Question 1

セクション1: インシデント対応とサイバー調査

Accepted Answer

概要 SEC504Jトレーニングの最初のセクションでは、組織におけるインシデント対応プロセスの策定および構築方法に重点を置いています。 動的インシデント対応アプローチ（DAIR）プロセスを適用し、脅威の検証、影響範囲の特定、封じ込め、評価、修復を効果的に行う方法について解説します。 PowerShellやその他の貴重な分析ツールを使用して、ハンズオンラボや実際の侵害事例をもとに、このプロセスを詳しく解説します。 また、生成AIプラットフォームを活用し、精度を維持したままインシデント分析プロセスを加速する方法についても解説します。 ラボの詳細 Windowsライブ試験 ネットワーク調査 メモリ調査 マルウェア調査 ライトニングラボ：WordPressログ評価 ライトニングラボ：Tcpdump入門 ライトニングラボ：マルウェア文字列 トピックの詳細 インシデント対応 ケーススタディ：Argous Corporationの侵害 インシデント対応への動的アプローチ 調査分析：インシデントの証拠を検証 インシデント分析において複数の証拠ソースを活用 ライブ試験 PowerShellを使用したWindowsのスレットハンティング 疑わしいWindowsプロセスを特定 ネットワーク活動と永続化活動の相関分析 ファイルレスマルウェアの脅威を評価 Windows自動起動拡張ポイントを列挙 Sysinternalsを活用したWindowsのライブ試験 ネットワーク調査 プロキシサーバーログを用いて侵害ホストのビーコン通信を特定 ネットワーク活動をフィルタリングして侵害指標（IoC）を特定 複数のデータソースを使用して暗号化されたネットワークトラフィックを評価 インシデントタイムラインを構築 メモリ調査 侵害されたホストから揮発性メモリを収集 攻撃者の永続性に関するオフライン分析を実施 Volatility 3を使用してマルウェアを調査 不揮発性メモリの取得データを用いて攻撃者のイベントタイムラインを構築 マルウェア調査 安全なテスト環境で攻撃者マルウェアを評価 スナップショットおよび連続記録ツールを使用 RegShotとProcmonを使用してマルウェア動作を検査 Windows上の悪意のあるコードを特定 生成AIによるIRの高速化 レポート用に悪意あるコードアーティファクトを要約 プロンプトエンジニアリングに不可欠なヒント AIを用いてデータの難読化解除を自動化 スクリプトを生成してデータの収集と分析を高速化 優れたプロンプト結果を得るためのAIトレーニングのヒント AI支援インシデント対応のリスクを認識および軽減 ブートキャンプ：Linuxオリンピック インタラクティブな学習環境を用いてLinuxを学習 自分のペースでコマンドラインのスキルを構築 Linuxのファイルシステムと権限の操作 JQを用いてJSONデータを解析およびフィルタリング grep、cut、awkを含むファイル解析ツールを使用 Linux侵害インシデント対応のウォークスルー ブートキャンプ：PowerShellオリンピック インタラクティブな学習環境使用してWindows上でPowerShellを学習 自分のペースでコマンドラインのスキルを構築 PowerShellスキルを習得：cmdlet、関数、組み込み機能など 効果的なスレットハンティングのために、Windowsシステムを迅速に調査する方法を学習 PowerShellの自動化により、一般的な分析タスクを加速

