義申込み完了後から講義開始までの間に追加でお申込みいただく際には別途、事務手数料(1万円)が発生します。また講義開始後のお申込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
■OnDemand 95,000円(税抜)
■NetWars Continuous 174,000円(税抜)
 
 
↓↓以下の「お申込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。↓↓
ev_entry

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC487 PC設定詳細

SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。

ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OS X、Linuxのいずれかの64bit版を使用してください。また、クラスでVMが正常に機能するためには、8GB以上のRAMが必要です。

利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。64 bit対応のノートPCを利用することに加えて、BIOS/UEFIがAMD-V、Intel VT-x、または同等の仮想化機能をサポートしており有効になっている必要があります

事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation Pro 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。


PCの必須ハードウェア要件

  • CPU:64 bit 2.0+GHz 以上のプロセッサ(必須)
  • BIOS/UEFI:: BIOS/UEFIにおいて、仮想化技術(VT-x, AMD-V など)の利用が有効になっていること
  • RAM:8GB以上(最小必須)
  • NW:802.11/G/N/AC無線LAN
  • HDD/SSD:最低30GB以上の空き容量(より大容量を推奨)
  • システムの管理者権限を持っていることを確認
  • ご使用のCPUがVMwareのバージョンをサポートしていることを確認(コースが始まる前に必ずご確認ください)

必要な事前ダウンロードファイル等

  • VMWare Workstation15.5,WorkstaionPlayer15.5,Fusion11.5 (もしくはこれより新しいもの)
  • その他:ホストOSのローカルアドミニストレーター権限(セキュリティツールを無効にできる権限)
  • Linuxの仮想マシン(VM)をこのコース用に配布します。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

コース概要

本コースは、オープンソース・インテリジェンス(OSINT)に関する情報収集の基礎コースであり、そのため、この分野の多くを迅速に知ることができます。このコースはOSINTについて学びたい人のための入門コースですが、学べる概念やツールは基本的なものとは程遠いものです。このコースの目標は、受講者がサイバーディフェンダー、脅威インテリジェンスアナリスト、保険金支払査定人、インテリジェンスアナリスト、警察関係の職員、または単にOSINTに興味がある人であるかどうかにかかわらず、それぞれの分野で実績を上げるためのOSINTの基礎知識を提供することです。

多くの人は、お気に入りのインターネットの検索エンジンを使えば、必要なデータを見つけるのに十分であると考えていて、インターネットのほとんどが検索エンジンによってインデックス付けされていないことに気付いていません。SEC487は、これらのデータを見つけるための効果的な方法を受講生にご提供します。法執行機関、私立探偵、サイバー攻撃者、防御者がインターネット上で発見された大量の情報を精査するために使用する実戦的なスキルとテクニックを学びます。情報が得られたら、それが正しいことを確認する方法、収集したものを分析する方法、および調査に役立つようにする方法を紹介します。

20以上に及ぶラボでは、ライブインターネットとダークウェブを使用しながら、OSINTを学ぶことができます。

 

コース受講に当たっての注意事項:

SEC487の受講生は、受講申し込み後に連携されるSANSポータルアカウントで、ハンズオンラボなどで利用するツールやサービス等のライセンス情報を受け取ることができます。受講開始時に、受講申し込み後に連携されるSANSポータルアカウントにアクセスできることを確認してください。

組織の中で受講生の代理で受講申し込みをする場合は、受講生のSANSポータルアカウントとリンクしている(初めてのお申し込みの場合はリンクさせたい)メールアドレスで受講生を登録する必要があります。そうすることで、受講生は、コースを完了するための適切な機器を準備するために、自分のSANSポータルアカウントでライセンス情報を受け取ることができるようになります。


コースメニューへ▲   ページトップへ▲
 

受講対象者

このコースでは、法的調査のために容疑者を見つけようとしている場合でも、特定の職階に関する求人の候補者を特定しようとしている場合でも、ペネトレーションテストのためのホスト情報を集めようとしている場合でも、ディフェンダーとしてハニートークンを検索しようとしている場合でも、仕事に役立つテクニックを教えてくれます。以下のリストは完全なものではありませんが、SEC487のOSINTトピックは以下のような方に役立つでしょう。

