FORENSICS 585

Advanced Smartphone Forensics

日程 2018年2月18日(月)~23日(土)(6日間)
講義時間 9:30 ~ 17:30
会場 秋葉原UDX 6階 MAP
講師 Heather Mahalik(SANS認定インストラクター)>> 講師プロフィール
定員 40名  英語教材・同時通訳
CPEポイント 36 point
受講料 早期割引価格 720,000円(税抜) 通常価格:760,000円(税抜)
オプション GIAC試験 90,000円(税抜)
OnDemand 90,000円(税抜)
NetWars Continuous 145,000円(税抜)
2019年2月21日(木)~22日(金)開催 DFIR NetWars Tournament 無料
お申し込み

レンタルPCをご希望の場合は、開催期間中を通じて25,000円(税抜)でご利用いただけます(持帰りはできません)。下記PC環境を設定した状態でお渡しできます。ご利用希望の方は、お申込みの後、開催3週間前までに事務局までご連絡ください。

受講に必要なPC環境

演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。

FOR585 PC設定詳細

FOR585は、スマートフォンや携帯電話のフォレンジックスに慣れ親しんだ経験のある受講者のために設計されています。 このコースでは、デジタルフォレンジックの調査者がスマートフォンやその他のモバイルデバイスを処理するために必要とする中核的な知識と実践的なスキルを提供します。

重要:Windows、Mac OSX、またはLinuxの64ビット版をコアオペレーティングシステムとして使用し、仮想化製品であるVMwareをインストールして実行しますが、VMを正常に動作させるためには、最低8GB以上のRAMが必要です。 VMware製品は、事前にインストールしておく必要があります。また、 BIOS設定において、仮想化テクノロジーが有効になっていることも確認しておいてください。

ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OSX、Linuxのいずれかの64bit環境をご用意ください。
使用するゲストOSは64bit版のため、利用するノートPCのホストOSおよび搭載されているCPUが64bit版OSの動作をサポートしていることを確認してください。サポート外の環境では演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCが64bit版のゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
また、BIOSにおいて仮想化技術の利用が有効になっていることを確認してください。

必須事項として、事前に次のいずれかのVMware製品をダウンロードしてインストールをしていただく必要もあります。VMware Workstation 12、VMware Fusion 8、VMware Player 12(USB3.0ポートに関連する事象を避けるために必要です)VMware WorkstationやFusionについては、VMwareから30日間のトライアルライセンスを電子メールで発行してもらうことができます。

ノートパソコンのハードウェア要件
  • 64ビットのCPUで動作周波数が2.0GHz以上のもの(64ビット対応は必須要件です)
  • BIOS/UEFIへのアクセス権限:AMD-VやIntel VT-xを有効化しなければならないため、パスワード等による制限がかけられている場合は、その制限を解除できるように準備してください。
  • 8GB以上のメモリ(最低でも8GB以上が必要で、それ以上の実装メモリを推奨します)
  • 有線ネットワークポート(アダプタでも可)
  • 無線ネットワーク接続 802.11B/G/N/ACのいずれかで接続できること(ラボとライセンス取得に必要)
  • USB 3.0ポート(USBメモリの内容の読込みが可能なこと)
  • 100GB以上の空きディスク領域
  • ホストOSのローカルアドミニストレーター権限
  • VMware Workstation12、Workstation Player12 またはFusion8以降(演習で使用するLinuxのVMは、教室で配付いたします。)
留意事項

※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されます。本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)

SANS Secure Japan 2019

2月18日(月)~23日(土)

2月18日(月)~22日(金)

2月25日(月)~3月2日(土)

2月21日(木)~22日(金)

 