Question 2

セクション2：スキャンと列挙攻撃

Accepted Answer

概要 このコースのセクションでは、攻撃者が、攻撃前の段階として行う偵察の手法について解説します。具体的には、攻撃機会を見つけるために、オープンソースインテリジェンス（OSINT）、ネットワークスキャン、ターゲット列挙などをどのように利用するのかです。 攻撃者の手法を用いてターゲットネットワークのセキュリティを評価し、Windows、Linux、Azure、AWSのターゲットにおける主要なプロトコルやエンドポイントを評価します。 攻撃を実行した後、残されたログデータや証拠を調査し、これらの攻撃を発生時に認識できるようにします。 ラボの詳細 Nmapによるホストの検出と評価 Masscanによるシャドウクラウドアセットの発見 Windowsサーバーメッセージブロック（SMB）セキュリティの調査 Windowsパスワードスプレー攻撃の検知 Netcatのさまざまなな用途 ライトニングラボ：Nmapのポート範囲 ライトニングラボ：SMBeagleによるスキャン ライトニングラボ：SMBクライアントアクセス ライトニングラボ：Netcatクライアントの機能 トピックの詳細 MITRE ATT&CK® フレームワーク入門 ATT&CKを使用したインシデント対応調査のガイド 攻撃手法の変化に常時対応 スレットインテリジェンスのためにATT&CKを活用 Nmapによるネットワークとホストのスキャン Nmapによるホストの列挙と検出 内部および外部ネットワークのマッピングと可視化 検出を回避するためのネットワーク活動の最小化 Nmap Scripting Engineツールによるホストの詳細評価 クラウドスポットライト：クラウドスキャン Masscanを使用してスキャンを高速化 ウォークスルー：ターゲット発見のためにAmazon Web Servicesをスキャン クラウドホストをターゲット組織に帰属 EyeWitnessによるターゲットの可視化 サーバーメッセージブロック（SMB）セキュリティ Windows SMBを理解：必須のスキル開発 Windowsに対するSMB攻撃を特定 SMBパスワード攻撃に組み込みツールを使用 SMBセキュリティ機能を理解 攻撃者のようにSMBの脆弱性を突く 防御スポットライト：HayabusaとSigmaルール WindowsイベントログとHayabusaを使用して攻撃を特定 Sigmaルールを使用したスレットハンティング 攻撃と偽陽性を区別 侵害特定のためのリモートホスト評価 インシデント分析を開始するための迅速な評価のヒント 多目的Netcat 監視制御を回避しながらのデータ流出 内部ネットワークでのピボットおよびラテラルムーブメント LinuxとWindowsにリスナーとリバースTCPバックドアを実装 攻撃者の侵害後手法を詳しく見る エンドポイント検知ツールを回避する Living Off the Land（環境寄生型）攻撃

Question 3

セクション3: パスワード攻撃とエクスプロイトフレームワーク

Accepted Answer

概要 攻撃者はシステムに侵入するために、パスワード攻撃やエクスプロイトを絶えず仕掛けており、組織のシステムには常に脅威となっています。 このセクションでは、オンプレミスとクラウドシステムに対するパスワード侵害の複数の手法を見ていきます。 マルチプロトコルのパスワード攻撃に使用するLegbaや、パスワード解析に用いるHashcatなど、一般的な攻撃ツールを活用します。 また、初期侵入および侵害後に悪用されるMetasploitなどのエクスプロイトフレームワークについても詳しく学びます。 これらのツールから得られる知見を活用し、実践的な防御の実装を強化するとともに、インシデント対応プレイブックの改善に役立てます。 ラボの詳細 Legbaを使用したパスワード推測およびスプレー攻撃 Amazon AWSでMicrosoft 365の認証防御を回避 Hashcatによるパスワードクラッキング Metasploit攻撃と分析 ブラウザエクスプロイトフレームワーク（BeEF）によるクライアントサイドのエクスプロイト ライトニングラボ：パスワードリストのフィルタリング ライトニングラボ：Hashcatハッシュタイプ ライトニングラボ：Hashcatルールの使用 ライトニングラボ：Metasploit検索 ライトニングラボ：MsfVenomペイロード トピックの詳細 パスワード攻撃 パスワード攻撃の三本柱：推測、スプレー、クレデンシャルスタッフィング Legbaでパスワード攻撃を加速 パスワード攻撃防御を回避する手法 実際の認証攻撃を理解 Microsoft 365の攻撃 有効なMicrosoft 365ユーザーアカウントを列挙 多要素認証（MFA）の評価と回避 SaaS（クラウド・ソフトウェア・アズ・ア・サービス）プラットフォームへの攻撃 AWSサービスを利用してアカウントロックアウトを回避 Azure Gov Cloudとエンタープライズクラウドのセキュリティの違い ビジネスメール詐欺（BEC）の調査 パスワードハッシュを理解 Windowsパスワードハッシュ形式の弱点 Windows、Linux、クラウドのターゲットでパスワードハッシュを収集 YescryptとArgon2によるGPUベースのパスワードクラッキングを軽減 パスワードクラッキング Hashcatを使用してハッシュからパスワードを復元 GPUおよびクラウドアセットを使用してパスワードクラッキングを加速 パスワードポリシーマスクによる効果的なクラッキング 多要素認証とパスワードクラッキングの影響 Metasploitフレームワーク Metasploitを使用してエクスプロイトを特定、設定、実行 防御を回避しながらアクセスを許可するペイロードを選択 コマンド＆コントロール（C2）による被害端末へのアクセスを確立および利用 インシデント対応のためのMetasploitとMeterpreterアーティファクトを特定 ドライブバイ攻撃 フィッシングと悪意あるMicrosoft Officeファイル ウォータリングホールを利用して被害端末のWebブラウザを攻撃 ケーススタディ：ウォータリングホール型フォーラム侵害を通じた制御システムへの攻撃 効果的な攻撃のために拡張可能ペイロードを構築 防御回避のためにエクスプロイトをカスタマイズ

