株式会社ラック

  • スペシャリスト育成コース
  • デジタル・フォレンジック

デジタル・フォレンジックコース

~侵害調査の基礎訓練~

  • オープン開催
  • 個別開催

ハンズオン

標的型攻撃(※1)などにおける攻撃者の侵害手口は、近年ますます高度化しています。 この為、従来の"ウイルス対策ソフトによるフルスキャン"といった対応手順では、攻撃者が設置した遠隔操作マルウェア(リモートコントロールツール※2)などを発見できない事案が増加傾向にあります。 本コースでは、侵害が疑われる状況において、デジタル・フォレンジック技術を利用した初動対応を行うことにより、被害拡大の防止、影響範囲の確認、情報漏洩を判断する基礎的な手法について演習形式で学びます。(対象はWindows環境となります)
※1 APT:Advanced Persistent Threat
※2 RAT:Remote Access Trojan/Remote. Administration Tool

【 情報処理安全確保支援士(登録セキスペ) 特定講習 】

※登録更新対象者の方は、お申込みの際、備考欄に「IPA登録セキスペ更新」とご記入ください。弊社よりIPAへ報告いたします。
 受講当日は、IPA規定によりご本人確認をさせていただきます。顔写真付きの身分証明書と登録証カードをご持参ください。

デジタル・フォレンジックコース

~侵害調査の基礎訓練~

  • オープン開催
  • 個別開催

ハンズオン

特定講習
330,000円(税込)/人

お申し込み

※お申し込みは外部リンクに遷移します。

受講の効果

  • プロキシログから、マルウェアによる不正通信を発見し、影響範囲の確認などができるようになる
  • Windowsのシステム内に設置されているマルウェアを発見し、被害状況、影響範囲の確認ができるようになる
  • 削除ファイルの復元方法を学び、インシデント対応の幅を広げられるようになる

受講の前提条件

  • マルウェアの基本的な動作に関する知識
  • 標的型攻撃で利用される一般的な侵害手口に関する知識(Persistence, Lateral Movement, Exfiltration)
  • ※事前に「情報セキュリティ事故対応2日コース 実機演習編」を受講されていると、より本コースの内容について理解が深まります。

こんな方にオススメ

  • IT技術者(インフラ系)
  • 情報システム・セキュリティ推進部門担当者
  • SOC(セキュリティ運用)要員
  • CSIRT要員(管理系・技術系)

カリキュラム

    コース内容 詳細
1日目午前 1.プロキシログ解析
  • 遠隔操作マルウェアとC2サーバとの通信
  • マルウェアによる通信の特徴
  • プロキシログからC2通信を発見する演習

目的:
侵害範囲を確認する為、プロキシログを調査します。
初動対応で必要な、影響範囲を特定するために、プロキシログ内から、遠隔操作マルウェアとC2サーバ間の通信を発見し、侵害されている機器を特定します。
訓練用にカスタマイズされたプロキシログを利用し、演習形式で学びます。

1日目午後 2.マルウェアの手動探索
  • マルウェアの特徴と自動起動の手口(TTPs)
  • マルウェアを発見する3つの観点
  • 自動起動に登録されたマルウェアを発見する演習

目的:
標的型攻撃では、侵害された機器に設置されている、ウイルス対策ソフトでは検知できない遠隔操作マルウェアが用いられているケースが散見されることから、手動でマルウェアを探し出す必要があります。
複数の訓練用データを利用し、ASEP(自動開始拡張ポイント)に登録されているマルウェアを手動で探す方法について、演習形式で学びます。

3.リモートプログラムによる攻撃手口の把握
  • リモートプラグラム実行を利用した横展開手口
  • 認証情報、データ窃取演習
  • イベントログを利用した調査演習

目的:
標的型攻撃において、よく利用される攻撃手口であるリモートプログラム実行と横展開について学びます。
研修生2人1組になり、研修環境を用いて相互にリモートプログラムの実行をし、その後にイベントログを用いた実行痕跡の調査方法について、演習形式で学びます。

