FORENSICS 585 | ||||||||||||||||||||||||||||||||
Advanced Smartphone Forensics |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
レンタルPCをご希望の場合は、開催期間中を通じて25,000円(税抜)でご利用いただけます(持帰りはできません)。下記PC環境を設定した状態でお渡しできます。ご利用希望の方は、お申込みの後、開催3週間前までに事務局までご連絡ください。 受講に必要なPC環境 演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。 FOR585 PC設定詳細
FOR585は、スマートフォンや携帯電話のフォレンジックスに慣れ親しんだ経験のある受講者のために設計されています。 このコースでは、デジタルフォレンジックの調査者がスマートフォンやその他のモバイルデバイスを処理するために必要とする中核的な知識と実践的なスキルを提供します。 重要:Windows、Mac OSX、またはLinuxの64ビット版をコアオペレーティングシステムとして使用し、仮想化製品であるVMwareをインストールして実行しますが、VMを正常に動作させるためには、最低8GB以上のRAMが必要です。 VMware製品は、事前にインストールしておく必要があります。また、 BIOS設定において、仮想化テクノロジーが有効になっていることも確認しておいてください。 ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OSX、Linuxのいずれかの64bit環境をご用意ください。 必須事項として、事前に次のいずれかのVMware製品をダウンロードしてインストールをしていただく必要もあります。VMware Workstation 12、VMware Fusion 8、VMware Player 12(USB3.0ポートに関連する事象を避けるために必要です)VMware WorkstationやFusionについては、VMwareから30日間のトライアルライセンスを電子メールで発行してもらうことができます。 ノートパソコンのハードウェア要件
留意事項
※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。 |
FRO585: Advanced Smartphone Forensicsでは下記の内容を中心にコースを進めていきます。
ある日あなたのデスクにスマートフォンが置かれ、その端末の持主が特定の場所、日にちや時間を割り出すタスクを負うことになりました。そこであなたは最初にフォレンジックツールで端末内のデータを吸出すでしょう。するとツールはその端末と記録されたPOIとの結びつきを見出します。それにより持主がその場所にいることを証明しようとあなたは頑張るのではないですか?そこから日付や時刻を特定するための道筋をどうしたらよいかわかるでしょうか?ツールが示している結果は必ずしも持主が取った行動を明らかにしているとは限りません。注意深く行動してください。
刑事事件、侵入行為、IP盗難、セキュリティの脅威、事故後のシステム再建などの数々のインシデントにおいて携帯端末は非常に重要な要素になります。データの吸出し方は案件とあなたのセキュリティ専門家としての行く末を決めると言っても過言ではないのです。FOR585:Advanced Smartphone Forensicsは正しくフォレンジックを遂行するために必要なスキルをあなたに教えます。
スマートフォンが何らかの処理を行った時には必ず何らかのデータが保存されます。フォレンジックは単にツールのボタンを押して自動的に出てくる結果を得るだけで終えられるものではなく、そのことに完全に頼るわけにはいかないのです。必要とされるのは、あなたがツールを理解し、分析工程を効率的かつ的確に進めるための補助役として活用することが大切なのです。このコースではツールから得られたデータを検証し、理解するためのノウハウをあなたとあなたの組織に提供することで、皆さんは自信を持って正しい証拠をスマートフォンから吸出すことが可能になります。
このスマートフォンフォレンジックコースは、そのエキスパートに対して検知、デコード、正しいデータのリトリーブ方法などの非常に高度なスキルを提供します。そのために27種類のハンズオン、フォレンジックチャレンジ、宿題を用意することで受講者が様々なデバイスのデータセットに触れ、フォレンジックツールの活用方法や独自スクリプトによる隠れたデータの見い出し方法、ツールによる誤報対策を把握します。複数のプラットフォームを体験することで、それぞれのプラットフォームでデータがどのように格納され、エンコードされているのかを把握します。これにより100%ツールに頼ることで不足していた何かにハッと気がつくはずです。
FOR585はマルウェアやスマートフォン用OS、サードパーティ製アプリケーション、不足事項の充足、暗号技術などの分野で常に最新な状態を保っています。この6日間の集中講義では地球上で最もユニークで最新の指導を提供することで、モバイル機器のフォレンジックの即戦力になるのに必要な知識を身に付けていただき、最終日のドアを出る頃にはエキスパートとして活躍する姿になります。
FOR585はスマートフォン、携帯端末フォレンジック未経験者から経験者の両者向けに設計されています。フォレンジック専門家として必要なコアナレッジとハンズオンスキルを提供します。