コース概要

FRO585: Advanced Smartphone Forensicsでは下記の内容を中心にコースを進めていきます。

  • スマートフォンのどこに重要な証拠が格納されているのか?
  • どのように「その」データがスマートフォンに格納されたのか?
  • ツールが見逃す傾向のある削除済データの抽出
  • サードパーティー製アプリケーションに格納された証拠データのデコード
  • モバイルマルウェアとスパイウェアの検知とデコンパイルおよび分析
  • 高度な用語と無償でできるスマートフォン上のデータへのアクセス
  • ロックおよび暗号化された機器、アプリケーション、コンテナの取扱い

ある日あなたのデスクにスマートフォンが置かれ、その端末の持主が特定の場所、日にちや時間を割り出すタスクを負うことになりました。そこであなたは最初にフォレンジックツールで端末内のデータを吸出すでしょう。するとツールはその端末と記録されたPOIとの結びつきを見出します。それにより持主がその場所にいることを証明しようとあなたは頑張るのではないですか?そこから日付や時刻を特定するための道筋をどうしたらよいかわかるでしょうか?ツールが示している結果は必ずしも持主が取った行動を明らかにしているとは限りません。注意深く行動してください。

刑事事件、侵入行為、IP盗難、セキュリティの脅威、事故後のシステム再建などの数々のインシデントにおいて携帯端末は非常に重要な要素になります。データの吸出し方は案件とあなたのセキュリティ専門家としての行く末を決めると言っても過言ではないのです。FOR585:Advanced Smartphone Forensicsは正しくフォレンジックを遂行するために必要なスキルをあなたに教えます。

スマートフォンが何らかの処理を行った時には必ず何らかのデータが保存されます。フォレンジックは単にツールのボタンを押して自動的に出てくる結果を得るだけで終えられるものではなく、そのことに完全に頼るわけにはいかないのです。必要とされるのは、あなたがツールを理解し、分析工程を効率的かつ的確に進めるための補助役として活用することが大切なのです。このコースではツールから得られたデータを検証し、理解するためのノウハウをあなたとあなたの組織に提供することで、皆さんは自信を持って正しい証拠をスマートフォンから吸出すことが可能になります。

このスマートフォンフォレンジックコースは、そのエキスパートに対して検知、デコード、正しいデータのリトリーブ方法などの非常に高度なスキルを提供します。そのために27種類のハンズオン、フォレンジックチャレンジ、宿題を用意することで受講者が様々なデバイスのデータセットに触れ、フォレンジックツールの活用方法や独自スクリプトによる隠れたデータの見い出し方法、ツールによる誤報対策を把握します。複数のプラットフォームを体験することで、それぞれのプラットフォームでデータがどのように格納され、エンコードされているのかを把握します。これにより100%ツールに頼ることで不足していた何かにハッと気がつくはずです。

FOR585はマルウェアやスマートフォン用OS、サードパーティ製アプリケーション、不足事項の充足、暗号技術などの分野で常に最新な状態を保っています。この6日間の集中講義では地球上で最もユニークで最新の指導を提供することで、モバイル機器のフォレンジックの即戦力になるのに必要な知識を身に付けていただき、最終日のドアを出る頃にはエキスパートとして活躍する姿になります。

受講対象者

FOR585はスマートフォン、携帯端末フォレンジック未経験者から経験者の両者向けに設計されています。フォレンジック専門家として必要なコアナレッジとハンズオンスキルを提供します。
以下の分野では必須と言えます。

  • デジタルフォレンジックの経験者でモバイル機器、特にスマートフォンフォレンジックの知見を強化を望む方
  • メディアエクスプロイト分析に携わる方で、スマートフォンおよび携帯端末での戦略的エクスプロイトやドキュメント、メディアエクスプロイト(DOMEX)操作(人々がどのように端末を使用し誰を関係しどんなファイルにアクセスしたかなど)をマスターしたい方
  • 情報セキュリティの専門家で情報漏えいや侵入インシデントに対応する方
  • スマートフォンがインシデントに使用されたことを特定する必要があるインシデント対応チーム
  • 従来のホストベースのフォレンジックを越えてスマートフォンフォレンジックでの調査スキルを必要とする司法、警察、自治体の方
  • スマートフォンが特定の時間軸の中でアクセスしたかを特定する必要があるシステム管理者
  • スマートフォンを起因とする情報漏えいの仕組みを理解したいIT監査担当者
  • 以下コースの修了者で次のレベルにステップアップされたい方
    SEC575、SEC563、FOR500(旧 FOR408)、FOR508、FOR572、FOR526、FOR610、FOR518
※FOR585は、GIAC(GASF)認定試験対象コースです。

