本記事は、株式会社ナノオプト・メディア様の提供でお送りします。
この度、日本ハッカー協会を通じて、株式会社ナノオプト・メディア様のサイバーセキュリティトレーニングコースの受講者募集を行うことになりました。
下記のトレーニング内容に興味を持たれた方は、ぜひ各コースの以下のボタンからお申し込みいただければと思います。
当協会から申し込んで頂きますと受講料の一部が、当協会の運営費用、および弁護士費用助成サービスの費用として還元されますので、ぜひ、よろしくお願い申し上げます。
講師 Anthony Webb:Associate Director and Trainer ※当日は通訳が入ります
【経歴】
Antは、90年代初頭、6歳の頃にBBCマイクロでコーディングを始め、10歳の頃にはカスタムPCを作っていました。
それ以来、熱心な “技術オタク ”であり続けており、2015年からは情報セキュリティに特化した仕事をしています。
OSCP (Offensive Security Certified Professional)、CRT (CREST Registered Penetration Tester)、ACSAA / ACDAなどの
専門資格を取得しているほか、数学とコンピュータ・サイエンスでBSc(理学士)を優等で取得しています。
【NSS社における活躍】
AntはNotSoSecureのインフラストラクチャ・セキュリティ・エキスパートの一人で、英国を拠点に活動しています。
「Advanced Infrastructure」「Hacking and Early Hacking」 「Cloud Hacking」「Hacking 101」等のコースコンテンツコントリビューター兼トレーナーです。
また、ネットワーク・インフラやウェブ・アプリケーションの侵入テストを行うチームを管理しており
少人数のクラスルームからBlack Hatのような大規模なグローバル・カンファレンスまで
入門レベルから上級ハッキング・コースまでの多様なサイバー・セキュリティ・トレーニングを提供しています。
【この仕事の好きなところ】
脆弱性を発見して攻撃するスリルは何物にも代えがたいものがあります。
そのスリルを味わうことができるのが、ペネトレーションテストという世界なのです。
サイバーセキュリティというテーマに非常に情熱を持っており、その情熱を共有するトレーニングコースで
生徒がテクノロジーを別の視点から理解するための手助けができることは、とても素晴らしいことです。
【In his own words】
““Being a part of such a supportive and collaborative team, sharing
information and experiences with each other throughout every day, is truly amazing.
There is always something new to learn, a way to better myself and to be challenged.
You should never shy away from a challenge!”
受講に必要なPC環境(共通)
- NotSoSecureが提供するDocker Imageを起動できる、管理者権限があるパソコンをご用意ください。
- 本コースのためのカスタムツール、スクリプト、VPNスクリプトが入ったKali Linux(ova形式)を全受講者に提供します。そのため、RAM:4GB以上、空き容量:20GB以上が必要です。
- このクラスではネットワーク接続を利用します。ネットワークに接続できる環境のご用意をお願いします。
- 講義の一部でAWSアカウントを使用いたしますので、事前のアカウント作成をお願いいたします。
- ※別途サブモニターディスプレイのご用意がございますと、より快適にご受講いただけます。
オンライン開催となります。 *オンライン開催実績あり *講師は海外からの参加となります
- ご自宅や職場など、慣れた環境(場所や機材)でご受講頂けます。
- Microsoft Teamsを用いた、 NotSoSecure社のテクニカルサポートをご用意しております。(日本語でご質問頂けます。)
Cloud Hacking
日程: 2022年3月15日(火)~16日(水) 開催予定
受講時間: 09:00-17:00
会場: オンライン
定員: 30名
受講料:①早期割引価格(2021年12月24日(金)まで)/¥150,000(税抜) ②通常価格/¥250,000(税抜)
コース詳細
2019年に始まったこのコースは、AWS、Azure、G-Cloudをはじめとするあらゆるクラウドサービスの根底にある脆弱性を解き明かします。上記のようなポピュラーなクラウドサービスを例に、従来のネットワークインフラストラクチャのハッキングやセキュリティ対策と比較しつつ、それらとの相違点・共通点について詳しく説明します。
アーキテクト、開発者、ペンテスター、セキュリティ・DevOpsエンジニアなど、クラウド環境の管理者は、クラウドに関連するハッキング技術と貴社のクラウド環境を外敵から守る方法を理解することがとても重要です。
理論だけでなく、クラウドサービスとインフラの不正アクセスに使われているリアルな最新の手口も紹介します。
受講対象
クラウド管理者、開発者、ソリューションアーキテクト、DevOpsエンジニア