Question 4

セクション4：ウェブアプリケーション攻撃

Accepted Answer

概要 このセクションでは、Dellの顧客ポータル攻撃のような著名なWebアプリケーション侵害を分析し、大規模なデータ漏えいにつながるWebアプリケーション攻撃を見ていきます。 攻撃者が、強制ブラウジング、IDOR（不適切な直接オブジェクト参照）、コマンドインジェクションなど、欠陥を悪用して機密データにアクセスする方法を解説します。 ハンズオンラボでは、これらの攻撃を適用し、検出および防御するための実践的なスキルを身につけます。 このモジュールでは、SQLインジェクションからクロスサイトスクリプティングまで、実際の侵害で使用されている手口に対して、Webアプリケーションを保護するための準備を行います。 ラボの詳細 強制ブラウジングとIDOR（不適切な直接オブジェクト参照）攻撃 コマンドインジェクション攻撃 クロスサイトスクリプティング攻撃 SQLインジェクション攻撃 SSRF（サーバーサイドリクエストフォージェリ）とIMDS（インスタンスメタデータサービス）攻撃 クラウドバケットディスカバリーとデータハーベスティング ライトニングラボ：Ffufによる強制ブラウジング ライトニングラボ：コマンドスタッキング トピックの詳細 強制ブラウジングとIDOR（不適切な直接オブジェクト参照） 公開Webサイトの攻撃チェーン評価 IDOR脆弱性パターンの特定でAIを活用 クローリングを超えて：攻撃者エンドポイントリストを使用して発見を加速 コマンドインジェクション コマンドインジェクションによるウェブサイトの侵害 ウォークスルー：FalsimentisコミュニティサービスWebサイトへの攻撃 Webサイト以外のターゲットにコマンドインジェクションを適用 コマンドインジェクションを通じた攻撃アクセスの列挙 コマンドインジェクションの欠陥についてWebアプリケーションを監査 クロスサイトスクリプティング（XSS） サーバーの欠陥を通じて被害ブラウザを悪用 機会的攻撃または標的型攻撃に向けてXSSの種類を分類 Cookieの窃取、パスワードハーベスティング、カメラ/マイクの取得攻撃 XSSを阻止するためにコンテンツセキュリティポリシー（CSP）を使用 SQLインジェクション SQL構文と開発者エラーを理解 SQLインジェクションを通じてデータを抽出 Sqlmapを使用して脆弱性発見を自動化 クラウドデータベースに対するSQLインジェクション：Relational Database Service（RDS）、Spanner、Azure SQL クラウドスポットライト：SSRFおよびIMDS攻撃 SSRF（サーバーサイドリクエストフォージェリ）の脆弱性を特定 通常のリクエストとサーバーサイドリクエストの違いを理解 ウォークスルー：FalsimentisフェデレーテッドSSO攻撃 IMDS攻撃によるクラウド鍵の取得 クラウドスポットライト：安全でないストレージ ケーススタディ：クラウドバケットストレージの露出 Amazon Web Services（AWS）、Azure、Google Computeのクラウドストレージを理解 安全でないバケットストレージを発見 ウォークスルー：安全でないストレージからWebサイトの永続的侵害へ 安全でないクラウドストレージへのアクセスを特定