講義内容の一例

  • 最も効果的なツール、テクニック、手順でスマートフォンデータの解析を実施
  • 犯罪の周辺状況を再現するため、ツールに頼らずスマートフォンに残された情報をもとに時間軸の複製やリンク分析(通信記録などを活用)を行う
  • スマートフォンがそのファイルシステム上でどのようにデータを保存するか、他とどう違うか、各機器にどのように証拠が保存されるかを理解
  • スマートフォンのファイルシステムの理解と通常ユーザが触れない情報へのアクセス
  • どのようにモバイル機器に証拠が残ったかの特定。ツール検出による証拠の誤検知を防止するため、ユーザがデータを作成したのか否かを判別する方法の把握
  • 削除済みデータを復元するための手動デコードテクニック
  • 日付、時刻、場所とユーザの紐付け
  • アプリケーションからスマートフォンへの隠蔽された通信の再現
  • ツールでまかないきれないアプリケーションの復号またはデコード
  • フォレンジックメソッドを使用したマルウェア感染済みスマートフォンの検出
  • オープンソースツールによるモバイルマルウェアのデコンパイルと分析
  • スマートフォンの暗号を手動解析したロックコードのバイパス、クラック、リカバリ(iTunesにより暗号化されたiOSバックアップファイルのクラックも含む)
  • データがどのようにSDカードのようなコンポーネントに保存されるか、暗号化あれたファイルがどのように検証されるかの理解
  • 端末(Android、iOS、BlackBerry 10、Windowsフォン、SDカード)から情報の引き出しと活用(宿題ではBlackBerry、BlackBerry backup、Nokia(Symbian)、iOSファイルシステム、iOS Physical、SIMカードデコードを追いかけます)
  • ツールで追いきれない端末のデータ構造の奥深くに対する高度フォレンジックの実行
  • SQLiteデータベースと生ダンプデータ解析による削除された情報のリカバリ
  • 高度なテクニックを用いた欠落または削除されたデータの復元
  • データを隠そうとするSQLiteデータベースからの手動によるBLOBの抽出
  • コースで習得した知識を活用したCTFでフォレンジックの実案件を体験
  • ボーナスラボ(6個)と宿題の実施

実施ラボの概要

  • JTAG/ISPパスワードクラッキング
  • Android分析
  • iOS分析
  • バックアップファイル分析
  • Windows Phone分析
  • BlackBerry 10分析
  • Third-Party Application Analysis and Knock-off Phone Analysisサードパーティー製アプリケーション分析と「ノックオフ」分析
  • アプリケーションデータベースの抽出
  • ブラウザ分析
  • スマートフォンフォレンジックの総仕上げ演習
コース開発者より

デジタルフォレンジックに取り組む場合、スマートフォンや携帯端末との関わりは非常に重要です。時にはスマートフォンは調査を進めるうえでたった一つの電磁的な証拠になる場合があり、またそれが特定の個人に紐付く非常にパーソナルなものになります。どれくらいの人がパソコンでするように自分のスマートフォンを他人とシェアすることがあるでしょうか?多くはないですよね?そうなると、我々の分野において期待することは、どうしたら様々な状態の端末からデータをリカバーすることが出来るかということになり、その実施者はそれらの端末の基本的な動きやデータの持ち方、隠れた機能などを知っておく必要があるのです。FOR585: Advanced Smartphone Forensicsでは、モバイル端末に携る初心者、エキスパートを問わず、これらのノウハウやスキルを提供します。このコースは誰に対してもオープンです。GIAC認定に関連し、かつ他社の追随を許さないコースはありません。
- Heather Mahalik

