みなさんこんにちは。
株式会社レオンテクノロジーの調査・監視部に所属している宮﨑です。

 

今回、私はキャリアアップの一環として、INE Security社が提供するデジタルフォレンジックの資格「eCDFP（eLearnSecurity Certified Digital Forensics Professional）」を受験しました。そして、無事に1発合格できました。

 

eLearnSecurityの資格に関するブログはいくつか見かけますが、国内でのeCDFPの受験記は見当たりませんでした。そこで、これから受験を考えている方の参考になればと思い、私の学習方法や試験に関する情報を今回もブログにまとめたいと思います。

 

---

eLearnSecurityとは

eLearnSecurityは、海外のIT分野のトレーニングコンテンツを提供しているINEの一部門です。実践に焦点を当てたセキュリティの認定資格を提供しています。

以下はeLearnSecurityが提供する資格の一部です。

• レッドチーム
  • eJPT（Junior Penetration Tester）
  • eCPPT（Certified Professional Penetration Tester）
  • eWPT（Web application Penetration Tester）
  • eWPTX（Web application Penetration Tester eXtreme）
  • eMART（Mobile Application Penetration Tester）
• ブルーチーム
  • eCIR（Certified Incident Responder）
  • eCTHP（Certified Threat Hunting Professional）
  • eCDFP（Certified Digital Forensics Professional）

 

これらの資格は、ハンズオン形式の試験に合格することで取得できます。

eLearnSecurityの資格は、Offsec社と比べるとまだ国内での認知度はまだ高くありませんが、海外では近年有名になりつつあります。

 

---

CDFPとの違い

今回私が取得した資格はeCDFPですが、国内にはCDFPという資格が存在します。

これは特定非営利活動法人デジタル・フォレンジック研究会（IDF）が提供している、デジタル・フォレンジック・プロフェッショナル認定（CDFP: Certified Digital Forensic Profesional）というもので、資格区分は3種類存在します。

1. 基礎資格（CDFP-B）
2. 実務者資格（CDFP-P）
3. 管理者資格（CDFP-M）

 

この資格は東京、京都の会場で試験を受ける必要があり、すべで理論テストのみのようです。

 

なお、弊社は特定非営利活動法人デジタル・フォレンジック研究会（IDF）に加入しており、こちらから加入企業を確認できます。

フォレンジック領域でお困りのことがありましたら、ぜひお気軽にご相談ください。

 

---

なぜeCDFPを選択したのか

国内のCDFPではなく、海外のeCDFPを選択した主な理由は以下のとおりです。

• ハンズオン形式の試験に挑戦したかった
• INE社のトレーニングコンテンツのサブスクリプションを持っている
• eLearnSecurityの他資格にも興味があった

 

■ハンズオン形式の試験に挑戦したかった

ハンズオン形式の場合、実際のスキルや知識を評価されるため試験内容にハンズオン形式の試験が含まれているかを重視しています。

加えて、手を動かしながら問題を解く過程が楽しく、試験や学習が苦にはならないという理由もあります。

そのため、これまでのOSDAやZero2Automated認定も実技を中心とした試験でした。

 

■INE社のトレーニングコンテンツのサブスクリプションを持っている

eLearnSecurityの資格に挑戦する際、公式サイトからVoucherを購入すればすぐに受験できます。

ただし、INE社が提供する学習トレーニングサイトを用いて学習したのちに、受験することも可能です。

この学習トレーニングサイトの詳細については、後ほど詳細に記述します。

 

■eLearnSecurityの他の資格にも興味があった

eCDFPの他にも、ブルーチーム向けの資格として、eCIR（インシデント・レスポンス）やeCTHP（脅威ハンティング）にも興味があり、これらの資格にも近いうち挑戦したいと考えています。

 

---

合格までの学習方法

私がeCDFP合格するまでに取り組んだ方法は以下のとおりです。

• INE社の学習トレーニングコンテンツの利用
• TryHackMeの利用

 

■INE フォレンジックコース

まず、INEの学習コンテンツを利用するにはサブスクリプションに加入する必要があります。

プランは4種類用意されているため、自分が学びたい範囲や期間を考慮して選定できます。

 

プレミアムプランの場合、試験費用を半額にできるクーポンも付いてくるためお勧めです。

また、定期的にSNSで試験費用から$100ドルの割引クーポンを発行しているため、費用を抑えて認定試験に挑むことができます。

 

次に学習コースの紹介です。今回のeCDFPの場合であれば、資格一覧からeCDFPのGet trainingを選択することで、eCDFP向けのフォレンジックコースにアクセスできます。

 

 

INEのデジタルフォレンジック向けのコンテンツは主に4コース用意されています。

1. Digital Forensics: Introduction & Acquisition
2. Digital Forensics: File & Disk Analysis
3. Digital Forensics: System & Network Forensics
4. Digital Forensics: Logs, Timelines & Reporting

 

コースごとに以下を学習できます。※一部紹介

Digital Forensics: Introduction & Acquisition

• デジタル・フォレンジックの基礎
• データの取得方法
• FTKイメージャーを使用した証拠の調査
• 疑わしいUSBの調査

Digital Forensics: File & Disk Analysis

• ファイルヘッダ分析
• EXIFデータ、メタデータ調査
• WinHexを用いたディスク調査
• 不審なPDFやOfficeドキュメントファイルの調査
• MBRおよびGPTの破損したディスクのリカバリー方法
• ファイルシステムの分析
• Autopsyを用いた調査

 

