「Blue Team Labs Online」のはじめかた 痕跡分析で光る"かっこよさ"

Blue Team Labs Online の はじめかた 痕跡分析で光る 2025.11.23 総関西サイバーセキュリティLT大会（第52回） プリンシパルセキュリティアナリスト 林 憲明 @v_avenger

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 自己紹介 ディフェンダーの必要性 若年層はレッドチームに強い憧れ ブルーチームにはあまり関⼼を持たない 現場で必要なのは状況に応じて 役割を変化できるヒーロー 林 憲明 情報処理安全確保⽀援⼠ 第008235号 ⾼知⼯業⾼等専⾨学校 実務家教員 ©2025 Noriaki Hayashi 実際に手を動かし、痕跡をたどる経験の 獲得は困難であり、後押しが求められる 障壁を取り除き「優秀な実務家を安定的 に輩出すること」が私のライフワーク

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け あなたの技術を「価値」に変える倫理観 • 社会を守る力として使う • 影響力を自覚する • 「正義」は免罪符ではない • 建設的な貢献 技術は困っている⼈を助け、安全を守るためにある 技術の進歩と社会的責任を常に考え、法の範囲内で能⼒を発揮する たとえ善意でも、許可無きハッキングは処罰対象となり、社会的信⽤を失う 他者と対話し、知識を共有することで、より良い未来を作る第⼀歩になる ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 本日の進行に関する注意 • BTLO「Foxy」はActiveな課題です • 会期中の質問はslidoで盛り上げましょう • 会の感想はブログ、Qiita、Xなどへ投稿しましょう 攻略⽅法の直接的な外部公開はNGです。インターネットへの投稿はご配慮を。 参加者同⼠でワチャワチャ楽しみたいです。 写真や画⾯キャプチャなどの投稿も⼤歓迎！参加者の写りこみには配慮をお願 いいたします。林憲明はフリー素材 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 今日は 何をする ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け タイムスケジュール（目安） 13:00 – 14:30（90分間）：ハンズオン前半 14:30 – 14:45（15分間）：休憩 14:45 – 16:15（90分間）：ハンズオン後半 16:15 – 17:00（45分間）：Q&A 17:00 – ：片付け 懇親会 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 本日のゴール設定 • まずは、BTLOへログイン • Activeなインベスティゲーションへの挑戦 • ログ解析（chap.2 & 4）の基礎を習得 本番環境に影響を与えない。失敗は学びの機会！ ポイント獲得を⽬指しましょう。 Linux CUI（grep/awk/find/xargs）のほか、 Gnumeric（表計算ソフト）も使⽤。 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 本番環境を壊さずに、リアルな演習ができる BTLO（無料学習サービス） 出典. P. 224 Chapter 6, 図 6.3 BTLO Nonyx仮想環境のデスクトップ ブラウザーベースの 仮想環境 Amazon EC2インスタンス 防御 ©2025 Noriaki Hayashi マインドの獲得

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 6つのシナリオがあなたをディフェンダーに！ CASE 2 CASE 3 CASE 4 CASE 5 CASE 6 テ ⽅ロ キ 法グ ス か ト ら 処 侵 ⼊ 理 の コ ⼿ マ が ン か ド り で を 挑 探 む る 通ア ナ 信ト の のミ ス謎 断 トを 解 片た ちく ア 侵可 視ク 入 化セ ス のす るロ 瞬 グ 間 か ら を 攻 追 撃 の え 流 メ 暗ウ Uモ 号 アリ に 解へ の投 読 尋獄 に 問さ れ 光 た を ラ ン メ 亡と のモ 霊 死リ を 闘の 迷 暴 宮 く に 潜 デ 断ア ーa 片 テス ク かa フフ ら ic レ 全ク トン 貌 解ジ e へ析 のク デ ジ タ ル ・ れ を サ ム む マ ル ウ U ア 挑に 戦よ る 活躍する⾃分の姿、カッコいい未来像 ©2025 Noriaki Hayashi 最難 後易 は度 は Easy Medium CASE 1 PCAP ﹃学 主習 人者 公を ﹄事 と件 しの て 引 き 込 む か ら は じ ま り

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け Foxy シナリオを確認 1/2 インテリジェンスアナリストとして、 あなたはSOCアナリストの調査を⽀ 援し、追加の⽂脈や情報を提供する 役割を担います。 CSVファイルを開く際は、Gnumeric の使⽤を推奨します。あるいは、 exportsフォルダー内でLinuxのCLI コマンドを利⽤してください。 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け Foxy シナリオを確認 2/2 注意 ログ解析とOSINT問題が混在 • 問題はQ1からQ16の出題 • ログ解析はQ1, 2, 6, 11, 12, 13, 14, 15の8問 • OSINT問題はQ3, 4, 5, 7, 8, 9, 10, 16の8問 • 今⽇はログ解析問題の攻略を⽬指 しましょう！ ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け ハンズオン・スタート ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 問題攻略の ヒント！ ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け ヒント0. まずはいつもの「メタデータ」を確認 $ cd Desktop/ThreatFox\ Exports/ $ ls $ file full_urls.csv $ head full_urls.csv • 「ThreatFox Exports」フォルダーにはどんなファイルが保管されて いますか。 • 保管されているそれぞれのメタデータ（ファイル形式）を確認 • ファイルの先頭（head）・末尾（tail）からログの書式を確認 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け ヒント1. Q1は検索パターンを検討する ~/Desktop/ThreatFox Exports$ cat -n ファイル名| grep 検索パターン • cat ‒nオプションを指定し、⾏番号を表⽰ • grepコマンドで指定したパターンを含む⾏を表⽰ ※ここで検索すべきパターンは3台の内部ホストが接続したURL ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け