SOCアナリスト、ペンテスター、ネットワークエンジニア、セキュリティ専門家
さらにスキルアップしたい方。
ペンテストの経験の有無は問いませんが、クラウドサービスの知識と一般的なコマンドラインの理解ができることを前提にしています。
受講のメリット
・ 受講後30日間はハックラボにいつでもアクセス可能。
このコースで学んだ内容を復習する最適な環境です。
・ Docker Image / 資料が提供されます。
・ ロゴ付き修了証明書の授与
PROGRAM ※同時通訳付きコース
INTRODUCTION TO CLOUD COMPUTING
• クラウドの紹介とクラウドのセキュリティが重要な理由
• 従来のセキュリティモデルとの比較
• 責任共有モデル
• クラウドペンテスティングにまつわる法的事項
ENUMERATION OF CLOUD ENVIRONMENTS
• DNSベースのエニュメレーション
• クラウドベースのアセットに対するOSINT技術
GAINING ENTRY IN CLOUD ENVIRONMENT
• サーバーレスベースの攻撃
(AWS Lambda / Azure & Google functions)
• ウェブアプリケーションへの攻撃
• 露出したサービスポート
ATTACKING SPECIFIC CLOUD SERVICES
• ストレージへの攻撃
• Azure ADへの攻撃
• コンテナとKubernetesへのクラスター
• IAMの設定ミスを狙った攻撃
• ロールとパーミッションベースの攻撃
• Cognitoの設定ミスへの攻撃
POST - EXPLOITATION
• Persistence in Cloud
• ポストエクスプロイトの列挙
• スナップショットへのアクセス
• アカウントのバックドア化
AUDITING AND BENCHMARKING OF CLOUD
• 監査の準備
• ツールによる自動監査
• Golden Image/Docker Imageの監査
• Relevant Benchmarks for cloud
DEFENSE: IDENTIFICATION OF CLOUD ASSETS
• AWS、Azure、GCPのインベントリ抽出
• 継続的なインベントリ管理
DEFENSE: PROTECTION OF CLOUD ASSETS
• 最小特権の原則
• コントロールプレーンとデータプレーンの保護
• ファイナンシャル面での保護
• メタデータAPIの保護
• クラウド特有の保護機能
• Windows / Linux IaaSの監査
DEFENSE: DETECTION OF SECURITY ISSUES
• 環境のモニタリングとロギングの設定
• ログからの攻撃パターンの特定
• マルチクラウド環境での監視
DEFENSE: RESPONSE TO ATTACKS
• 自動化された防御技術
• Cloud Defense Utilities
• セットアップの検証
受講に必要なPC環境 / 当日の持ち物
【当日の持ち物】
・NotSoSecureが提供するDocker Imageを起動できる、管理者権限があるノートパソコンを持参してください。 ※PCのご用意が難しい場合はご相談ください。有料で貸し出し致します。本コースのためのカスタムツール、スクリプト、VPNスクリプトが入ったKali Linux(ova形式)を全受講者に提供します。そのため、RAM:4GB以上、空き容量:20GB以上が必要です。
・このクラスではネットワーク接続を利用します。ネットワークに接続できるご用意をお願いします。(無線LAN接続になります)
過去開催時受講者の声
・非常に内容の良いトレーニングでした。ハンズオンの箇所は非常にレベルの高いものでしたが講義内容は技術者でなくとも理解できるもので良かったと思います。
・クラウドのハッキングについて、幅広く学ぶことができた。EnumからPost、監査まで業務に応用できる内容がほとんどだったため、大変満足している。
・クラウドの攻撃手法について学ぶことが必要だったが、体系的に学べるところがあまりなかったため、このような形で学ぶことができて非常に良かった。
・AWS, GCP, Azureと押さえてあって、防御や監査等どういう点に気を付ければいいかまで範囲に入っていて、とてもいい内容だと思いました。
・最新の脆弱性の紹介があってよかった。また、ラボ環境が1か月先まで使えてとても嬉しかった。
・資料がシンプルにまとまっていて読みやすく、詳細を補完する参考リンクも多く、概要と流れをつかみ、必要に応じて参考リンクを見に行くことができた。
・資料やサポートがしっかりしていたのでリモートでも全く問題ありませんでした。ありがとうございました。
・個別の質問も素早く回答いただけたので、大変助かりました。またほかの方がした質問で全体向けになるものは講義中に共有してもらえたので参考になりました。
セキュリティ専門家による受講レポート
Cloud Hackingコースではセッション層以上でのハッキング技術を主に学習します。
HTTP(S)やアプリケーションレベルの脆弱性を主に取り扱います。
Heartbleedのような有名かつ重大な脆弱性を利用する演習もあり、かなり実用的です。
実際にAWSやAzure、GCPなどにアクセスしますので
これらのアカウントを持っていて開発やサーバー構築などの経験があったほうが演習はスムースにこなせると思います。
HTTP(S)や公開鍵暗号システム、認証局基盤、クラウドによるアプリ開発、運用、