 ・サイバーインシデントレスポンダー
 ・デジタルフォレンジック(DFIR)アナリスト
 ・ペネトレーションテスター
 ・ソーシャルエンジニア
 ・法執行機関(警察など)
 ・保険調査員
 ・人事担当者
 ・調査員

※SEC487は、GIAC(GOSI)認定試験対象コースです。
コースメニューへ▲   ページトップへ▲

講義内容の一例(講義を受講してできるようになること)

  • OSINTプロセスの構築
  • 幅広い顧客をサポートするためのOSINT調査の実施
  • データ収集ライフサイクルの理解
  • データ収集のためのセキュアなプラットフォームの構築
  • 顧客の収集したいデータの分析
  • データの取得と記録
  • sock puppetアカウント(詐称目的で使用されるアカウント)の作成
  • 独自ののOSINTプロセスの構築
  • ウェブデータの収穫
  • 人々に関するデータ検索の実施
  • ソーシャルメディアデータへのアクセス
  • オンラインカメラと地図データを使用して遠隔地を評価
  • ソーシャルメディアの地理的位置情報の調査
  • 事業内容の調査
  • 政府提供のデータの利用
  • ダークウエブからのデータ収集
  • 海外のサイトやツールの活用

ハンズオンラボ

SEC487は、あるトピックを学習・調査した後、実習を行い、理解を深めていきます。このコースでは、Section1-5の5つのセクションで20以上のラボが行われ、最後のSection6ではハンズオンのCapture-the-Flagチャレンジが行われます。以下のラボの内容をチェックして、コースで提供されるVM環境(仮想マシン)で何をするのかを実感してください。

Section1:
・提供される本コース用VM(仮想マシン)を設定し、その後、すべてのウェブトラフィックを保護するために
 使用するVPNを設定
・MindMapツールを使用してOSINTデータを文書化し、データ可視化アプリケーションを使用して
 人と人との関係を分析
・パスワードマネージャーを設定することで、sock puppetアカウント(詐称目的で使用されるアカウント)や
 他のアカウントに必要なパスワードを安全に保存
・現実的なユーザー属性のsock puppetアカウントの作成。これは、コースの後半の他のラボを円滑に
 進めるための鍵となるでしょう。
・クラスのSlackグループに参加し、OSINTに関する事項と、ラボで使うアプリケーションのセットアップや
その使用方法について議論・質問できます。

Section2:
・Google AnalyticsのIDやHTTPS証明書内の情報などのWebデータを収集
・自宅の住所と電話番号情報をその所有者にトレース
・企業のメールアドレスを収集
・偵察フレームワークを使用して、特定のユーザーアカウントを探しているウェブサイトを迅速にスキャン
・リバースイメージを検索して、その画像が使われていた場所などの身元探し

Section3:
・検索エンジンでクエリを実行して、誰かについての情報を発見
・表層および深層データを取得するためのFacebookクエリを実行
・ツイートを分析して感情・心情を判断し、ツイートしている位置を特定
・メタデータをかき集めてGPS座標をマッピング

Section4:
・オンライン地図サイトを使用してあるエリアを偵察
・無線ネットワークのデータを検索(アリバイを確認するために使用)
・OSINT フレームワークを実行して、ドメインについてどのような情報が見つかるかを探索
・雑学に関する質問に答えるために、様々な政府機関のウェブサイトを調査
・CEOのデータと企業で使われているシステム関するデータを収集

Section5:
・Torを使ってインターネットサイトや隠れたサービスを訪問することで、ディープウェブに飛び込み、
  独自の隠れサービスを特定
・HaveIBeenPwned.comのウェブサイトとAPIに問い合わせて、侵害されたユーザーアカウントを探索
・翻訳サイトを利用して、テキストを他の言語に翻訳する練習
・いくつかの国で使用されている人気のウェブサイトやモバイルアプリを探索
・これまでのラボで実施・収集した内容を統合し、受講生がプロセスを練習するのに役立つソロCTFの実施