ヒント2（1/2）. Q2はすべてのCSVが調査対象
• 複数のCSVファイルから特定のパターンを含む⾏数を検索するには
どうすればよいか（複数回の実⾏？）
• 得られた結果を加算するにはどうすればよいか（電卓の使⽤？）
• grepコマンドのオプションを確認（-c: ⼀致する回数のみ表⽰,
-E: 検索に拡張正規表現をしよう, -v: パターンに位置しない⾏を表⽰）
• xargs（エックス アーグス）コマンドで標準⼊⼒から読み込んだ⽂
字列を、後続コマンドの引数として渡すことができる
• ワンライナーでの解答を⽬指そう！
• awkコマンドを使えば計算ができる！（2列⽬をすべて加算したい）
※| awk -F: '{sum += $2} END {print sum}'

©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け ヒント2（2/2）. Q2はすべてのCSVが調査対象 コマンドは常に” ThreatFox Exports”フォルダー内で実⾏ $ pwd $ find . -type f -name ʻ*.csvʼ -print0 | xargs -0 grep -c 検索パターン $ grep -c 検索パターン *.csv | awk -F: '{sum += $2} END {print sum}' ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け ヒント14（1/2）. CUIでの解法を諦めました… ファイル名.csv - Gnumeric =COUNTIF(J:J,"100”) 範囲 [confidence_level]列 ©2025 Noriaki Hayashi 条件 信頼度が”100”と等しい

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け ヒント14（2/2）. CUI解法を教えてもらいました $ awk -F ʻ, ʼ ʻ $10 ~ /100/ʼ ファイル名 | wc -l ●「カンマ＋半⾓スペース」で1列を区切る、形式の CSV を 想定しています。 ● 「10列⽬の⽂字列が 100 を含む⾏だけ出⼒する」の表現 ・$10 は「10番⽬の列」を指定 ・~ は「正規表現にマッチするか」の演算⼦ ・/100/ は「⽂字列 100 を含むか」という正規表現 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 自由課題 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け chap. 6 & 7の類似問題に挑戦 メモリの迷宮に潜むマルウェアとの死闘 ディスクのアーティファクト解析の挑戦 BlackEnergy Lab Hunter Lab ある多国籍企業がサイバー攻撃を受け、機密 データが盗まれてしまった。この攻撃には、 これまで⾒たことのない BlackEnergy v2 マ ルウェアの新しい亜種が使われていた。現在、 セキュリティチームは感染したマシンのメモ リダンプを⼊⼿しており、攻撃の範囲や影響 を調べるために、SOCアナリストとしての あなたの専⾨知識を求めている。 ディスクイメージからフォレンジック アーティファクトを分析し、不正な ポートスキャンを確認するとともに、 違法アプリケーションをインストール したユーザーの意図を評価せよ。 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け BTL1取得に向けたインベスティゲーション • Challenges, Phishing Analysis 1 & 2 • Splunk • Digital Forensics • フィッシングキャンペーンについて情報を収集し、分析を⾏う Spilled Buckert, Splunk IT, Drilldown Sukana / Sticky Situation Incident Response ©2025 Noriaki Hayashi Attacks / SAM • Wireshark • PowerShell Piggy / Vortex / Winter Stew Deep Blue / Indicators

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け ＼おつかれさまでした！／ 是非、感想を お待ちしております！ ブログ, Qiita, X ハッシュタグ #seckansai #sosailt #実践 サイバーセキュリティ入門 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け Q&A ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け シンプルに 集中する ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 情熱をもって取り組めることを実践する 出典. P. 343 Chapter 8, 図 8.1 WILL・CAN・MUSTフレームワーク ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 最後にお願い ・ITエンジニア本大賞に投票をお願いします！！ 痕跡から真相を暴く体験を 広く知ってほしいと感じた方は 是非、一票をお願いいたします！ 投票にはISBN番号が必要だ。 いいかよく聞け！ 番号は 4815634254 だ。 ©2025 Noriaki Hayashi

実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け 『実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け』 Amazon 最新ランキング 1 位獲得 OS / Linux / セキュリティー管理 / 暗号理論 4部門 8月30日（土）販売開始 ¥3,080 税込 376P ／ ISBN 978-4815634254 Kindle版あります。 SBクリエイティブ株式会社