サーバーインフラの設定・管理の知識も最低限あった方が良いでしょう。
こちらで対象とするクラウドサービスはAWS、Azure、GCPの3種類となります。
2日間の日程で、トレーニング環境に構築されたWebサイトに攻撃をしかけ
情報を入手して、標的サイトとそのサイトが利用しているクラウドプラットフォームに侵入する方法を体験学習していきます。
ポートスキャン、GitHub、DNSのレコードなど、侵入の手がかりとなる情報を集め、
辞書攻撃ツールなどで最初のアカウントハッキングを行い、サーバーインスタンスへのアクセス、ストレージへのアクセス、
Active Directoryのハッキング、バックドアの設置、外部サーバーとの通信といった手法を演習していきます。
各演習では、標的への侵入や権限奪取の手順を資料に従いながらトレースしていきます。
ここで演習クリアとしてもいいのですが、演習環境はCTF(Capture the Flag)競技ができるようになっています。
演習ごとに標的サーバーやシステムにフラッグが仕掛けられており、余力のある受講生はこれを探すこともできます。
チャレンジしたい受講生はCTFのポイントを重ねることも面白いと思います。
トレーニングは速いテンポで進んでいきます。
海外カリキュラムであるため、日本のトレーニングや研修をイメージすると進行ペースに多少戸惑うかもしれません。
演習や質問などは積極的に行い、自ら演習や知識を広げていく意識は重要です。
指示待ちで言われたことをこなすだけのセミナー・トレーニングを期待するなら、本コースは向かないでしょう。
その分、非常に実践的で集中して取り組めば得られる知識とスキルは大きいものとなります。
英文ですが、講義資料は講義後も役立つ情報が記載されています。
攻撃手順の確認、侵入の痕跡確認など、実際のインシデント対応でも役立つはずです。
知識やスキルが十分でない(自分にとってハイレベルな演習)と思ったら、演習を無理にトレースするより
講師の説明、テキストの読解、講師のデモを観察して攻撃者の使うツールや攻撃方法をしっかり把握することに集中します。
ラボ環境は講義終了後もしばらく使えるので、演習はあとで資料をみながら復習可能でしょう。
レベルは相応だったとしても、与えられた演習時間に例題・課題をこなせなくても焦らないことです。
一部演習は、前の演習が終わっていないと確認できないものもありますが、オンタイムでの課題消化にこだわる必要はなく
演習は講義終了後に行うことも可能なので、講義とは別に演習を自分のペースでひとつづクリアしていくのも良いでしょう。
講師の知識やスキルを学ぶ、演習をとにかくクリアしていく、演習課題を超えてラボ環境のハッキング
内部探索を行う(自分のペネトレーション能力を試す)、などと
自分のレベルに応じた目標を設定してトレーニングに望めば、モチベーションの維持にもつながります。
目的意識があれば、得られるものが多いトレーニングといえます。
Penetration testing for Basic Infrastructure
日程: 2021年3月15日(月) - 2021年3月16日(火)
受講時間: 09:00-17:00
会場: オンライン
定員: 30名
受講料:¥275,000(税抜)→¥215,000(税抜)
オンラインでの受講となります。
※トレーニングにてメインで使うコミュニケーションツールはZOOMとなりますが、別途トレーニング中の技術的なサポートについてはMicosoft Teamsを用いる予定です。
練習で「使える」だけではなく、理解を深めリアルな脅威に「備える」ための人材を育てる。
Penetration testing for Basic Infrastructureはインフラセキュリティの入門レベルのコースです。
ネットワークハッキングの基礎をしっかり固めることができるため、アドバンスコース受講をご検討いただいている方も受講前にぜひ受講していただきたい内容となっています。すでにエシカルハッキングやペネトレーションテストの知識があり、さらに上を目指している方には最適のクラスです。
ハッキングを始めるにあたって、豊富なハッキングツールや技術がどれだけ重要になってくるのか、ハッキングの様々な段階で登場する多くのツールやテクニックについて1つ1つ解説しながら理解を深めます。
インフラハッキングに関する様々なコンポーネントをハッキングするツールや技術を「使える」だけではなく、これらのツールがどのように機能するかについての概念をしっかり理解し、リアルな世界での脅威に「備える」ための人材を育成します。
受講対象
・システム管理者
・SOCアナリスト
・初級~中級くらいのペネトレーションテスター
・ネットワークエンジニア
・セキュリティスペシャリスト
など、さらにスキルアップしたい方
受講のメリット
・ 受講後30日間はハックラボにいつでもアクセス可能。
このコースで学んだ内容を復習する最適な環境です。
・ コース受講中に、たくさんのスクリプトやツール、手引きが提供されます。
・ ロゴ付き修了証明書の授与
PROGRAM ※通訳付きコース
Day1
• Module 1: ポートスキャニングの技術
• Module 2: オンラインパスワード攻撃の技術
• Module 3: データベースをハッキングする技術
• Module 4: Metasploit基礎
• Module 5: パスワードクラッキング
• Module 6: Unixのハッキング
Day2