法執行機関もしくは民間に関係なく言えることは、スマートフォンやその他の携帯端末から回収した証拠はどんな調査を行う場合でも極めて重要な要素です。携帯端末フォレンジックを行ううえで確固たる基礎知識やスキルセットは当然のことのように習得しておくべき類のものなのです。この分野における多大な熱意と豊富な実務経験をもとにFOR585は開発され、移り変りの激しい携帯端末フォレンジックを取り巻く状況のなかでもあなたが関わる調査案件を成功に導くためのノウハウを提供します。
- Cindy Murphy

全世界人口の約85%が携帯端末を所有していると言われています。米国に目を移すと、携帯端末全体の約半数がスマートフォンだと言われています。日進月歩で洗練が進むスマートフォンによるデータの格納方法や機微情報の扱い方とそれらの機器から情報を引出し、調査を行うためのツールやテクニックは終わることのない競争なのです。FOR585でカバーするコンセプトは、現時点で最良とされている解析ツールについて深堀りするだけでなく、フォレンジック実施者が直面する様々なハードルに対して有効な調査を行うためのスキルを提供します。FOR585はあなた達を常に優位になるようガイドします。
- Domenica Crognale

  • Day 1
  • Day 2
  • Day 3
  • Day 4
  • Day 5
  • Day 6
Day 1

マルウェアフォレンジック、スマートフォンの概要およびSQLiteの紹介

フォーカス:スマートフォンフォレンジックの概念はデジタルフォレンジックのそれと似ていますが、スマートフォンのファイルシステム構造が異なり、端末から取得したデータを正しく解釈するための特殊なデコードスキルが必要です。この最初のコースの日に、スマートフォンのフォレンジック処理、端末の機能、取得方法、SQLiteデータベースの調査とクエリの開発に、自分が知っていることを適用します。受講者はスマートフォンのデータ構造の包括的な検査を完了するために必要なツールに精通することになります。マルウェアは、数多くのスマートフォンに影響します。このセクションでは、さまざまな種類のマルウェア、スマートフォン上での存在およびその識別方法と分析方法について検討します。ほとんどの市販されているツールはマルウェアを特定するのに役立ちますが、このクラスでカバーするレベルまでに分解することはできません。この初日だけで最大5つのラボが実施されます!

実施者はスマートフォン上のマルウェアの存在に対処しなければなりません。調査に関する唯一の質問は、特定のスマートフォンが侵害されたかどうか、それを修正するためにはどうすればよかが問われます。実施者がマルウェアを理解し、その存在をスマートフォンでどのように認識するかが重要です。

デジタルフォレンジック手法を使用することでスマートフォンの中身を復元できることを期待するでしょう。そのためには私たちはモバイル機器のフラッシュメモリの特性を見直し、フォレンジックの観点から長所と短所を実証します。ここでは、暗号化、パスワード、損傷したデバイスなどに対応する際に直面する共通の課題に対応するためのアプローチを提供します。受講者はフォレンジックの観点からモバイル機器上のデータを処理、およびデコードする方法を習得し、フォレンジックツールでも成し得ない情報の復元方法を手に入れます。

SIFTワークステーションには、主なツールキットと作業環境となるスマートフォンフォレンジックツールセットが搭載されています。

演習

  • SIFT Workstation:ラボ環境セットアップ
  • スマートフォンフォレンジックツールのデモと概要
  • マルウェアラボ(2つ):マルウェア解析とaplマルウェアファイルのアンパックと分析
  • JTAG/ISPパスワード推測ラボ:JTAGイメージからAndroidパスワードの推測
  • SQLiteデータベース向けのフォレンジックとSQLクエリの作成

