デジタル・フォレンジックコース | ラックセキュリティアカデミー

研修期間：2日間

330,000円（税込）/人

※お申込みは外部サイトに遷移します。

標的型攻撃(※1)などにおける攻撃者の侵害手口は、近年ますます高度化しています。この為、従来の"ウイルス対策ソフトによるフルスキャン"といった対応手順では、攻撃者が設置した遠隔操作マルウェア（リモートコントロールツール※2)などを発見できない事案が増加傾向にあります。本コースでは、侵害が疑われる状況において、デジタル・フォレンジック技術を利用した初動対応を行うことにより、被害拡大の防止、影響範囲の確認、情報漏洩を判断する基礎的な手法について演習形式で学びます。（対象はWindows環境となります）
※1 APT：Advanced Persistent Threat
※2 RAT：Remote Access Trojan/Remote Administration Tool

【情報処理安全確保支援士（登録セキスペ）　特定講習】

登録更新対象者の方は、お申込みの際、備考欄に「IPA登録セキスペ更新」とご記入ください。弊社よりIPAへ報告いたします。受講当日は、IPA規定によりご本人確認をさせていただきます。顔写真付きの身分証明書と登録証カードをご持参ください。

330,000円（税込）/人

参加お申込み

受講の効果

プロキシログから、マルウェアによる不正通信を発見し、影響範囲の確認などができるようになる
Windowsのシステム内に設置されているマルウェアを発見し、被害状況、影響範囲の確認ができるようになる
削除ファイルの復元方法を学び、インシデント対応の幅を広げられるようになる

受講の前提条件

マルウェアの基本的な動作に関する知識
標的型攻撃で利用される一般的な侵害手口に関する知識（Persistence, Lateral Movement, Exfiltration）

※事前に「情報セキュリティ事故対応2日コース実機演習編」を受講されていると、より本コースの内容について理解が深まります。

こんな方にオススメ

IT技術者（インフラ系）
情報システム・セキュリティ推進部門担当者
SOC（セキュリティ運用）要員
CSIRT要員（管理系・技術系）

カリキュラム

	コース内容	詳細
１日目午前	プロキシログ解析	遠隔操作マルウェアとC2サーバとの通信マルウェアによる通信の特徴プロキシログからC2通信を発見する演習目的：侵害範囲を確認する為、プロキシログを調査します。初動対応で必要な、影響範囲を特定するために、プロキシログ内から、遠隔操作マルウェアとC2サーバ間の通信を発見し、侵害されている機器を特定します。訓練用にカスタマイズされたプロキシログを利用し、演習形式で学びます。
１日目午後	マルウェアの手動探索	マルウェアの特徴と自動起動の手口(TTPs）マルウェアを発見する3つの観点自動起動に登録されたマルウェアを発見する演習目的：標的型攻撃では、侵害された機器に設置されている、ウイルス対策ソフトでは検知できない遠隔操作マルウェアが用いられているケースが散見されることから、手動でマルウェアを探し出す必要があります。複数の訓練用データを利用し、ASEP（自動開始拡張ポイント）に登録されているマルウェアを手動で探す方法について、演習形式で学びます。
１日目午後	認証情報窃取・横移動手口の把握	認証情報窃取演習横移動手口の把握イベントログを利用した調査演習目的：標的型攻撃において、よく利用される攻撃手口である認証情報窃取・横移動について学びます。研修環境を用いて認証情報窃取・横移動手口について把握、その後にイベントログを用いた実行痕跡の調査方法について、演習形式で学びます。
２日目午前	プログラム実行痕跡調査	プリフェッチファイルを利用した侵害確認プリフェッチファイルの可視化と調査侵害範囲調査演習目的：攻撃者によるプログラムの実行痕跡を調査し、横展開や情報漏洩などの影響について確認し、被害拡大防止に必要となるIOC情報を収集します。攻撃者が利用する代表的なプログラムの実行痕跡について、訓練用データを利用し、演習形式で学びます。
２日目午後	ファイルシステムのログ調査	NTFS USNジャーナルの可視化 NTFS USNジャーナルの調査方法目的：攻撃者が作成・変更、削除したファイルやフォルダの痕跡を、ファイルシステムのログから追跡する手法について、演習形式で学びます。
２日目午後	削除データの調査	NTFSファイルシステムの基礎削除ファイルの状態遷移削除ファイルの復元手法「カービング」目的： NTFSファイルシステムがファイルやフォルダを管理する仕組みを参照し、ファイルやフォルダが削除された場合の処理、削除ファイル（データ）の代表的な復元方法について演習形式で学びます。