• Module 7: Unix上でのアプリケーションサーバーのハッキング
• Module 8: サードパーティーのCMS Softwareのハッキング
• Module 9: Windows Enumeration
• Module 10: クライアント側の攻撃
• Module 11: Windows上でのアプリケーションサーバーのハッキング
• Module 12: ポストエクスプロイテーション
• Module 13: Windowsドメインのハッキング
Advanced Infrastructure Hacking PART Ⅰ
日程: 2021年10月18日(月)~19日(火)
受講時間: 09:00-17:00
会場: オンライン
定員: 30名
受講料:①早期割引価格(9/30木まで)/¥205,000 ②通常価格/¥250,000 ③AIHPart2と同時申込みの場合/¥340,000
オンラインでの受講となります。
※トレーニングにてメインで使うコミュニケーションツールはZOOMとなりますが、別途トレーニング中の技術的なサポートについてはMicosoft Teamsを用いる予定です。
最新の手口から変わり種まで多種多様のハッキングテクニックを紹介。インフラハッキングの最高峰。
Advanced Infrastructure Hacking はインフラハッキングの知識をより深めたい方向けのクラスです。
ペネトレーションテストやレッドチーム演習のためだけでなく、脆弱性管理について理解を深めるためにも、高度なハッキングテクニックを理解することが不可欠です。
ドメインコントローラーのハッキングからローカルルート、VLANホッピング、VoIPハッキング、クラウドアカウントキーの侵害まで全てカバーしているこのクラスを受講することで、 最新のオペレーティングシステム、ネットワークデバイス、クラウド環境を危殆化させる、多種多様で高度なペネトレーションテストのテクニックを習得できます。
≪Advanced Infrastructure Hacking受講で習得できること≫
・組織のネットワークデバイスやオンライン・プレゼンスまたは人々の弱点を挙げ、調べ、狙いを定め、エクスプロイトできる。
・【Webサービス、データベース、Windows、Active Directory、* nix、コンテナベースのVPN、VLAN、VoIP、クラウド環境】でアクセスを取得し、バイパスの制限・権限昇格・データ流出を実行し、長期持続させるための複雑な脆弱性と連鎖しているエクスプロイトプロセスを理解できる。
・侵入済みのデバイスを使用して、他のプライベートネットワークにピボットしたり、ホワイトリストで保護されたり、ループバックインターフェイスからのみアクセスできるサービスにアクセスすることができる。
受講対象
・システム管理者、SOCアナリスト、ペネトレーションテスター、
・ネットワークエンジニア、セキュリティ専門家、スキルアップしたい方。
【歓迎】
・ペンテスト経験者、LinuxとWindowsの両方のコマンドライン構文の知識に精通している方、Nmap、NetCat、Metasploitなど、ハッカーに一般的に使用されているツールの使用経験者、CREST CCT(ICE)、CHECK(CTL)、TIGER SSTなどの業界認定資格保有者
受講のメリット
・受講後30日間、ハックラボへアクセス可能
このコースで学んだ内容を復習する最適な環境です。
・コース受講中にたくさんのスクリプトやツール、手引きが提供されます。
・ロゴ付き修了証明書の授与
PROGRAM ※通訳付きコース
IPV4/IPV6 SCANNING, OSINT
• Advanced topics in network scanning
• Understanding & exploiting IPv6 Targets
• Advanced OSINT Data gathering
WEB TECHNOLOGIES
• Exploiting DVCS (git)
• Owning Continuous Integration (CI) servers
• Deserialization Attacks
(Java, Python, Node, PHP)
• Dishonerable Mentions
(SSL/TLS, Shellshock)
HACKING DATABASE SERVERS
• Mysql
• Postgres
• Oracle
• MongoDB
WINDOWS EXPLOITATION
• Windows Enumeration and Configuration Issues
• Windows Desktop ‘Breakout’ and AppLocker Bypass Techniques (Win 10)
• Local Privilege Escalation
• A/V & AMSI Bypass techniques
• Offensive PowerShell Tools and Techniques
• GPO based exploit
• Constrained and Unconstrained delegation attack
• Post Exploitation Tips, Tools and Methodology
AD EXPLOITATION
• Active Directory Delegation Reviews and Pwnage (Win 2012 server)
