株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

セキュリティ専門コース

実践!デジタル・フォレンジックコース(2) 侵害調査編~Windows環境の侵害状況調査手法~

このサービスについて問い合わせる

【旧コース名:実践!デジタル・フォレンジック初級コース 事象・アーティファクト基礎編】
このコースは、初動対応編で確認したマルウェア(※1)をベースに、Windows環境において侵害状況を判断する上で必要となる基本的な流れを演習形式で学びます。 標的型攻撃(※2)などで利用される一般的な攻撃手口(※3)に対して、初期調査の項目例としては、NTFS USNジャーナルの解析、簡易的なファイルシステム・タイムラインの追跡、レジストリ内のプログラム実行痕跡、メモリ内の文字列痕跡、イベントログにおけるログオン状況の調査などが必要となります。 本格的なコンピュータ・フォレンジック調査を実施する前段階として、早期に侵害状況を把握するための簡易的な調査手法と共に、被害拡大を抑止するために必要な影響範囲の判断方法などについても学びます。
※1 RAT:Remote Access Trojan/Remote. Administration Tool
※2 APT:Advanced Persistent Threat
※3 TTPs:Tactics, Techniques and Procedures

こんな方にオススメです

  • CSIRT要員(技術系)

受講の効果

  • ①Windows環境のマルウェア感染に関連して初期段階で調査すべき痕跡(アーティファクト)を理解できるようになる
  • ②①の情報から、インシデントの影響範囲や被害状況を確認する流れを理解できるようになる
  • ③①の調査に必要な、ファイルの持つ特徴的なシグネチャ(ヘッダ・フッタパターン)、シグネチャを利用した削除データ復元の方法を理解できるようになる

前提知識

  • 実践!デジタル・フォレンジックコース(1) 初動対応編の受講または同等の知識
  • Windows内部に関する基本的な知識とコマンドラインを利用した操作
  • マルウェアの基本的な動作に関する知識
  • 標的型攻撃で利用される一般的な侵害手法に関する知識
  • 仮想環境(VMware)の操作

コース内容

  コース内容 詳細
1日目午前 1.NTFSジャーナル

インシデント発生状況確認時のNTFS ジャーナルファイルの調査
インシデント発生時のファイルシステム確認方法

1日目午後 2.タイムライン(ファイルシステム)

ファイルシステムのタイムラインを用いた時系列でのインシデント発生状況確認方法

  • flsコマンドを利用したタイムライン作成
  • bodyファイルの処理(mactime、log2timeline)
  • ファイルシステム タイムラインの確認
3.プログラム実行痕跡(プリフェッチ)

実行されたプログラムの確認方法

  • ファイルシステムの実行痕跡(プリフェッチ・ファイル等)
4.プログラム実行痕跡(レジストリ)

レジストリに保存されているプログラムの実行痕跡

  • UserAssist
  • AppCompatCache
  • Amcache
2日目午前 5.イベントログ(セキュリティ)

痕跡の確認方法

  • アカウント情報の不正利用
  • 横展開(Lateral Movement)
6.認証情報の不正利用

Windowsが利用している認証情報の取得

  • メモリ
  • SAM
  • Windows資格情報コンテナー

アカウントの不正利用

2日目午後 7.メモリイメージの分析

取得したメモリイメージの分析
メモリ内から得られる痕跡の確認方法

8.ファイルカービング

ファイルが持つ固有のシグネチャ(ヘッダ・フッタ パターン)を利用したファイルの識別方法
カービングによるファイル復元の方法

  • ファイルのシグネチャ確認
  • カービングによる削除ファイルの復元

開催日程・お申込締切日

開催日 お申込締切日
2017年9月7日(木)~ 9月8日(金)
9:30~18:00
2017年8月29日(火)
申込を締め切りました。
2017年10月26日(木)~10月27日(金)
10:00~17:30
2017年10月16日(月)
2018年1月25日(木)~1月26日(金)
10:00~17:30
2018年1月15日(月)
2018年2月20日(火)~2月21日(水)
10:00~17:30
2018年2月9日(金)

開催内容

受講料

300,000円(税抜)/人

お支払方法

前入金によるお支払か、後払いによるお支払(企業様のみ)のいずれかをご選択ください。

研修期間

2日間

定員

20名 最少開催人数5名

会場

株式会社ラック セミナールーム
東京都千代田区平河町2-16-1 平河町森タワー
(最寄り駅地下鉄 永田町駅4番出口から徒歩1分)

アクセス

お問い合わせ

株式会社ラック セキュリティアカデミー事務局

info-academy@lac.co.jp

担当講師

コースリーダー/講師

サイバー救急センター

永安 佑希允

講師

サイバー救急センター

伊原 秀明

郷 晴奈

他、業務現場のシニアメンバー

お申込(個人情報の取り扱いについて)

株式会社ラック(以下「当社」)は、個人情報保護方針に基づいて、お客様、お取引先様、株主の皆様、従業員の方々の個人情報を適切に管理 し、個人情報の保護に努めています。具体的には、当社の個人情報の取り扱いについてをご参照ください。

個人情報の取り扱いについて

お問い合わせ専用フォームは、トライコーン株式会社が提供するWEBマーケティング用顧客管理システム『クライゼル』を利用しております。お 問い合わせフォーム画面は一時的に『クライゼル』のページに移動します。予めご承知おきください。

当社の個人情報の取り扱いに同意いただけますか?

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top