開催詳細

開催日	お申込締切日
2026年3月18日（水）～3月19日（木） 10:00～17:30　対面集合リモートライブハイブリッド研修のため、お好きな受講形態をお選びください。	2026年3月4日（水）
2026年7月16日（木）～7月17日（金） 10:00～17:30 対面集合リモートライブハイブリッド研修のため、お好きな受講形態をお選びください。	2026年7月2日（木）
2026年11月19日（木）～11月20日（金） 10:00～17:30　対面集合リモートライブハイブリッド研修のため、お好きな受講形態をお選びください。	2026年11月5日（木）
2027年1月14日（木）～1月15日（金） 10:00～17:30 対面集合リモートライブハイブリッド研修のため、お好きな受講形態をお選びください。	2027年1月4日（月）
2027年3月18日（木）～3月19日（金） 10:00～17:30　対面集合リモートライブハイブリッド研修のため、お好きな受講形態をお選びください。	2027年3月4日（木）

受講料	300,000円（税込 330,000円）/人
お支払方法	前入金によるお支払いか、後払いによるお支払（企業様のみ）のいずれかをご選択ください。
研修期間	2日間
定員	21名　最小開催人数5名
会場（※対面集合）	株式会社ラックセミナールーム東京都千代田区平河町2-16-1 平河町森タワー（最寄り駅地下鉄永田町駅4番出口から徒歩1分）アクセス

リモートライブ配信について

PCやネットワーク等の必要な環境は受講者様に準備して頂いております。

Web会議システム

今回のLive配信では、Zoomを利用いたします。
PCやネットワーク等の必要な環境は受講者様に準備して頂いております。

下記URLよりテストミーティングに参加することで、事前に接続の確認ができます。

https://zoom.us/test

演習環境

演習用の PC は、Windows 11以降をご使用ください。
演習用 Web ブラウザーは、 Microsoft Edge、Google Chrome、Firefox などをご用意ください。
※Internet Explorer はサポートしておりません。
Azure Lab環境のリモートデスクトップは、受講者ごとに待ち受けポート番号が異なり、4000番以降のいずれかを利用します。（デフォルトの3389/tcpではない点にご注意ください）
この為、ファイアーウォール等の設定などで4000番以降へのRDP接続が許可されていない場合は接続ができません。
※本番環境は、接続先のIPアドレスが異なります
Azure Lab テスト環境接続マニュアル
※申込締切後のキャンセルはお受けできませんので、お申込み前に必ず確認をお願いいたします。
ハンズオン演習で使用するPCとは別のデバイスをご用意いただくことを強く推奨いたします。
2台目のモニター、PC、タブレット、携帯など。講師の画面を表示しながら、演習を行うため。

テキスト配布

リモートライブ配信では、トレーニング開催の数日前にテキスト（冊子）を送付いたします。
申込み先住所と別の場所に配送希望の場合は、お申込み画面の備考欄に希望送付先住所の記載をお願いいたします。

環境の手配が難しい方は、弊社にて会場とレンタルPCを手配いたします（別料金）。
事前に、ご相談ください。

講師情報

コースリーダー/講師

伊原秀明

2014年8月　ラック入社。
インシデントマネジメントグループ侵害調査(CA)チーム所属。

講師情報を見る

お見積書発行・お問い合わせ

お見積書発行: お申込み前にお見積書を発行いたします。
お問い合わせ: ご質問等ございましたら、こちらからお問い合わせください。

他の講座・研修を探す

研修・講座についてのお問い合わせはこちら

お問い合わせ