トピック

SIFT Workstation
マルウェアとスパイウェアのフォレンジック
  • さまざまな種類のよくあるマルウェア
  • スマートフォン上のよくある保存場所
  • 侵害を判断する方法
  • 侵害から復旧する方法
    • 影響はなにか?
    • 隔離方法
  • リバースエンジニアリング手法を使用して分析する方法
スマートフォン入門
  • スマートフォンのコンポーネントと識別子
  • 証拠デバイスの機能の評価
  • 共通ファイルシステム
  • フラッシュメモリに対するフォレンジックの影響
  • データストレージの故障と定義
スマートフォンの取り扱い
  • スマートフォンの証拠を保存する
  • データ破壊の防止
スマートフォンのフォレンジック収集概念
  • 論理的収集
  • ファイルシステムの収集
  • 物理的収集
  • 高度メソッドによる収集
  • 高度な収集テクニック
スマートフォンフォレンジックツールの概要
  • 物理的および論理的キーワード検索
  • データの復元
  • データのエクスポートとブックマーク
  • マルウェアのスキャン
  • SQLite検証
スマートフォンコンポーネント
  • SIMカードの概要と検証
  • SDカードの取り扱いと検証
SQLite入門
  • SQLiteデータベースの機能
  • ファイルへのデータ格納方法方法
  • SQLiteデータベースの検証方法
  • 単純なクエリを作成して関心のある情報を解析する方法
ボーナス資料
  • マルウェア/スパイウェアチートシート
  • APKデコンパイルチートシート
  • SIFT VMで提供されるツールを使用したスマートフォンの収集
  • SIMカードの収集
  • 関連するホワイトペーパーとガイド
  • ボーナスラボ:SIMカードのデータデコード
Day 2

Androidフォレンジック

フォーカス:Android端末は世界中で幅広く使用されているため、いつこれが調査対象としてあなたのところに持ち込まれても不思議ではありません。しかし、この端末へアクセスするのは一時期と比べて難しくなっている現実があります。実に大量のデータを格納しており、それらをデコードすることで非常に有効な情報になります。しかしAndroid端末のロックを回避して適切な保存場所にアクセスするための正しいスキルを習得しておかなければ、急速に変化するスマートフォンフォレンジックの世界では置き去りになる可能性があるのです。

デジタルフォレンジック実施者はAndroidのファイルシステム構造を理解し、目当てのデータを収集するためにそのデータがどこに格納されているのかを把握する必要があります。そのためこのコースでは、証拠になりえるデータがファイルシステムのどのあたりに格納されているかなどを掘下げていきます。ユーザの行動履歴やSQLite、生データファイルから削除されたファイルの復元をおこないます。

ハンズオン演習では、ツールを使用してAndroid端末から習得した様々なデータの抽出、デコード、分析を行います。SQLiteを使用した検証スキルを用い、商用ツールでは対応出来ないクエリー作成を行います。

演習

  • 手動によるAndroid端末のロックコードクラック
  • Androidファイルシステムの論理的収集から情報の手動デコードと抽出
  • サードパーティ製のアプリケーションを手動による解析と深堀りによるAndroid端末でのユーザーアクティビティのデコードと復旧
  • Android端末の物理ダンプから回復したデータを手動でデコードして解釈