2日目午前 4.プログラム実行痕跡調査
  • プリフェッチファイルを利用した侵害確認
  • プリフェッチファイルの可視化と調査
  • 侵害範囲調査演習

目的:
攻撃者によるプログラムの実行痕跡を調査し、横展開や情報漏洩などの影響について確認し、被害拡大防止に必要となるIOC情報を収集します。
攻撃者が利用する代表的なプログラムの実行痕跡について、訓練用データを利用し、演習形式で学びます。

2日目午後 5.ファイルシステムのログ調査
  • NTFS USNジャーナルの可視化
  • NTFS USNジャーナルの調査方法

目的:
攻撃者が作成・変更、削除したファイルやフォルダの痕跡を、ファイルシステムのログから追跡する手法について、演習形式で学びます。

6.削除データの調査
  • NTFSファイルシステムの基礎
  • 削除ファイルの状態遷移
  • 削除ファイルの復元手法「カービング」

目的:
NTFSファイルシステムがファイルやフォルダを管理する仕組みを参照し、ファイルやフォルダが削除された場合の処理、削除ファイル(データ)の代表的な復元方法について演習形式で学びます。

開催詳細

開催日 お申込締切日
2022年7月21日(木)~2022年7月22日(金)
10:00~17:30 ※リモートLive配信
※環境の手配が難しい方は、ご相談ください。
2022年7月7日(木)
2022年9月21日(水)~2022年9月22日(木)
10:00~17:30 ※集合研修
2022年9月7日(水)
2022年11月17日(木)~2022年11月18日(金)
10:00~17:30 ※集合研修
2022年11月4日(金)
2023年1月26日(木)~2023年1月27日(金)
10:00~17:30 ※リモートLive配信
※環境の手配が難しい方は、ご相談ください。
2023年1月12日(木)
2023年3月23日(木)~2023年3月24日(金)
10:00~17:30 ※集合研修
2023年3月9日(木)
受講料 300,000円(税込 330,000円)/人
お支払方法 前入金によるお支払いか、後払いによるお支払(企業様のみ)のいずれかをご選択ください。
研修期間 2日間
定員 20名 最小開催人数5名
CPEクレジット 13 Point
会場(※集合研修)

株式会社ラック セミナールーム
東京都千代田区平河町2-16-1 平河町森タワー
(最寄り駅地下鉄永田町駅4番出口から徒歩1分)

アクセス

リモートLive配信について

■Web会議システム
今回のLive配信では、Zoomを利用いたします。
PCやネットワーク等の必要な環境は受講者様に準備して頂いております。

下記URLよりテストミーティングに参加することで、事前に接続の確認ができます。
  • https://zoom.us/test
  • ■演習環境

    • 演習用の PC は、Windows 10以降をご使用ください。
    • 演習用 Web ブラウザーは、 Microsoft Edge、Google Chrome、Firefox などをご用意ください。
      ※Internet Explorer はサポートしておりません。
    • Azure Lab環境のリモートデスクトップは、受講者ごとに待ち受けポート番号が異なり、49152~65535番ポートのいずれかを利用します。(デフォルトの3389/tcpではない点にご注意ください)
      この為、ファイアーウォールの設定などで49152~65535番へのRDP接続が許可されていない場合は接続ができません。
      ※本番環境は、接続先のIPアドレスが異なります。
    • Azure Lab テスト環境接続マニュアル
      ※申込締切後のキャンセルはお受けできませんので、お申込み前に必ず確認をお願いいたします。

    • ハンズオン演習で使用する PC とは別のデバイスをご用意いただくことを強く推奨いたします。
      2台目のモニター、PC、タブレット、携帯など。講師の画面を表示しながら、演習を行うため。

    ■テキスト配布
    リモートLive配信では、トレーニング開催の数日前にテキスト(冊子)を送付いたします。
    申込み先住所と別の場所に配送希望の場合は、お申込み画面の備考欄に希望送付先住所の記載をお願いいたします。


    ※環境の手配が難しい方は、弊社にて会場とレンタルPCを手配いたします(別料金)。
     事前に、ご相談ください。

    講師情報

    コースリーダー/講師

    サイバー救急センター
    伊原 秀明

    講師

    コンサルティングサービス部
    高松 啓

    お見積書発行・お問い合わせ

    お見積書発行

    お申し込み前にお見積書を発行いたします。

    お問い合わせフォーム

    ご質問等ございましたら、こちらからお問い合わせください。

    330,000円(税込)