メモリフォレンジックの基礎
システム稼働中にのみ存在する証拠を分析することで、メモリフォレンジックの基礎を学びます。アクティブなプロセス、ライブネットワーク接続、プレーンテキストの機密情報、メモリ上のマルウェアアーティファクトなど、インシデントレスポンスにおいて極めて重要なデータの多くは、ディスク上に有用な形で残ることはありません。本コースでは、メモリのキャプチャ方法、迅速なトリアージの実行方法、そして Volatility を使用して揮発性証拠を体系的に調査する方法を習得します。
なぜ重要なのか
メモリフォレンジックは、アクティブな侵害状況を把握するための最も迅速な手段となることがよくあります。ディスク上のアーティファクトは「何が残されたか」を示しますが、RAM は「今まさに何が起きているのか」、あるいは「キャプチャの直前に何が起きたのか」を明らかにします。そのため、メモリ分析はインシデントレスポンスやマルウェアトリアージにおいて特に重要となります。
本コースでは、揮発性証拠の実践的な取り扱いに焦点を当てます。メモリイメージをキャプチャし、明白なインジケーターを迅速に検索した後、Volatility を使用して詳細な分析を裏付けるプロセス情報やネットワーク情報を抽出します。
学習内容
- 揮発性証拠を保持したまま、稼働中のシステムからメモリをキャプチャする。
- シンプルなコマンドラインツールを使用して、生のメモリに対して迅速なトリアージを行う。
- Volatility を使用して、プロセス、接続、隠れたアクティビティを調査する。
- RAM 上にのみ出現する可能性が高い証拠の種類を理解する。
- より明確なメモリ分析ワークフローを用いて、ライブインシデントを調査する。
コースロードマップ
- メモリ抽出 (Memory Extraction): 稼働中のシステムからメモリイメージをキャプチャする。
- Strings を使用したメモリ分析: 高速なトリアージ手法を用いて、生のメモリから明白なインジケーターを抽出する。
- Volatility 入門: Volatility プラグインを適用し、プロセスやネットワークの証拠を調査する。
- ライブトリアージ・チャレンジ: アクティブなインシデント発生時にメモリをキャプチャ・分析し、隠れた悪意のあるアクティビティを特定する。
対象読者
- ディスクフォレンジックからライブインシデントトリアージへスキルを広げたい学習者。
- メモリ分析ワークフローの導入が必要なインシデントレスポンダー。
- マルウェア、隠れたプロセス、または揮発性のネットワークアクティビティを調査するセキュリティアナリスト。
学習目標
本コースを修了すると、揮発性メモリの証拠をキャプチャおよび調査し、意味のあるプロセスやネットワークのインジケーターを抽出し、メモリ分析を活用してインシデントレスポンス調査を強化できるようになります。