トピック

Androidフォレンジックの概要
  • Androidのアーキテクチャとコンポーネント
  • Android端末のNANDフラッシュメモリ
  • Androidファイルシステムの概要
  • フルディスク暗号化とファイルベースの暗号化
ロックされたAndroid端末の処理
  • Androidのセキュリティオプション
  • ロックされたAndroid端末をバイパスする方法
  • Androidセキュリティと暗号化をバイパスするデモンストレーション
  • ロックされたAndroid端末にアクセスするためのヒント
Androidファイルシステムの構造
  • データ構造のレイアウトの定義
    • 物理的
    • ファイルシステム
    • 論理/バックアップ
  • データストレージ形式
  • データの解析と復元
  • 物理的および論理的キーワード検索
Androidの証拠のある場所
  • 主たる証拠の場所
  • ユニークなファイル回復
  • SQLiteデータベースファイルの解析
  • Androidデータの手動デコード
Android端末のユーザーアクティビティの痕跡
  • Androidアプリケーションのデータ保存方法
  • Androidスマートフォンでのデータ構造の深堀
    • SMS/ MMS
    • 通話、連絡先、カレンダー
    • EメールとWebブラウジング
    • ロケーション情報
    • サードパーティー製のアプリケーション
  • 削除されたSQLiteレコードの復元
  • Android端末上のRAWイメージから削除されたデータの復元
ボーナス資料
  • Androidチートシート
  • Androidの収集方法
  • 関連するホワイトペーパーとガイド
  • ハンズオンラボでAndroid端末からデータを取得する
Day 3

AndroidのバックアップとiOS端末フォレンジック

フォーカス:Androidのバックアップはフォレンジック担当者またはユーザによって作成されます。AndroidとGoogleクラウドには非常に多くの価値情報が格納されています。Apple iOSにおいてもAndroid端末と同じく、デコードすることでその端末には有益な情報が格納されています。ロックを回避して端末内の情報にアクセスするテクニックについてはAndroidの時と同様です。したがって、iOSと対峙する際にはiOS向けの知識が必要になるのです。

このセクションはAndroidのバックアップとAndroidとGoogleに関連付いたクラウドデータに関する検証を行います。次にiOSについてもAndroidと同じ粒度で触れていきます。iOSでのフォレンジックを行う場合も基本的な考え方はAndroidと同様で、ファイル構造の理解が重要になるため、暗号化、復号などを含めてカバーします。

ハンズオンでは前日に引続き、ツールを使用してAndroidバックアップとiOS端末に関する演習となります。

演習

  • Androidバックアップからのデータの検証とデコード
  • iOSファイルシステムの論理的収集から情報の手動デコードと抽出
  • サードパーティ製のアプリケーションを手動で解析と深堀りによるiOS端末でのユーザーアクティビティのデコードと復旧 •ユーザが関知しないところでiOS端末のファイルシステムダンプにある場所情報やその他のトレースに基づいて探る

トピック

Androidのバックアップファイル
  • バックアップファイルフォレンジックの概要
  • Androidバックアップのファイル構造
  • ロックされたAndroidのバックアップ
  • 興味のあるデータ
  • AndroidとGoogleクラウドのデータの抽出と分析
iOSフォレンジックの概要と取得
  • iOSのアーキテクチャとコンポーネント
  • iOSデバイスのNANDフラッシュメモリ
  • iOSファイルシステムの概要
  • iOSのバージョン
  • iOSの暗号化
iOSファイルシステムの構造
  • データ構造のレイアウトの定義
    • 物理的
    • ファイルシステム
    • 論理
  • データストレージ形式
  • データの解析と復元
  • 物理的および論理的キーワード検索
iOS証拠のある場所
  • 主たる証拠の場所
  • ユニークなファイル回復
  • SQLiteデータベースファイルの解析
  • iOSデータの手動デコード
ロックされたiOSデバイスの処理
  • iOSのセキュリティオプション
  • 現在の買収に関する問題
  • iOSセキュリティをバイパスするデモンストレーション
  • ロックされたiOSデバイスにアクセスするためのヒント
iOS端末のユーザーアクティビティの痕跡
  • iOSアプリケーションストアデータ保存方法
  • アップルウォッチフォレンジック
  • iOS端末でのデータ構造の深堀
    • SMS/ MMS
    • 通話、連絡先、カレンダー
    • EメールとWebブラウジング
    • ロケーション情報
    • サードパーティー製のアプリケーション
  • 削除されたSQLiteレコードの復元
  • iOS端末上のRAWイメージから削除されたデータの復元
ボーナス資料
  • Androidチートシート
  • iOSチートシート
  • iOSデバイスからデータを引き出すためのハンズオンラボ
  • iOSの物理データダンプからデータを手動でデコードして解釈する
  • iOS端末から古いファイルシステムダンプを手動で調べる
  • iOSの取得方法
  • 関連するホワイトペーパーとガイド
Day 4

