「Blue Team Labs Online」のはじめかた痕跡分析で光る"かっこよさ"

#MVF5FBN-BCT0OMJOF ࠟ੻෼ੳͰޫΔ 林憲明プリンシパルセキュリティアナリスト @v_avenger ͸͡Ί͔ͨ ͷ ૯ؔ੢αΠόʔηΩϡϦςΟ-5େձʢୈճʣ

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 自己紹介林憲明情報処理安全確保⽀援⼠第008235号
⾼知⼯業⾼等専⾨学校実務家教員若年層はϨουνʔϜに強い憧れ ϒϧʔνʔϜにはあまり関⼼を持たない障壁を取り除き「優秀な実務家を安定的に輩出すること」が私のライフワーク現場で必要なのは状況に応じて役割を変化できるヒーロー σΟϑΣϯμʔͷඞཁੑ 実際に手を動かし、痕跡をたどる経験の獲得は困難であり、後押しが求められる

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi あなたの技術を「価値」に変える倫理観 • 社会を守る力として使う技術は困っている⼈を助け、安全を守るためにある •
影響力を自覚する技術の進歩と社会的責任を常に考え、法の範囲内で能⼒を発揮する • 「正義」は免罪符ではないたとえ善意でも、許可無きハッキングは処罰対象となり、社会的信⽤を失う • 建設的な貢献他者と対話し、知識を共有することで、より良い未来を作る第⼀歩になる

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 本日の進行に関する注意 • BTLO「Foxy」はActiveな課題です攻略⽅法の直接的な外部公開はNGです。インターネットへの投稿はご配慮を。 •
会期中の質問はslidoで盛り上げましょう参加者同⼠でワチャワチャ楽しみたいです。 • 会の感想はブログ、Qiita、Xなどへ投稿しましょう写真や画⾯キャプチャなどの投稿も⼤歓迎！参加者の写りこみには配慮をお願いいたします。林憲明はフリー素材

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi タイムスケジュール（目安） 13:00 – 14:30（90分間）：ハンズオン前半 14:30
– 14:45（15分間）：休憩 14:45 – 16:15（90分間）：ハンズオン後半 16:15 – 17:00（45分間）：Q&A 17:00 – ：片付け懇親会

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 本日のゴール設定 • まずは、BTLOへログイン本番環境に影響を与えない。失敗は学びの機会！ •
Activeなインベスティゲーションへの挑戦ポイント獲得を⽬指しましょう。 • ログ解析（chap.2 & 4）の基礎を習得 Linux CUI（grep/awk/find/xargs）のほか、 Gnumeric（表計算ソフト）も使⽤。

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 本番環境を壊さずに、リアルな演習ができる BTLO（無料学習サービス）ブラウザーベースの仮想環境 Amazon
EC2インスタンス防御マインドの獲得出典. P. 224 Chapter 6, 図 6.3 BTLO Nonyx仮想環境のデスクトップ

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 6つのシナリオがあなたをディフェンダーに！ CASE テキ
スト処理コマンドで挑むログから侵⼊の⼿がかりを探る⽅法 CASE 通信の断片 PCAP の謎を解くデジタル・アナトミストたち CASE 侵入の瞬間を追えアクセスログから攻撃の流れを可視化する CASE 暗号解読に光をメモリに投獄されたランサムウ U アへの尋問 CASE 亡霊を暴くメモリの迷宮に潜むマルウ U アとの死闘 CASE 断片から全貌へデ a スクフ c レンジ e クによるアーテ a フ i クト解析の挑戦活躍する⾃分の姿、カッコいい未来像 ֶ श ऀ Λ ࣄ ݅ ͷ ứ ओ ਓ ެ Ừ ͱ ͠ ͯ Ҿ ͖ ࠐ Ή ೉ қ ౓ ͸ &BTZ ͔ Β ͸ ͡ · Γ ࠷ ޙ ͸ .FEJVN

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi Foxy シナリオを確認 1/2 インテリジェンスアナリストとして、あなたはSOCアナリストの調査を⽀
援し、追加の⽂脈や情報を提供する役割を担います。 CSVファイルを開く際は、Gnumeric の使⽤を推奨します。あるいは、 exportsフォルダー内でLinuxのCLI コマンドを利⽤してください。

