標的型攻撃(※1)などにおける攻撃者の侵害手口は、近年ますます高度化しています。
この為、従来の"ウイルス対策ソフトによるフルスキャン"といった対応手順では、攻撃者が設置した遠隔操作マルウェア(リモートコントロールツール※2)などを発見できない事案が増加傾向にあります。
本コースでは、侵害が疑われる状況において、デジタル・フォレンジック技術を利用した初動対応を行うことにより、被害拡大の防止、影響範囲の確認、情報漏洩を判断する基礎的な手法について演習形式で学びます。(対象はWindows環境となります)
※1 APT:Advanced Persistent Threat
※2 RAT:Remote Access Trojan/Remote. Administration Tool
当コースは、2024年度の情報処理安全確保支援士の特定講習(民間講習)として選定されました。
・IT技術者(インフラ系)
・情報システム・セキュリティ推進部門担当者
・SOC(セキュリティ運用)要員
・CSIRT要員(管理系)
・CSIRT要員(技術系)
・マルウェアの基本的な動作に関する知識
・標的型攻撃で利用される一般的な侵害手口に関する知識(Persistence, Lateral Movement, Exfiltration)
当コースを修了した時点で、次のことができることを目標とします。
1.プロキシログから、マルウェアによる不正通信を発見し、影響範囲の確認などができるようになる
2.Windowsのシステム内に設置されているマルウェアを発見し、被害状況、影響範囲の確認ができるようになる
3.削除ファイルの復元方法を学び、インシデント対応の幅を広げられるようになる
●1日目
1.プロキシログ解析
・遠隔操作マルウェアとC2サーバとの通信
・マルウェアによる通信の特徴
・マルウェアによる不正通信の調査演習
2.マルウェアの手動探索
・マルウェアの特徴と自動起動の手口(TTPs)
・マルウェアを発見する3つの観点
・ツールを利用したASEP(自動開始拡張ポイント)の調査演習
●2日目
3.プログラム実行痕跡調査
・プリフェッチファイルを利用した侵害確認
・プリフェッチファイルの可視化と調査
・侵害範囲調査演習
4.ファイルシステムのログ調査
・ファイルシステムのログを利用した侵害確認
・NTFS USNジャーナルの可視化と調査
・USNジャーナルによる攻撃痕跡調査演習
5.削除データの調査
・削除ファイルの状態遷移
・削除ファイルの復元手法「カービング」
・攻撃者の隠蔽手口を模したファイル探索演習
日数 | 2日間 |
---|---|
受講時間 | 10時00分 ~ 17時30分(昼休憩:60分) |
受講料 | 330,000円 (税別価格300,000円) |
日時 | 場所 | 状況 | 締切日 | セッションID |
---|---|---|---|---|
5月21日(火) 〜 5月22日(水) | 株式会社ラック セミナールーム | 受付中 | 5月5日(日) | 03 |
7月11日(木) 〜 7月12日(金) | リモートLive配信(ZOOM)(株式会社ラック) | 受付中 | 6月25日(火) | 04 |
9月12日(木) 〜 9月13日(金) | 株式会社ラック セミナールーム | 受付中 | 8月27日(火) | 05 |
キャンセル規定 | 受講開始7日前から受講料(購入価格)の100%のキャンセル料がかかります。 |
---|
当コースは、情報処理安全確保支援士の資格更新のための特定講習に認定されました!
(参考) 経済産業省のHPで公表:情報処理安全確保支援士が更新講習を民間講習から選べるようになりました
https://www.meti.go.jp/policy/it_policy/jinzai/tokutei.html
国家資格「情報処理安全確保支援士」 (以下「登録セキスペ」)は、情報処理の促進に関する法律に基づく、サイバーセキュリティの確保を支援するために、セキュリティに係る最新の知識・技能を備えた専門人材の国家資格です。
登録セキスペは、登録維持のために講習受講が義務化されており、その特定講習として、当コースが認定されました。
【重要】キャンセル規定
当コースは、株式会社ラック(永田町)直営クラスへのご案内となります。
クラス開始日の7日前から受講料金全額のキャンセル料が発生します。
当コースは「デジタル・フォレンジックコース ~侵害調査の基礎訓練~」(CDL06) の後継コースです。
内容やカバーする範囲は上記コースと同等です。
座学による概論とハンズオンによる実習によって、専門性の高い知識が身につきます。