iOSバックアップ、Windows、BlackBerry 10フォレンジック

フォーカス:これまでのコンテンツで、Androidではバックアップファイルから得られる情報は非常に意味のあるものということがわかりました。これはiOSのバックアップにおいても同様のことが言えます。誰もがBlackBerryとWindows Phone端末を調べるわけではないので、ここでは主にBlackBerry 10、Windows Phone 8および10、およびセクションの最後にあるアプリケーションの使用法に焦点を当てています。
Windows PhoneとBlackBerry 10の両方のセクションでは、複数のスマートフォンで確認できる証拠が強調表示されています。 BlackBerryはユーザーのプライバシーを保護するように設計されていますが、このコースではBlackBerryファイルシステムのデータベースファイルにあるデータをデコードして手動で復元することができます。最終的には、SIMカードとアプリケーションの使用をデバイスに結びつけることを含めたBlackBerry 10のラボに着手する前に、学習したツールやテクニックを駆使してデータワイプがされたWindows Phoneからユーザーデータを復元にチャレンジします。

前日同様にここではiOSのバックアップファイルに対するフォレンジックテクニックについて深く理解していきます。

フォレンジックに関わる方は様々なスマートフォンの情報とその解釈、分析のコンセプトを知っている必要があると同時に既存の方法の限界も理解している必要があります。このコースでは、暗号化の問題、Windows Phoneの成果物、BlackBerry Enterprise Serverのデータ、およびロックされたデバイスの処理方法について説明します。 Windows PhoneとBlackBerry 10のデータを手動で解読すると、ツールが見逃していると思われる膨大な量のデータにアクセスできます。

演習では、ツールをやメソッドを使用して、iOSバックアップ、Windows Phone、BlackBerry 10端末からさまざまな情報を抽出して分析します。またツールが苦手とするワイプ済み、暗号化または削除されたデータの復元を手動で行うことになります。

演習

  • 高度なバックアップファイルの高度なフォレンジックトレーニング:
    - ツールが見逃したiOSバックアップファイルなどのデータを手動で解読して復元
    - iOS10以降のバックアップファイルのデータを手動で解読して復元
  • ワイプされたWindows Phoneからユーザの行動痕跡を復元
  • BlackBerry 10イメージから手動でデコードして情報を抽出

トピック

iOSバックアップファイルフォレンジック
  • 関連理由
  • バックアップファイルの作成と解析
  • iCloudとiTunesのデータ
  • バックアップファイルのデータの確認
  • ロックされたiOSバックアップファイルの復号
  • iCloudバックアップとクラウド同期データへのアクセス
Windows Phone /モバイル フォレンジック
  • ウインドウズフォン
  • 証拠のある場所
  • 手動回復と解析
BlackBerry 10フォレンジック
  • BlackBerry 10アーキテクチャ
  • 端末固有のファイルの解析
  • ユニークなファイル回復
ボーナス資料
  • iOSチートシート
  • BlackBerry 10チートシート
  • Windows Phoneチートシート
  • BlackBerryの収集方法
  • バックアップファイルの収集方法
  • 関連するホワイトペーパーとガイド
  • ボーナスラボ:BlackBerry Backup File Examination
  • ボーナスラボ:BlackBerry端末フォレンジック(レガシーOS 7デバイス)
Day 5

サードパーティーアプリケーションとKnock-Offフォレンジック

フォーカス:各スマートフォンでサードパーティアプリケーションを使用し、調査をスムーズに進めるためにサードパーティアプリケーションのデータと環境設定ファイルの活用方法を習得するよう設計されています。その他、安全なチャットアプリケーション、削除されたアプリケーションデータと添付ファイルの復元、モバイルブラウザのアーティファクト、「ノックオフ」フォレンジックに重点を置いています。このセクションで習得したスキルにより、すべてのスマートフォンでサードパーティのアプリケーションに保存されているデータの高度なデコードが可能になります。商用ツールが見逃している部分をご自身で見つけてください。