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi Foxy シナリオを確認 2/2 注意ログ解析とOSINT問題が混在
• 問題はQ1からQ16の出題 • ログ解析はQ1, 2, 6, 11, 12, 13, 14, 15の8問 • OSINT問題はQ3, 4, 5, 7, 8, 9, 10, 16の8問 • 今⽇はログ解析問題の攻略を⽬指しましょう！

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント0. まずはいつもの「メタデータ」を確認 $ cd Desktop/ThreatFox\
Exports/ $ ls $ file full_urls.csv $ head full_urls.csv • 「ThreatFox Exports」フォルダーにはどんなファイルが保管されていますか。 • 保管されているそれぞれのメタデータ（ファイル形式）を確認 • ファイルの先頭（head）・末尾（tail）からログの書式を確認

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント1. Q1は検索パターンを検討する ~/Desktop/ThreatFox Exports$ cat
-n ファイル名| grep 検索パターン • cat ‒nオプションを指定し、⾏番号を表⽰ • grepコマンドで指定したパターンを含む⾏を表⽰ ※ここで検索すべきパターンは3台の内部ホストが接続したURL

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント2（1/2）. Q2はすべてのCSVが調査対象 • 複数のCSVファイルから特定のパターンを含む⾏数を検索するにはどうすればよいか（複数回の実⾏？）
• 得られた結果を加算するにはどうすればよいか（電卓の使⽤？） • grepコマンドのオプションを確認（-c: ⼀致する回数のみ表⽰, -E: 検索に拡張正規表現をしよう, -v: パターンに位置しない⾏を表⽰） • xargs（エックスアーグス）コマンドで標準⼊⼒から読み込んだ⽂字列を、後続コマンドの引数として渡すことができる • ワンライナーでの解答を⽬指そう！ • awkコマンドを使えば計算ができる！（2列⽬をすべて加算したい） ※| awk -F: '{sum += $2} END {print sum}'

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント2（2/2）. Q2はすべてのCSVが調査対象 $ pwd $
find . -type f -name ʻ*.csvʼ -print0 | xargs -0 grep -c 検索パターンコマンドは常に” ThreatFox Exports”フォルダー内で実⾏ $ grep -c 検索パターン *.csv | awk -F: '{sum += $2} END {print sum}'

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント14（1/2）. CUIでの解法を諦めました… =COUNTIF(J:J,"100”) 範囲条件
[confidence_level]列信頼度が”100”と等しいファイル名.csv - Gnumeric

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント14（2/2）. CUI解法を教えてもらいました $ awk -F
ʻ, ʼ ʻ $10 ~ /100/ʼ ファイル名 | wc -l •「カンマ＋半⾓スペース」で1列を区切る、形式の CSV を想定しています。 • 「10列⽬の⽂字列が 100 を含む⾏だけ出⼒する」の表現・$10 は「10番⽬の列」を指定・~ は「正規表現にマッチするか」の演算⼦・/100/ は「⽂字列 100 を含むか」という正規表現

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi chap. 6 & 7の類似問題に挑戦メモリの迷宮に潜むマルウェアとの死闘
BlackEnergy Lab ある多国籍企業がサイバー攻撃を受け、機密データが盗まれてしまった。この攻撃には、これまで⾒たことのない BlackEnergy v2 マルウェアの新しい亜種が使われていた。現在、セキュリティチームは感染したマシンのメモリダンプを⼊⼿しており、攻撃の範囲や影響を調べるために、SOCアナリストとしてのあなたの専⾨知識を求めている。ディスクのアーティファクト解析の挑戦 Hunter Lab ディスクイメージからフォレンジックアーティファクトを分析し、不正なポートスキャンを確認するとともに、違法アプリケーションをインストールしたユーザーの意図を評価せよ。

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi BTL1取得に向けたインベスティゲーション • Challenges, Phishing Analysis
1 & 2 フィッシングキャンペーンについて情報を収集し、分析を⾏う • Splunk Spilled Buckert, Splunk IT, Drilldown • Digital Forensics Sukana / Sticky Situation • Incident Response Attacks / SAM • Wireshark Piggy / Vortex / Winter Stew • PowerShell Deep Blue / Indicators

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ੋඇɺײ૝Λ ͓଴͓ͪͯ͠Γ·͢ʂ ブログ, Qiita, X
ハッシュタグ #seckansai #sosailt #実践サイバーセキュリティ入門＼おつかれさまでした！／