• Pass the Hash/Ticket Pivoting and WinRM Certificates
• Pivoting, Port Forwarding and Lateral Movement Techniques
• Persistence and backdooring techniques(Golden Ticket, DCSync, LOLBAS)
Advanced Infrastructure Hacking PART Ⅱ
日程: 2021年10月21日(木)~22日(金)
受講時間: 09:00-17:00
会場: オンライン
定員: 30名
受講料:①早期割引価格(9/30木まで)/¥205,000 ②通常価格/¥250,000 ③AIHPart1と同時申込みの場合/¥340,000
オンラインでの受講となります。
※トレーニングにてメインで使うコミュニケーションツールはZOOMとなりますが、別途トレーニング中の技術的なサポートについてはMicosoft Teamsを用いる予定です。
最新の手口から変わり種まで多種多様のハッキングテクニックを紹介。インフラハッキングの最高峰。
Advanced Infrastructure Hacking PartⅡは、 Advanced Infrastructure Hacking PartⅠの続きのコースとなり、ハイレベルなコースです。
ペネトレーションテストやレッドチーム演習のためだけでなく、脆弱性管理について理解を深めるためにも、高度なハッキングテクニックを理解することが不可欠です。
ドメインコントローラーのハッキングからローカルルート、VLANホッピング、VoIPハッキング、クラウドアカウントキーの侵害まで全てカバーしているこのクラスを受講することで、 最新のオペレーティングシステム、ネットワークデバイス、クラウド環境を危殆化させる、多種多様で高度なペネトレーションテストのテクニックを習得できます。
≪Advanced Infrastructure Hacking受講で習得できること≫
・組織のネットワークデバイスやオンライン・プレゼンスまたは人々の弱点を挙げ、調べ、狙いを定め、エクスプロイトできる。
・【Webサービス、データベース、Windows、Active Directory、* nix、コンテナベースのVPN、VLAN、VoIP、クラウド環境】でアクセスを取得し、バイパスの制限・権限昇格・データ流出を実行し、長期持続させるための複雑な脆弱性と連鎖しているエクスプロイトプロセスを理解できる。
・侵入済みのデバイスを使用して、他のプライベートネットワークにピボットしたり、ホワイトリストで保護されたり、ループバックインターフェイスからのみアクセスできるサービスにアクセスすることができる。
受講対象
・システム管理者、SOCアナリスト、ペネトレーションテスター、ネットワークエンジニア、セキュリティ専門家、スキルアップしたい方。
【歓迎】
・ペンテスト経験者、LinuxとWindowsの両方のコマンドライン構文の知識に精通している方、Nmap、NetCat、Metasploitなど、ハッカーに一般的に使用されているツールの使用経験者、CREST CCT(ICE)、CHECK(CTL)、TIGER SSTなどの業界認定資格保有者
受講のメリット
・受講後30日間、ハックラボへアクセス可能
このコースで学んだ内容を復習する最適な環境です。
・コース受講中にたくさんのスクリプトやツール、手引きが提供されます。
・ロゴ付き修了証明書の授与
PROGRAM ※通訳付きコース
LINUX EXPLOITATION
• Linux Vulnerabilities and Configuration Issues
• Treasure hunting via enumeration
• File Share/SSH Hacks
• X11 Vulnerabilities
• Restricted Shells Breakouts
• Breaking Hardened Web Servers
• Local Privilege Escalation
• MongoDB exploitation
• TTY hacks, Pivoting
• Gaining root via misconfigurations
• Kernel Exploitation
• Post Exploitation and credentials harvesting
CONTAINER BREAKOUT
• Breaking and Abusing Docker
• Kubernetes Vulnerabilities
VPN EXPLOITATION
• Exploiting Insecure VPN Configuration
VOIP ATTACK
• VOIP Enumeration
• VOIP Exploitation
VLAN ATTACKS
• VLAN Concepts
• VLAN Hopping Attacks
CLOUD HACKING
• AWS/Azure/GCP specific attacks
• Storage Misconfigurations
• Credentials, API’s and token Abuse
• IaaS, PaaS, SaaS,CaaS and Serverless exploitation
• Azure AD attack