Section6:
・グループ対抗のCapture-the-Flagに参加

コースメニューへ▲   ページトップへ▲
コース開発者より

私は、インターネット上にあるデータの種類と量にいつも興味をそそられてきました。外国の街の美味しいレストランのリサーチから、ビデオカメラで人々を観察することまで、すべてが私を魅了しています。インターネットが進化するにつれ、より質の高いリアルタイムのリソースが利用できるようになり、毎日が休日のように、新しい不思議なツールやサイトがオンラインで自由にアクセスできるようになりました。

ある時点で、私はもはやウェブ上の素晴らしいリソースに畏敬の念を抱くことはなくなり、代わりに、人々が違法もしくは危険をさらす状況にある自分の画像を投稿したり、ユーザープロフィールにそのような露骨で詳細なコンテンツが含まれていることに驚きを覚えるようになりました。私の驚きは、このような人々への懸念へと変化しました。私が発見したのは、人、ネットワーク、会社の情報について、それらの情報が見つかりやすい場所が特定できれば、ほとんど何でも見つけることができるということでした。一見無意味に見えるデータの断片を、意味のあるストーリーにまとめることが、私の情熱となり、最終的にはこのコースを設立する理由となりました。

私は、OSINTに関する素晴らしいパフォーマンスを発揮する障壁は、インターネット上に無料のデータがないことではないと認識しています。インターネット上にはあまりにも多くのデータが存在してます。課題は『どうやって何かを見つけるか』から『どうやって必要なものだけを見つけるか』へと変化していきました。このコースは、インターネットからOSINTデータを効果的に収集し、分析するためのツールとテクニックを学びたい人たちを支援する必要性から設立されました。 -Micah Hoffman

Day 1

Foundations of OSINT
OSINTの基礎

基本的なことから始め、"OSINTとは何か "と "人々はどのようにそれを使うのか "という質問に答えていきます。このコースの最初のセクションでは、レベルの設定と、OSINT分野で何をするのかという背景を生徒全員が理解できているかを確認します。また、調査結果の文書化の方法と、OSINTプラットフォームを構築する方法を学ぶことで、 残りのコースに向けた基礎を固めます。このセクションで学ぶ情報は、OSINTアナリストとして成功するための重要な要素です。なぜなら、これらの概念やプロセスをきちんと理解していないと、研究者が評価中に不注意にターゲットに警告を発したり、データを不適切に収集したりして、深刻なトラブルに巻き込まれる可能性があるからです。

CPE/CMU Credits: 6

トピック

・Course Introduction
・Understanding OSINT
・Goals of OSINT Collection
・Diving into Collecting
・Taking Excellent Notes
・Determining Your Threat Profile
・Setting up an OSINT Platform
・Effective Habits and Process
・Leveraging Search Engines
Day 2

Gathering, Searching, and Analyzing OSINT
OSINTの収集、調査、分析

ここまで、我々の導く結論や勧告に影響を及ぼす可能性のある誤認識についていくつか垣間見てきましたが、いよいよこのセクションからOSINTデータの収集が始まります。ここより先のコースでは、様々なデータのカテゴリーを調べ、それが調査にどんな意味をもたらすのかを考えます。インターネットからデータを取得するということは、ウェブページを表示するためにウェブブラウザを使用したり、このセクションで学ぶように、コマンドラインツール、スクリプト、ヘルパーアプリケーションを使用したりすることを意味します。

CPE/CMU Credits: 6

トピック

・Data Analysis Challenges
・Harvesting Web Data
・File Metadata Analysis
・OSINT Frameworks
・Basic Data: Addresses and Phone Numbers
・Basic Data: Email Addresses
・User Names
・Avatars and Reverse Image Searches
・Additional Public Data
・Creating Sock Puppets
Day 3