演習では、ツールを使用して対象のサードパーティアプリケーションファイルを抽出して分析し、欠落しているデータを手動で掘り起こし、SQLiteクエリを駆使して削除されたデータやを復旧させます。ハンズオン演習は、これまでコースで学んだことのすべてを結集して挑むことになります。「ノックオフ」フォレンジックでは今まで習得した知識を試す良い機会です。ここまでくればあなたはスマートフォンフォレンジックに対する相当な知識を習得し、ツールが見つけることができない課題についてもあなたの手で解決するだけの力を持っていることを証明することができるでしょう。

演習

  • 4日間で習得したスキルを使用し、各スマートフォンのサードパーティ製アプリケーションファイルに保存されている通信記録の手動によるデコード
  • より複雑なSQLクエリを作成し、スマートフォン内の添付ファイルの復旧
  • 削除されたチャットデータの復旧
  • 商用ツールが解析できないサードパーティのブラウザアクティビティの検証
  • Cellebrite CHINEXを使用して物理的に習得した「ノックオフ」ハンドセットの手動によるデコード

トピック

サードパーティー製アプリケーションの概要
  • 一般的なスマートフォンアプリケーション
サードパーティー製アプリケーションの発見物
  • 検索方法
  • データフォーマット
  • 手動復旧
  • デコード方法
メッセージングアプリケーションと添付ファイルの復旧
  • 検索方法
  • データフォーマット
  • 手動復旧
  • デコード方法
  • QLクエリの開発
安全なチャットアプリケーション
  • 検索方法
  • データフォーマット
  • 手動復旧
  • デコード方法
モバイルブラウザ
  • サードパーティ製ブラウザの概要
  • 検索方法
  • データフォーマット
  • 手動復旧
ノックオフフォレストフォレンジック
  • ノックオフ電話の概要
  • フォレンジック分析
  • 証拠のある場所
  • ノックオフファイルシステムデータの手動デコード
ボーナス資料
  • モバイルデバイスの修理
  • ボーナスラボ:Nokia(Symbian)フォレンジック
Day 6

スマートフォンフォレンジックまとめ総仕上げ演習

フォーカス:最終日は仕上げとしてコースで習得したすべての知識をつぎ込んで課題に挑みます。グループに分かれ、3つのスマートフォン端末に対する実践的なフォレンジック調査を実施します。各グループは独自の調査を実施し、特定の質問に回答しつつ、仮説を立て、それを検証し、レポートにまとめた後に発表を行います。
総仕上げ演習の結果を発表することで、これまで学習した内容がどの程度身に付いたかを評価することが可能になります。演習結果は技術的かつ調査段階におけるプロセスや考え方を含める必要があり、なおかつ手短に調査結果を把握することが可能なようにエグゼクティブサマリも必要になります。

演習

実際のフォレンジック調査と同様に、各グループは総仕上げ演習においてに以下に列挙した質問に答えるよう求められます。

特定とスコープ
  • 犯罪の責任は誰にあるか?
  • どのような機器が関係したか?
  • どの個人が関与したか?
フォレンジック調査
  • 個人間の主要な通信は何だったか?
  • 通信を保護するための方法には何が使用されたか?
  • マルウェアによって侵害されたモバイルデバイスはあったか?
  • クラウドデータは関係していたか?
  • ユーザーは証拠を隠したり削除しようとしたか?
フォレンジック復旧
  • 動機は何か?
  • レポートを生成し、トップのチームだけが勝利
ボーナス資料
  • 3つの新しいスマートフォンと異なるシナリオケース。(持ち帰り)
  • 持ち帰り案件の質問
  • 持ち帰り案件の場合の回答

本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。