以下の分野では必須と言えます。
デジタルフォレンジックに取り組む場合、スマートフォンや携帯端末との関わりは非常に重要です。時にはスマートフォンは調査を進めるうえでたった一つの電磁的な証拠になる場合があり、またそれが特定の個人に紐付く非常にパーソナルなものになります。どれくらいの人がパソコンでするように自分のスマートフォンを他人とシェアすることがあるでしょうか?多くはないですよね?そうなると、我々の分野において期待することは、どうしたら様々な状態の端末からデータをリカバーすることが出来るかということになり、その実施者はそれらの端末の基本的な動きやデータの持ち方、隠れた機能などを知っておく必要があるのです。FOR585: Advanced Smartphone Forensicsでは、モバイル端末に携る初心者、エキスパートを問わず、これらのノウハウやスキルを提供します。このコースは誰に対してもオープンです。GIAC認定に関連し、かつ他社の追随を許さないコースはありません。
- Heather Mahalik
法執行機関もしくは民間に関係なく言えることは、スマートフォンやその他の携帯端末から回収した証拠はどんな調査を行う場合でも極めて重要な要素です。携帯端末フォレンジックを行ううえで確固たる基礎知識やスキルセットは当然のことのように習得しておくべき類のものなのです。この分野における多大な熱意と豊富な実務経験をもとにFOR585は開発され、移り変りの激しい携帯端末フォレンジックを取り巻く状況のなかでもあなたが関わる調査案件を成功に導くためのノウハウを提供します。
- Cindy Murphy
全世界人口の約85%が携帯端末を所有していると言われています。米国に目を移すと、携帯端末全体の約半数がスマートフォンだと言われています。日進月歩で洗練が進むスマートフォンによるデータの格納方法や機微情報の扱い方とそれらの機器から情報を引出し、調査を行うためのツールやテクニックは終わることのない競争なのです。FOR585でカバーするコンセプトは、現時点で最良とされている解析ツールについて深堀りするだけでなく、フォレンジック実施者が直面する様々なハードルに対して有効な調査を行うためのスキルを提供します。FOR585はあなた達を常に優位になるようガイドします。
- Domenica Crognale
フォーカス:スマートフォンフォレンジックの概念はデジタルフォレンジックのそれと似ていますが、スマートフォンのファイルシステム構造が異なり、端末から取得したデータを正しく解釈するための特殊なデコードスキルが必要です。この最初のコースの日に、スマートフォンのフォレンジック処理、端末の機能、取得方法、SQLiteデータベースの調査とクエリの開発に、自分が知っていることを適用します。受講者はスマートフォンのデータ構造の包括的な検査を完了するために必要なツールに精通することになります。マルウェアは、数多くのスマートフォンに影響します。このセクションでは、さまざまな種類のマルウェア、スマートフォン上での存在およびその識別方法と分析方法について検討します。ほとんどの市販されているツールはマルウェアを特定するのに役立ちますが、このクラスでカバーするレベルまでに分解することはできません。この初日だけで最大5つのラボが実施されます!
実施者はスマートフォン上のマルウェアの存在に対処しなければなりません。調査に関する唯一の質問は、特定のスマートフォンが侵害されたかどうか、それを修正するためにはどうすればよかが問われます。実施者がマルウェアを理解し、その存在をスマートフォンでどのように認識するかが重要です。
デジタルフォレンジック手法を使用することでスマートフォンの中身を復元できることを期待するでしょう。そのためには私たちはモバイル機器のフラッシュメモリの特性を見直し、フォレンジックの観点から長所と短所を実証します。ここでは、暗号化、パスワード、損傷したデバイスなどに対応する際に直面する共通の課題に対応するためのアプローチを提供します。受講者はフォレンジックの観点からモバイル機器上のデータを処理、およびデコードする方法を習得し、フォレンジックツールでも成し得ない情報の復元方法を手に入れます。
SIFTワークステーションには、主なツールキットと作業環境となるスマートフォンフォレンジックツールセットが搭載されています。
フォーカス:Android端末は世界中で幅広く使用されているため、いつこれが調査対象としてあなたのところに持ち込まれても不思議ではありません。しかし、この端末へアクセスするのは一時期と比べて難しくなっている現実があります。実に大量のデータを格納しており、それらをデコードすることで非常に有効な情報になります。しかしAndroid端末のロックを回避して適切な保存場所にアクセスするための正しいスキルを習得しておかなければ、急速に変化するスマートフォンフォレンジックの世界では置き去りになる可能性があるのです。
デジタルフォレンジック実施者はAndroidのファイルシステム構造を理解し、目当てのデータを収集するためにそのデータがどこに格納されているのかを把握する必要があります。そのためこのコースでは、証拠になりえるデータがファイルシステムのどのあたりに格納されているかなどを掘下げていきます。ユーザの行動履歴やSQLite、生データファイルから削除されたファイルの復元をおこないます。