Social Media, Geolocation, and Imagery
ソーシャルメディア情報、地理的位置情報、画像情報

このセクションでは、まず検索エンジンの利用について無料か有料かの選択に関して検討し、検索エンジンから得られるデータをどのように使用するかを理解することから始まります。これらの検索エンジンの中には、結果の中にソーシャルメディアのコンテンツを提供しているものもあります。これは、ソーシャルメディアのデータ、地理的位置情報、そして最終的にはマッピングや画像へと移行していくための素晴らしい変わり目となります。

CPE/CMU Credits: 6

トピック

・People Search Engines
・Exercise People Searching
・Facebook Analysis
・LinkedIn Data
・Instagram
・Twitter Data
・Geolocation
・Imagery and Maps
Day 4

Networks, Government, and Business
ネットワーク情報、政府関連情報、ビジネス関連情報

このセクションでは、様々だが関連性のあるOSINTの問題に焦点を当てています。この日はBlueTeamの日で、IPアドレス、ドメイン名、DNS、WhoisのOSINTに飛び込んでいきます。次に、無線ネットワーク情報をOSINTに利用する方法に移ります。そしてこのセクションの最後には、様々な国の政府のウェブサイトを検索してOSINTデータを探し、OSINTを使ってビジネス・プロセスをサポートするという2つの巨大なモジュールを用意しています。

CPE/CMU Credits: 6

トピックス

・Whois
・IP Addresses
・DNS
・Finding Online Devices
・Wireless Networks
・Recon Tool Suites and Frameworks
・Government Data
・Researching Companies
Day 5

The Dark Web, Breach Data, and International Issues
ダークウェブ、不正アクセス情報、国際的問題

このセクションの冒頭では、ダークウェブネットワークのうち3つのネットワークを理解し、利用することに焦点を当てています。受講生は、Freenet、I2P、Torを利用する理由を学びます。それぞれのネットワークについて詳しく説明されているので、受講生はその利用方法や利用する理由を知るだけでなく、それらのネットワークがどのように機能するかについても理解を深めることができます。ダークウェブではTorネットワークが大きな役割を果たしていることから、このコースではそのリソースに特別な時間を割いています。ダークウェブに取り組んだ後は、不正アクセスに関するデータをどのように利用するか、また国際的なOSINT問題に対処するためにどのように利用できるかを検討します。私たちは、あらゆるサイズの車両を発見し、追跡する方法を検討することで、このセクションを締めくくります。このセクションの最後には、大規模なラボ、ソロ・キャプチャー・ザ・フラッグ(CTF)チャレンジがあり、これまでのコースで学んだことをまとめることができます。コース全体で教えられた概念の多くに触れるミニガイド付きのウォークスルーを通して、学生は自分のペースでOSINTの完全な評価を完了します。整理された手法でOSINTプロセスに取り組む時間を設けることで、重要な概念を強化し、受講生はOSINTプロセス、手順、テクニックを実践するための練習に取り組むことができます。

CPE/CMU Credits: 6

トピックス

・The Surface, Deep, and Dark Webs
・The Dark Web
・Freenet
・I2P - Invisible Internet Project
・Tor
・Monitoring and Alerting
・International Issues
・Vehicle Searches
・Solo CTF Challenge
Day 6

Capstone: Capture (and Present) the Flag
Capture the Flag への挑戦

このセクションは、本コースの総仕上げとして、コース全体で学んだことをまとめて実践するグループイベントになります。このイベントは、特定のフラッグが埋められていて、チームがそれを見つけなければならない「定型」のキャプチャー・ザ・フラッグではありません。これは、各チームがあるターゲットに関する特定のOSINTデータを収集する競技です。この作業のアウトプットは、「クライアント」(インストラクターやクラスメイト)に「成果物」として提出されます。この数時間のハンズオンイベントは、直前のセクションで実施したソロCTFで練習した内容がさらに強化され、プレッシャーの中でグループとしてOSINT評価を行うことの複雑さが追加されています。

CPE/CMU Credits: 6

トピックス

  • Capstone Capture-the-Flag Event

コースメニューへ▲   ページトップへ▲
本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。