Digital Forensics: System & Network Forensics

• OSレベルでのアーティファクトの分析
• 以下を調査するためのツールの理解と分析
  • .lnk File
  • thumbnail cache
  • JumpList
  • Windows Recycle bin
  • システムおよびアプリケーションのキャッシュファイル
  • Shellbags
  • RegRipperを使用したSAM、SYSTEM、SECURITYなどの調査
•  WireSharkを使用した統計情報やデータ調査
• ネットワークファイルのカービング
• TCPDumpを使用したネットワークトラフィックの取得方法
• Snortの使用方法

Digital Forensics: Logs, Timelines & Reporting

• 基本的なログの分析
• ログファイルの抽出方法
• 調査に役立つさまざまなログ分析ツールの紹介

 

上記の範囲をINEのサイトから以下の方法で学習できます。

• スライド
• 解説動画
• 4択クイズ
• LAB

 

■TryHackMe

1年ほど前ですが、海外のセキュリティ学習サイトTryHackMeを利用していました。 TryHackMeではレッドチーム・ブルーチームどちらのコンテンツも豊富に用意されており、ハンズオン形式で学習できるのが特徴です。 Searchから「forensic」で検索することで、Autopsy、Volatility、WireSharkなどのフォレンジックツールについて学習できます。

また、INEのトレーニングコンテンツで不足している、Linuxのフォレンジックやメモリフォレンジックもこちらで補うことが可能です。

 

 

---

試験について

試験概要については以下のとおりです。

• 試験時間　：24時間
• 問題数　　：30
  • 理論：15
  • 実技：15
• 問題形式　：4択問題
• 合格ライン：23点以上
• 合否結果　：即時
• 試験費用：$400（ただし、半額クーポンを使用したため$200ドル）

 

前半15問は理論問題で、フォレンジックの基礎的な部分から少し踏み入った内容まで幅広く出題されました。

後半15問は実技問題で、VPN経由で接続したマシン内で調査する必要がありました。

そのため、前半の理論15問は必ず正解できておいた方が、実技の問題に余裕を持って取り組むことができます。

 

この試験はレポート提出の必要がなく、30問回答した後に送信ボタンをクリックするとすぐに合否がわかります。

私の結果は30問中25問正解（83.3%）となりました。

試験の難易度は低いわけでは決してありませんでしたが、INE社の学習コンテンツをすべてクリアし理解しておけば問題ないと思います。

 

無事に合格すると、合格に関する内容のメールが届き、そこから合格証を手に入れることができました。

 

---

気を付けること

■試験前

事前にVPNの認証情報を登録しておく

試験を開始してマシンを立ち上げると、VPN設定ファイルがダウンロードできるようになるので、こちらを利用して接続します。

ただし、接続の際にユーザー名とパスワードを入力する必要があるため、事前に登録しておく必要があります。

 

事前にOpenVPNを用意しておく

VPN設定ファイルはopvn形式で提供されるため、OpenVPNが必要です。

Kali linuxの場合だとデフォルトで入っているため不要ですが、WindowsやMacの場合は事前に2系のOpenVPNをダウンロードしておく必要があります。

 

事前にVNCツールを用意しておく

VPNに接続できたら次は調査用マシンへ接続する必要があります。

INEのラボではブラウザからリモートでアクセスできたため、てっきり不要かと思っていましたが別途リモートアクセスツールが必要でした。

認証情報などは試験を開始することで入手できるPDFの中に記載されていました。

 

■試験中

VPN設定ファイルのエラー

提供されたVPN設定ファイルをOpenVPNにインポートして接続すると、以下のようなエラーが表示されます。

 

そのため、opvnファイルを開いて一部修正が必要です。

cipher AES-128-CBCとなっている箇所をdata-ciphers AES-128-CBCに置き換えることで無事に接続できました。

（この調査などに約2時間を使ってしまいました・・・）

修正前

修正後

調査用Linuxマシンの切断

調査にはWindowsとLinuxマシンの2台が利用できます。

Windowsマシンは動作が重いなど感じませんでしたが、Linuxマシンは動作が重くファイルを展開するためにダブルクリックして反応がなかったため、短期間で複数回ダブルクリックをしたら、画面が固まりリモート接続が途切れてしまいました。

 

VNCから再度接続を試みたところ、接続が拒否されてしまいLinuxマシンに再接続できなくなりました・・・

幸いなことに試験機は4回までリセットが可能なため、リセットすることで何とか再接続できました。

 

問い合わせはすぐに解答がもらえない

Offsec社の試験では、監督官が常に監視しているため、チャットでの問い合わせにはすぐに反応があります。しかし、この試験の場合、問い合わせはメールで行う必要があります。

INEのコンタクトページによれば、営業日はEastern Timeで月曜から金曜日の午前8時から午後5時までとなっています。日本との時差は約13〜14時間です（Daylight Saving Timeを考慮）。したがって、休日に試験を受ける場合には土曜日の早い時間に試験を受けることで、Eastern Timeではまだ金曜日の夕方であり、返信がもらえる可能性が考えられます。

 

---

試験を終えて

この試験と学習を通じて、デジタル・フォレンジックに関するスキル向上に繋がったと実感しています。

個人的には、試験や学習範囲にデータカービングやMBRやGPTの復旧の範囲が含まれていましたが、その内容よりもレジストリから証拠を調査するといった実務に活かすことができる技術を学べたので非常に満足しています。

 

---

最後に

まず、弊社に対して、今回も私のスキル向上のためにINE社の学習コンテンツ費用と受験代を全額負担してくださったこと、本当にありがとうございました。

残り2資格受験予定ですので、無事に合格できたらそちらの方も受験記としてブログにまとめます。