【サイバーセキュリティ ハンズオン】デジタルフォレンジック技術入門（Windows解析編）

「デジタルフォレンジック」とは、サイバー犯罪の証拠データを収集・解析し、真相を解明することです。

従来、デジタルフォレンジックは、機密情報の漏えい事件や不正アクセス事件等、IT犯罪における捜査に限定された利用が多く、特定の職業・業種に従事する人々に必要とされた技術でした。

しかし、IT技術が一般化し、企業内・組織内でデジタルデータに触れる業務が不可欠になった現在では、デジタルフォレンジック技術による調査の機会も増え、注目されている技能の一つです。また、セキュリティエンジニアを志す方々にも必須の知識・技能となりつつあります。

本コースでは、米国標準技術研究所NISTが公開しているコンピュータフォレンジック参照データセットCFReDS を対象に、「ハッキング事件」および「情報漏えい事件」に用いられたWindowsPC（イメージファイル）をフリーツールで解析します。

本コースを受講することで、WindowsPCのハッキングおよび情報漏えいインシデントのデジタルフォレンジックができるようになります。また、関連するツールの操作法も習得できます。

このコースは、

１）証拠取得のための課題出題

２）証拠取得の方法を実施

３）結果の解説

の順で進んでいきます。

是非、ご自身の端末にも環境を構築し、出題に挑戦しながら進めていきましょう。

＜実施する演習＞

ハッキング事件のフォレンジック

事件の背景を理解し対象PCのイメージファイルを確認した後に、以下の演習を行います。

• OSの特定

• コンピュータの所有者の調査

• ログイン履歴の調査

• 容疑者のアカウントの特定

• ネットワークインタフェースの調査

• ハッキング用ツール／マルウェアの調査

• チャットの調査

• 盗聴された通信端末・通信内容の調査

情報漏えい事件のフォレンジック

事件の背景を理解し対象PCのイメージファイルを確認した後に、以下の演習を行います。

• コンピュータ利用履歴の調査

• タイムゾーンの調整

• アプリケーション実行履歴の調査

• Web閲覧サイトの調査

• Web検索キーワードの調査

• メールの調査

• PCに接続された外部記憶装置（USB，CD-R）の調査

• ネットワークドライブ利用履歴の調査

• クラウドサービス利用履歴の調査

• ファイル複写・削除履歴の調査

• ファイルのタイムスタンプの調査

• サムネイル画像の調査

• 付箋の調査

• コンピュータ内検索履歴の調査

• シャドーコピー・ジャーナルファイルの調査

• ゴミ箱に残っている／削除されたファイルの調査

• 削除ファイルの復元

• アンチフォレンジック（証拠隠滅）行為の調査

• 機密情報の入手・漏えい経路の調査

• 情報漏えい過程のタイムラインの作成・可視化

＜推奨される演習環境＞

使用するコンピュータ

• ホストPC：Windows10（MSOffice搭載）

• 仮想マシン：VMware Workstation Player

• ゲストPC：SIFTLinux

ネットワーク環境

• インターネット接続

なお、本コースを受講するにあたって、受講生の皆さんには留意していただきたい点がございます。受講前に必ず、レクチャー１を視聴いただき、ご理解いただいた上での受講をお願いいたします。

それでは、本編でお会いしましょう！