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 情熱をもって取り組めることを実践する出典. P. 343 Chapter
8, 図 8.1 WILL・CAN・MUSTフレームワーク

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 最後にお願い・ITエンジニア本大賞に投票をお願いします！！ ౤ථʹ͸*4#/൪߸͕ඞཁͩɻ ͍͍͔Α͘ฉ͚ʂ ൪߸͸
ͩɻ ࠟ੻͔Βਅ૬Λ๫͘ମݧΛ ޿͘஌ͬͯ΄͍͠ͱײͨ͡ํ͸ ੋඇɺҰථΛ͓ئ͍͍ͨ͠·͢ʂ

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け『実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け』 Amazon 最新ランキング位獲得 1 OS /
Linux / セキュリティー管理 / 暗号理論 4部門 8月 30日（土）販売開始 ¥3,080 税込 376P ／ ISBN 978-4815634254 Kindle版あります。 SBクリエイティブ株式会社

「Blue Team Labs Online」のはじめかた痕跡分析で光る"かっこよさ"

「Blue Team Labs Online」のはじめかた痕跡分析で光る"かっこよさ"

Noriaki Hayashi

More Decks by Noriaki Hayashi

Other Decks in Technology

Featured

Transcript

#MVF5FBN-BCT0OMJOF ࠟ੻෼ੳͰޫΔ 林憲明プリンシパルセキュリティアナリスト @v_avenger ͸͡Ί͔ͨ ͷ ૯ؔ੢αΠόʔηΩϡϦςΟ-5େձʢୈճʣ

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 自己紹介林憲明情報処理安全確保⽀援⼠第008235号

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi あなたの技術を「価値」に変える倫理観 • 社会を守る力として使う技術は困っている⼈を助け、安全を守るためにある •

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ࠓ೔͸ ԿΛ͢Δ

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi タイムスケジュール（目安） 13:00 – 14:30（90分間）：ハンズオン前半 14:30

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 本日のゴール設定 • まずは、BTLOへログイン本番環境に影響を与えない。失敗は学びの機会！ •

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 本番環境を壊さずに、リアルな演習ができる BTLO（無料学習サービス）ブラウザーベースの仮想環境 Amazon

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 6つのシナリオがあなたをディフェンダーに！ CASE テキ

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi Foxy シナリオを確認 1/2 インテリジェンスアナリストとして、あなたはSOCアナリストの調査を⽀

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi Foxy シナリオを確認 2/2 注意ログ解析とOSINT問題が混在

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ハンズオン・スタート

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ໰୊߈ུͷ ώϯτʂ

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント0. まずはいつもの「メタデータ」を確認 $ cd Desktop/ThreatFox\

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント1. Q1は検索パターンを検討する ~/Desktop/ThreatFox Exports$ cat

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント2（2/2）. Q2はすべてのCSVが調査対象 $ pwd $

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント14（1/2）. CUIでの解法を諦めました… =COUNTIF(J:J,"100”) 範囲条件

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ヒント14（2/2）. CUI解法を教えてもらいました $ awk -F

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ࣗ༝՝୊

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi chap. 6 & 7の類似問題に挑戦メモリの迷宮に潜むマルウェアとの死闘

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi BTL1取得に向けたインベスティゲーション • Challenges, Phishing Analysis

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi ੋඇɺײ૝Λ ͓଴͓ͪͯ͠Γ·͢ʂ ブログ, Qiita, X

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 2"

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi γϯϓϧʹ ूத͢Δ

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 情熱をもって取り組めることを実践する出典. P. 343 Chapter

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け ©2025 Noriaki Hayashi 最後にお願い・ITエンジニア本大賞に投票をお願いします！！ ౤ථʹ͸*4#/൪߸͕ඞཁͩɻ ͍͍͔Α͘ฉ͚ʂ ൪߸͸

実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け『実践サイバーセキュリティ入門講座現場に残された痕跡からハッカーの攻撃を暴け』 Amazon 最新ランキング位獲得 1 OS /

「Blue Team Labs Online」のはじめかた 痕跡分析で光る"かっこよさ"

「Blue Team Labs Online」のはじめかた 痕跡分析で光る"かっこよさ"

More Decks by Noriaki Hayashi

Other Decks in Technology

Featured

Transcript

「Blue Team Labs Online」のはじめかた痕跡分析で光る"かっこよさ"

「Blue Team Labs Online」のはじめかた痕跡分析で光る"かっこよさ"