ハンズオン演習では、ツールを使用してAndroid端末から習得した様々なデータの抽出、デコード、分析を行います。SQLiteを使用した検証スキルを用い、商用ツールでは対応出来ないクエリー作成を行います。
フォーカス:Androidのバックアップはフォレンジック担当者またはユーザによって作成されます。AndroidとGoogleクラウドには非常に多くの価値情報が格納されています。Apple iOSにおいてもAndroid端末と同じく、デコードすることでその端末には有益な情報が格納されています。ロックを回避して端末内の情報にアクセスするテクニックについてはAndroidの時と同様です。したがって、iOSと対峙する際にはiOS向けの知識が必要になるのです。
このセクションはAndroidのバックアップとAndroidとGoogleに関連付いたクラウドデータに関する検証を行います。次にiOSについてもAndroidと同じ粒度で触れていきます。iOSでのフォレンジックを行う場合も基本的な考え方はAndroidと同様で、ファイル構造の理解が重要になるため、暗号化、復号などを含めてカバーします。
ハンズオンでは前日に引続き、ツールを使用してAndroidバックアップとiOS端末に関する演習となります。
フォーカス:これまでのコンテンツで、Androidではバックアップファイルから得られる情報は非常に意味のあるものということがわかりました。これはiOSのバックアップにおいても同様のことが言えます。誰もがBlackBerryとWindows Phone端末を調べるわけではないので、ここでは主にBlackBerry 10、Windows Phone 8および10、およびセクションの最後にあるアプリケーションの使用法に焦点を当てています。
Windows PhoneとBlackBerry 10の両方のセクションでは、複数のスマートフォンで確認できる証拠が強調表示されています。 BlackBerryはユーザーのプライバシーを保護するように設計されていますが、このコースではBlackBerryファイルシステムのデータベースファイルにあるデータをデコードして手動で復元することができます。最終的には、SIMカードとアプリケーションの使用をデバイスに結びつけることを含めたBlackBerry 10のラボに着手する前に、学習したツールやテクニックを駆使してデータワイプがされたWindows Phoneからユーザーデータを復元にチャレンジします。
前日同様にここではiOSのバックアップファイルに対するフォレンジックテクニックについて深く理解していきます。
フォレンジックに関わる方は様々なスマートフォンの情報とその解釈、分析のコンセプトを知っている必要があると同時に既存の方法の限界も理解している必要があります。このコースでは、暗号化の問題、Windows Phoneの成果物、BlackBerry Enterprise Serverのデータ、およびロックされたデバイスの処理方法について説明します。 Windows PhoneとBlackBerry 10のデータを手動で解読すると、ツールが見逃していると思われる膨大な量のデータにアクセスできます。
演習では、ツールをやメソッドを使用して、iOSバックアップ、Windows Phone、BlackBerry 10端末からさまざまな情報を抽出して分析します。またツールが苦手とするワイプ済み、暗号化または削除されたデータの復元を手動で行うことになります。
フォーカス:各スマートフォンでサードパーティアプリケーションを使用し、調査をスムーズに進めるためにサードパーティアプリケーションのデータと環境設定ファイルの活用方法を習得するよう設計されています。その他、安全なチャットアプリケーション、削除されたアプリケーションデータと添付ファイルの復元、モバイルブラウザのアーティファクト、「ノックオフ」フォレンジックに重点を置いています。このセクションで習得したスキルにより、すべてのスマートフォンでサードパーティのアプリケーションに保存されているデータの高度なデコードが可能になります。商用ツールが見逃している部分をご自身で見つけてください。
演習では、ツールを使用して対象のサードパーティアプリケーションファイルを抽出して分析し、欠落しているデータを手動で掘り起こし、SQLiteクエリを駆使して削除されたデータやを復旧させます。ハンズオン演習は、これまでコースで学んだことのすべてを結集して挑むことになります。「ノックオフ」フォレンジックでは今まで習得した知識を試す良い機会です。ここまでくればあなたはスマートフォンフォレンジックに対する相当な知識を習得し、ツールが見つけることができない課題についてもあなたの手で解決するだけの力を持っていることを証明することができるでしょう。
フォーカス:最終日は仕上げとしてコースで習得したすべての知識をつぎ込んで課題に挑みます。グループに分かれ、3つのスマートフォン端末に対する実践的なフォレンジック調査を実施します。各グループは独自の調査を実施し、特定の質問に回答しつつ、仮説を立て、それを検証し、レポートにまとめた後に発表を行います。
総仕上げ演習の結果を発表することで、これまで学習した内容がどの程度身に付いたかを評価することが可能になります。演習結果は技術的かつ調査段階におけるプロセスや考え方を含める必要があり、なおかつ手短に調査結果を把握することが可能なようにエグゼクティブサマリも必要になります。
実際のフォレンジック調査と同様に、各グループは総仕上げ演習においてに以下に列挙した質問に答えるよう求められます。