ホーム > 実践!デジタル・フォレンジックコース(1) 初動対応編~Windows環境のマルウェア発見と保全手法~

実践!デジタル・フォレンジックコース(1) 初動対応編~Windows環境のマルウェア発見と保全手法~

コース基本情報

コースタイトル 実践!デジタル・フォレンジックコース(1) 初動対応編~Windows環境のマルウェア発見と保全手法~
コースコード SCC0154R  
コース種別 集合研修 形式 講義+実機演習
期間 1日間 時間 10:00~17:30 価格(税込) 165,000円(税込)
主催 株式会社ラック
コース日程が決定次第、ご案内いたします。マイページ会員様は「お気に入り」にご登録いただければ、日程が公開された際にメールで通知が届きます。
詳しくはお問い合わせください。

ワンポイント

新設CSIRTチームなどで初動対応で行う部分をカバーしたフォレンジックコースです。


人材開発支援助成金を申請予定の場合、担当営業もしくはWebにご相談ください。

重要なご連絡・ご確認事項

2019年10月以降の開催コースより、お申し込みの変更(キャンセル、日程変更)に関する規定が変更となりました。

対象者情報

対象者
・CSIRT要員(技術系)
前提条件
□インシデント・レスポンスや事故対応に関する基本的な理解(情報セキュリティ事故対応2日コース 実機演習編の受講または同等の知識)
□Windows内部に関する基本的な知識とコマンドラインを利用した操作
□マルウェアの基本的な動作に関する知識
□標的型攻撃で利用される一般的な侵害手法に関する知識

学習内容の詳細

コース概要
コンピュータ・ウイルスやマルウェア、標的型攻撃(※1)によって侵害されている疑いがあるWindows環境に対して、従来のウイルス対策ソフトによるスキャン対応だけでは、遠隔操作に利用するリモートコントロールツール(※2)などを正しく発見できない場合があります。
このコースでは、マルウェアや標的型攻撃により利用される攻撃手口(※3)の一つとして、自動開始拡張ポイント(※4)を確認し、自動起動に登録されているプログラムからマルウェア検体を探す手法について演習形式で学びます。
また、セキュリティインシデントの発生が確認された後、被害を最小化し、適切な初動対応が実施できるよう留意すべき事項や、調査用複製データの取得手順についても学びます。

※1 APT:Advanced Persistent Threat
※2 RAT:Remote Access Trojan/Remote. Administration Tool
※3 TTPs:Tactics, Techniques and Procedures
※4 ASEP:Autostart Extensibility Points
学習目標
● Windows環境において、マルウェア感染の疑いがあるシステムにおいて、マルウェアを特定しインシデントの発生を確認できるようになる
● 不用意な操作により、調査に必要な痕跡が破損したり、失われる事を防げるようになる
● 詳細なフォレンジック調査のためハードディスクの複製(取得)ができるようになる
学習内容
1日目午前

1. 手動によるマルウェア感染調査
  - 手動でマルウェアを発見する場合に調査すべき観点

2. 自動起動の確認によるマルウェア発見
  - ASEP (Automatic Start Extensibility Point)の調査手法

1日目午後

3. ファイルシステムの情報確認
  - ファイルシステムの詳細情報の確認方法

4. 削除ファイルの復元とその限界
  - 削除ファイルの確認方法
  - 不用意な操作による重要な痕跡の喪失事例

5. メモリイメージ・ディスクイメージの保全
  - 保全方法と手順
    ・メモリ(揮発性情報)
   ・ディスクイメージの取得(ライブ環境)
   ・部分的なデータ取得(対象となる項目の把握)

ご注意・ご連絡事項

・最少催行人数に達しない場合には中止になる場合がございます。
・コース内容は変更される可能性があります。
・株式会社ラック開催コースの受講お申し込みは11営業日前まで、キャンセル・日程変更は11営業日前まで、受講者変更は2営業日前までとさせていただきます。日程変更は同一コースにつき一回限りです。

なお、キャンセル料の扱いは以下のとおりです。
・コース開始日の10営業日前以降:受講料の全額を請求
・日程変更後のキャンセル:お申し出日に関わらず受講料の全額を請求