サイバーセキュリティ実践

Webアプリのペネトレーション実践コース(DVWAを利用)

コース名:Webアプリのペネトレーション実践コース (DVWAを利用して)

受講期間:3か月(91日)

標準学習時間:5.5時間

(内、ビデオ聴講時間2.5時間、理解度確認クイズ回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

昨今、情報流出やハッキングといったサイバーセキュリティ事件が多発しています。サイバーセキュリティ事件はWebアプリへの様々な攻撃方法(SQL Injection、クロスサイトスクリプティング等)を用いて行われています。本コースではそれらの代表的なWebアプリへの攻撃方法を学び、実際にデモ環境の脆弱性を持った演習用Webアプリ(DVWA: Damn Vulnerable Web Application)に攻撃をします(3つの脆弱性レベル)。また、それらの攻撃方法を防ぐためのセキュリティ対策も学びます。

2.コースの目的

・代表的な3つのWebアプリへの攻撃方法(SQL Injection、クロスサイトスクリプティング (DOM)、Command Injection)を学ぶ。

・実際に脆弱性のあるWebアプリ(DVWA)に攻撃する。

・Webアプリのプログラムの脆弱性の修正方法を学ぶ。

3.受講対象者

・Webアプリへの攻撃方法やペネトレーションについて学ばれたい方

・サイバーセキュリティ事故の詳細に興味がある方

・Webアプリを開発されている方

4.受講の前提知識

・Linuxに関する基礎知識

5.講師

長谷川哲哉

IT企業にソフトウェア開発者、システムアーキテクトとして従事。

情報処理安全確保支援士(登録番号:第007417号)としてこれまで様々な企業へのセキュリティ指導やコンサルに従事。

5.注意事項

デモ環境以外のWebアプリに本コースで行ったことを試す場合は必ず相手の許可を得ること。相手に無断で行った場合、不正アクセス禁止法等に抵触する可能性があります。

6.カリキュラム

 

1. コース概要

2.SQL Injection

2.1 攻撃方法の説明

2.2 Lowレベル

2.3 Mediumレベル

2.4 Highレベル

3.XSS (DOM)

3.1 攻撃方法の説明

3.2 Lowレベル

3.3 Mediumレベル

3.4 Highレベル

4.Command Injection

4.1 攻撃方法の説明

4.2 Lowレベル

4.3 Mediumレベル

4.4 Highレベル

5.まとめ

IoTに対するペネトレーション実践コース

コース名:IoTに対するペネトレーション実践コース

-IoTネットワーク(イーサーネット)へのペネトレーション編-

受講期間:3か月(91日)

標準学習時間:4時間

(内、ビデオ聴講時間2時間、理解度確認テストの回答、ビデオのデモに基づく受講者によるペネトレーションテストの実習、参考資料の学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コースの目的

IoTに対するペネトレーションテストを基礎から学びたい方向けのコースで、主にネットワークへのペネトレーションテストの目的、テストの実施手順等についてわかりやすく概要を説明します。また、模擬環境に対するネットワーク(イーサーネット)のペネトレーションテストを行うことでさらに理解を深めます。

2.受講対象者

・セキュリティを意識したIoT開発に携わる方、または将来的に携わる方

・IoTに対してペネトレーションテストを含むセキュリティテストに携わる方、または将来的に携わる方

3.受講の前提知識

・ネットワークに関する基礎知識

・Linux環境でのターミナル(端末)の操作の基礎知識

・情報セキュリティの基礎知識

4.注意事項

・Q&Aについて

本講座ではIoTペネトレーションテストに関しての知見を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問には回答いたしかねますのでご了承ください。

・本講義で学んだ技術の悪用禁止

使用者の許可なく外部サーバやシステム等にペネトレーションテストまたはその一部を絶対に行わないでください。

5.講師

権田陽彦

(国内一般企業において社内開発製品及び社外製品のセキュリティテストに従事)

6.カリキュラム

1.IoTに対するペネトレーションテストとは

・ペネトレーションテストとは

・ペネトレーションテストと脆弱性診断の違い

・IoTに対するペネトレーションテスト

・ペネトレーションテストの構成イメージ

2.ペネトレーションテストの流れ

・ペネトレーションテストの実施手順

①侵入口の洗い出し&攻撃シナリオ作成

②スキャンによる情報収集

③エクスプロイトによる再現確認

④ポストエクスプロイト

⑤レポート作成

3.IoTペネトレーションテストの実践

・環境構築

・IoTを模擬したターゲットに対して簡単なペネトレーションテスト のデモ

① 侵入口の洗い出し&攻撃シナリオ作成

② スキャンによる情報収集

③ エクスプロイトによる再現確認

・IoT特有のポストエクスプロイトの例示

マルウェア解析実践コース

コース名:マルウェア解析実践コース

受講期間:3か月(91日)

標準学習時間:5時間

(内、ビデオ聴講時間2時間26分、理解度確認テストの回答、ビデオ内のデモに基づく受講者による実習、参考資料の学習時間を含む)

コース修了条件:各種クイズの正解率70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

マルウェアの解析について基礎から学びたい方向けのコースで、各種解析の手法についてデモを行いながら実践的にわかりやすく概要を説明します。

2.コースの目的

・マルウェアの種類や概念、機能を理解する。

・表層解析、動的解析、静的解析それぞれの違いについて理解し、解析の際に有用なツールについて理解する。

・近年非常に使用されることの多いオフィスファイルを利用したマルウェアからマクロを抽出し、コードレベルで解析する。そこから本攻撃に移るまでに使用される処理を追い、使用されている攻撃テクニックについて解説する。

3.受講対象者

・インシデントレスポンダー

・セキュリティに興味のある方

4.受講の前提知識

・以下の知識がございますと、コース内容をより早く理解できます。

・Windows、Linuxを触ったことがある

・プログラミングに関する基礎的な知識がある

・Python、vbsなどの簡単なコードが読める

5.注意事項

・Q&Aについて

本コースではマルウェアに関しての知見を一般向けに解説したものになります。講師及び受講者の所属組織の業務や就業環境への関連性の高い質問には回答いたしかねますのでご了承ください。また、各種ソフトのインストールのエラーにつきてましてはお答えできかねる場合がありますのでご了承ください。

・本コースで得た知識を悪用しないでください。

6.講師

村松和哉

業務として攻撃やマルウェアの分析、インシデントレスポンスを主として行う。
最新のEDR製品を駆使して日夜FalsePositiveと戦うホワイトハッカー。
CertifiedEthicalHacker資格保持者。

7.カリキュラム

1.概論、脅威ライフサイクル

2.マルウェアの種類

3.解析手法と代表的なツール

①表層解析:ハッシュ値、拡張子、Packing、Strings、Virustotal,  Detect-It-Easyの解説とデモ

②動的解析:解説とデモ

③静的解析:解説とデモ

4. マクロウィルスの解析デモ