閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

セキュリティ専門コース

実践!デジタル・フォレンジック初級コース 事象・アーティファクト基礎編

このサービスについて問い合わせる

Windows環境においてマルウェア感染・侵入などが発生した際、メモリ・ディスク(ファイルシステム)ではどの様な痕跡が発生するのか、実際にWindows 7環境上で事象を発生させ、調査が必要となるポイント・痕跡(アーティファクト)を演習形式で学びます。

こんな方にオススメです

  • CSIRT要員(技術系)

受講の効果

  • Windowsパソコンのマルウェア感染について事象発生の流れを理解できるようになる
  • マルウェア感染に関連して発生する代表的な痕跡(アーティファクト)について、その仕組みを理解できるようになる
  • 様々なファイルの持つ特徴的なシグネチャ(ヘッダ・フッタパターン)、シグネチャを利用したデータ復元の方法について理解できるようになる

前提知識

  • Windowsの基本的なセキュリティ知識とコマンドラインを利用した操作
  • Linuxの基本的な知識とコマンドラインを利用した操作
  • ネットワークの基本的な知識と、Wiresharkの基本的な操作
  • マルウェアの基本的な動作に関する知識
  • 仮想環境(VMware)の操作

コース内容

1日目

脆弱性の利用と痕跡(前編) アプリケーション、Webブラウザ、OSの脆弱性が利用され、マルウェアへ感染する状況について、Kali LinuxとMetasploitを利用した事象の発生、メモリ・ディスク(ファイルシステム)内での痕跡有無について演習形式で学びます。
  • 脆弱性を利用した不正プログラムの実行
  • 稼働中システムにおける状況確認
  • ネットワーク上を流れるパケットの確認
  • Webブラウザ履歴の確認
  • ファイルシステムの確認
脆弱性の利用と痕跡(後編) 事象発生時点でのメモリイメージを取得し、Volatility Frameworkを利用したメモリイメージの解析を行います。メモリイメージから得られる情報について、演習形式で学びます。
リモート操作と痕跡 バックドアプログラムを通じ、リモートから被害機器を操作(ファイルアクセス・プログラム実行等)し、メモリ・ディスク(ファイルシステム)内の痕跡有無について演習形式で学びます。
  • バックドアプログラムの通信(HTTP、HTTPS)
  • ネットワーク上を流れるパケットの確認
  • ファイルシステムの確認
  • イベントログの確認
実行痕跡の確認 バックドアプログラムの実行、その後の操作に関連して発生するプログラムの実行痕跡について解析を行います。代表的なアーティファクトである、プリフェッチファイル、レジストリ内の実行痕跡について演習形式で学びます。
  • 実行痕跡(プリフェッチファイル)
  • 実行痕跡(レジストリ内のキーと値)

2日目

認証情報の取得・不正利用 Windowsが利用している認証情報をメモリ、SAM、Windows資格情報コンテナー等から取得し、アカウントを不正利用するケースについてその手法や痕跡について演習形式で学びます。
  • アカウント(認証情報)の取得
  • アカウント情報の不正利用
  • Pth(Pass the Hash)を利用したプログラム実行
イベントログの確認 イベントログ(セキュリティログ)の内容から、アカウント情報の不正利用、横展開(Lateral Movement)の痕跡について確認する手順についてを演習形式で学びます。
ファイル種類の識別 ファイルが持つ固有のシグネチャ(ヘッダ・フッタ パターン)を利用したファイルの識別方法、カービングによるファイル復元の方法について学びます。
  • ファイルのシグネチャ確認
  • カービングによる削除ファイルの復元
削除ファイルの復元 演習用のディスクイメージから、指定された画像データ(複数の断片データ)を復元する演習を通じて、ファイルの復元方法について学びます。

コース内容は予告なく変更することがございます。あらかじめご了承ください。

受講者の声

セキュリティ運用部門の方
証拠保全の基礎を学ぶのに、非常にためになった。

ネットワーク運用部門の方
ツールの使い方、原因の特定方法を学ぶことができ、今後の業務に役立つ研修だった。

開催内容

開催日程

  • 2016年6月16日(木)~ 17日(金) 9:30~18:00
    (締切日:6月8日(水))
    ※受付終了しました。
  • 2016年9月13日(火)~ 14日(水) 9:30~18:00
    (締切日:9月5日(月))
    ※受付終了しました。
  • 2016年11月8日(火)~ 9日(水) 9:30~18:00
    (締切日:10月31日(月))
    ※受付終了しました。
  • 2017年1月26日(木)~ 27日(金) 9:30~18:00
    (締切日:1月18日(水))
  • 2017年3月7日(火)~ 8日(水) 9:30~18:00
    (締切日:2月27日(月))

受講料

300,000円(税抜)/人

お支払方法

前入金によるお支払か、後払いによるお支払(企業様のみ)のいずれかをご選択ください。

研修期間

2日間

定員

20名 最少開催人数5名

会場

(2017年1月~3月)
TKPガーデンシティ永田町
東京都千代田区平河町2-13-12
(最寄り駅地下鉄 永田町駅4番出口から徒歩4分)
アクセス

お問い合わせ

株式会社ラック セキュリティアカデミー事務局

info-academy@lac.co.jp

担当講師

コースリーダー/講師

サイバー救急センター

伊原 秀明

講師

サイバー救急センター

永安 佑希允

他、業務現場のシニアメンバー

お申込方法

氏名、会社名、電話番号、メールアドレスをお申込フォームにご入力ください。 なお、本セミナーのお申込フォームは、トライコーン株式会社が提供するWEBマーケティング用顧客管理システム『クライゼル』を利用しております。お申し込みの手続き画面は一時的に『クライゼル』のページに移動します。予めご承知おきください。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top