Question 5

セクション5：回避およびポストエクスプロイト攻撃

Accepted Answer

概要 このセクションでは、パスワード攻撃、公開サービスへの攻撃、ドライブバイ攻撃を踏まえ、ポストエクスプロイトの手口を詳しく取り上げます。攻撃者がエンドポイント保護を回避し、確保した足掛かりを利用して内部ネットワークへアクセスする手法を見ていきます。 特権内部者攻撃の仕組み、攻撃者が永続化を確立する方法、そして機密データを探索して外部へ流出させる手法を解説します。また、自動化ツールや可視化手法を用いて、脆弱なクラウド環境のセキュリティを評価します。 これらの分析スキルを用いて高度な脅威を認識し、対応することで、学んだことを実際の状況に応用できるようになります。 また、コース終了後に取るべきステップを見て、学んだことを長期的なスキルに変え、認定試験に備えます。 ラボの詳細 エンドポイント保護の回避：アプリケーション許可リストの回避 コマンド＆コントロールフレームワークによるピボットとラテラルムーブメント Responderでネットワーク内部者としてWindowsを悪用 Metasploitで永続性を確立 RITA（リアルインテリジェンス脅威分析）によるネットワークスレットハンティング ScoutSuiteによるクラウド構成評価 Ankiで復習カードを作成 ライトニングラボ：SudoによるLinuxの特権エスカレーション ライトニングラボ：Zeekログの生成 トピックの詳細 エンドポイントセキュリティの回避 エンドポイント回避の3つの手法を理解 アプリケーションのセーフリスト制御を回避 署名付き実行ファイルを使用してエンドポイント制御を回避 Microsoft署名付きツールを使用してシステムを攻撃： Living Off the Land（環境寄生型） エンドポイント検出・対応（EDR/XDR）プラットフォームを最大限に活用 ピボットとラテラルムーブメント Metasploit機能を使用したラテラルムーブメント ピボットを通じた攻撃者検出回避 LinuxとWindows機能を使用した高度なエクスプロイト コマンド＆コントロール（C2）による特権内部アクセス ハイジャック攻撃 特権LANアクセスの悪用 Windowsデフォルトの脆弱なプロトコルに攻撃 LAN上でのパスワードハーベスティング 永続性の確立 Windows Management Instrumentation（WMI）のイベントサブスクリプションを利用した永続化手法 Windows Active Directoryの悪用：ゴールデンチケット攻撃 Webシェルによるアクセスとマルチプラットフォームでの永続化 Azure、Amazon Web Services（AWS）、Google Computeにおけるクラウドキーとバックドアアカウント 防御スポットライト：リアルインテリジェンス脅威分析 ネットワーク分析によるスレットハンティング ネットワーク上のビーコンとC2を特定 ネットワーク異常の特徴付け：長時間接続 DNSの流出とアクセス攻撃を検知 クラウドスポットライト: クラウドにおけるポストエクスプロイト クラウド環境における特権の列挙とエスカレーション Azureにおいてステルスバックドアを特定 クラウド攻撃フレームワークとしてPacuを使用 ケーススタディ：Google Computeにおけるデータベースダンプへのアクセス データアクセスのための組み込みツール：Microsoft 365 Compliance Search クラウド展開の脆弱性を評価 ここから先に進むためには 長期的な記憶と記憶保持力を高めるためのヒント Ankiを用いて間隔反復法を応用 モチベーションの維持とスキルアップのための時間の確保 認定試験に合格するためのアドバイス

Question 6

セクション6：CTF（キャプチャー・ザ・フラッグ）イベント

Accepted Answer

概要 CTF（キャプチャー・ザ・フラッグ）イベントは、丸一日かけたハンズオン形式の演習です。ここでは、最近侵害を受けた架空の会社ISS Playlistのコンサルタントになります。 攻撃者が最新の高度なネットワーク環境を侵害する際に使用するのと同じ手法を用いながら、授業で学んだすべてのスキルを実践します。 チームまたは個人で、Windows、Linux、モノのインターネット（IoT）デバイス、クラウドのターゲットを含むサイバーレンジ上のターゲットシステムに対して、スキャン、エクスプロイト、ポストエクスプロイトのタスクを実行します。 このハンズオン形式のチャレンジは、スキルの練習と、コース全体を通して学んだ概念の理解を強化することを目的としています。 このイベントでは、必要に応じて成功のためのガイダンスを提供する統合ヒントシステムにより、ターゲットシステムの侵害、エンドポイント保護プラットフォームの回避、内部ネットワークの高価値ホストへのピボット、企業データの流出までの手順を段階的に学びます。 トピックの詳細 ターゲットの発見と列挙 OSINT（オープンソースインテリジェンス）および偵察による情報収集の活用 公開アセットの侵害 電子メールの侵害 Windows Active Directoryへの攻撃 スプレー、推測、クレデンシャルスタッフィングによるパスワード攻撃 ポストエクスプロイトのピボットとラテラルムーブメント エクスプロイトの選択、設定、実行 内部攻撃者による侵害の帰属特定

SEC504J: Hacker Tools, Techniques, and Incident Handling (日本語)

コースの特長

GIAC Certified Incident Handler Certification (GCIH)

38 CPEs

In-Person(対面)またはLive Online(オンライン)

30 ハンズオン・ラボ

サイバーセキュリティのインシデントを調査し、スレットインテリジェンスを開発し、実際の脅威に対する防御戦略を適用しながら、攻撃者のように考えることで、インシデント対応スキルを向上させましょう。

コース概要

インシデント対応をマスター：攻撃者のように訓練し、プロのように防御する

学習内容

ビジネス観点でのポイント

執筆者のコメント

著者紹介

コースシラバス

受講前に知っておくべきこと

SANS Active Cyber Defence Japan 2026 / 2026年日本開催アクティブ・サイバー防御イベント

世界中の第一線で活躍するサイバーセキュリティプロフェッショナルと共に学ぶ

SANSで学ぶメリット