GREM認定プログラムで学べる内容：解説

GIAC GREM認定プログラムは、リバースマルウェア分析における新たなスキルを習得し、専門知識を証明するための優れた方法です。

GREM認定試験に合格するには、計画、検知、緩和、分析、対応を含むインシデント対応に関する深い理解が鍵となります。GIAC GREM認定は、業界で最も認知度が高く、広く認められている認定資格の一つであり、マルウェアソフトウェアに関する理解を深め、キャリアアップを図るのに役立ちます。

このブログ記事では、GIAC GREM認定トレーニングプログラムでどのようなスキルを習得できるかについて説明します。

GIAC GREM認定試験とは？

GIAC Reverse Engineering Malware (GREM)認定は、リバースエンジニアリングの原則と手法に関する個人のスキルと知識を認定する、業界で認められた認定資格です。GIAC GREM認定プログラムは、組織を悪意のあるコードから保護する技術者（情報技術エンジニア）向けに設計されています。

GIAC GREM認定プロフェッショナルは、Microsoft WindowsやWebブラウザなどの一般的なプラットフォームを標的とする悪意のあるソフトウェアのリバースエンジニアリングに精通しています。フォレンジック調査、インシデント対応、Windowsシステム管理のエキスパートです。GREM認定を取得することで、最先端のマルウェア分析スキルを雇用主や顧客にアピールできます。

GIAC GREM認定を取得するには、以下の分野のスキルと知識をテストする試験に合格する必要があります。

• 悪意のあるドキュメントファイルの分析、保護された実行ファイルの分析、Webベースのマルウェアの分析。
• 悪意のあるブラウザスクリプトの詳細な分析、および悪意のある実行ファイルの詳細な分析。
• メモリフォレンジックとマルウェアコードおよび挙動分析の基礎を用いたマルウェア分析。
• リバースエンジニアリングのためのWindowsアセンブリコードの概念と、アセンブリにおける一般的なWindowsマルウェアの特徴。

GIAC GREM試験は、66～75問の多肢選択式問題からなる2～3時間のオンライン試験です。 GREM認定試験に合格するには、73%以上の合格点を取得する必要があります。

学習内容

GIAC GREM認定は、マルウェアを徹底的に分析する方法に関する知識を提供します。GIAC GREM認定コースでは、マルウェア分析ツールと手法を詳細に学習します。GIAC Reverse Engineering Malware (FOR610)トレーニングプログラムは、フォレンジック調査員、インシデント対応者、セキュリティエンジニア、脅威アナリストが、悪意のあるプログラムを分析するための実践的なスキルを習得するのに役立っています。

脅威インテリジェンスを導き出し、サイバーセキュリティインシデントに対応し、企業の防御を強化するには、マルウェアの機能を理解する必要があります。GREM認定コースでは、さまざまなネットワーク監視ユーティリティ、アセンブラ、デバッガ、その他の無料ツールを使用して、悪意のあるソフトウェアをリバースエンジニアリングする準備を整えます。

このコースでは、マルウェア分析の基本を探求し、自動分析結果にとどまらない高度な分析が可能になります。このコースでは、柔軟なラボ環境を使用して、悪意のあるソフトウェアの内部動作や実際のマルウェアサンプルをラボで調査する方法を学習します。さらに、ラボでネットワークトラフィックを解読・傍受し、さらなる洞察を得る方法を習得します。デバッガーを用いた動的コード分析手法の習得に加え、ソースコードの分析方法も習得します。

次の課題は、主流攻撃や標的型攻撃でよく使用される、悪意のあるMicrosoft Office、RTF、PDFドキュメントファイルの分析です。GIAC GREM認定プログラムでは、これらのドキュメントに含まれるマクロなどの潜在的な脅威についても学習します。また、悪意のあるコードを含むJavaScriptおよびPowerShellスクリプトの難読化解除方法も学習します。

GIAC GREM (FOR610)認定トレーニングプログラムでは、以下の方法を習得します。

• 悪意のあるコードと動作を分析するために、隔離され管理されたラボ環境を構築する。
• ネットワークおよびシステム監視ツールを使用して、Windows環境においてマルウェアがファイルシステム、レジストリ、ネットワーク、その他のプロセスとどのように相互作用するかを監視する。
• エクスプロイトキットがドライブバイウェブサイト攻撃の実行によく使用する、悪意のあるJavaScriptやその他のWebコンポーネントを調査・分析する。
• ネットワークトラフィックの傍受とコードパッチ適用を活用し、マルウェアの挙動を効果的に分析する。
• 逆アセンブラとデバッガを用いて、悪意のあるWindows実行ファイルの内部動作を調査する。
• マルウェア作成者がアナリストを混乱させたり、誤誘導したり、あるいは遅延させるために設計した様々なパッカーやその他の防御メカニズムを回避する。
• コードインジェクション、APIフック、分析対策など、悪意のあるコードに共通するアセンブリレベルのパターンを理解し、認識する。
• 悪意のあるPDFおよびMicrosoft Officeドキュメントに関連する脅威を評価する。
• 悪意のある実行ファイルを用いて、インシデント対応と脅威インテリジェンスのための侵害指標（IOC）を導出する。

GREM認定試験シラバス

FOR610.1: マルウェア分析の基礎

• 効果的なマルウェア分析のためのツールキットの構築
• 疑わしいプログラムの静的プロパティの調査
• 悪意のあるWindows実行ファイルの挙動分析を行う。悪意のあるWindows実行ファイルの動的コード解析
• ラボにおけるマルウェアのネットワークインタラクションの調査と追加特性の探索

FOR610.2: 悪意のあるコードの逆コンパイル

• 悪意のあるコード解析のためのx86アセンブリコア概念の理解
• 逆アセンブラを用いた主要なアセンブリ構造の特定
• プログラム制御フローの追跡と判断ポイントの理解
• Windows APIレベルでの一般的なマルウェア特性の認識
• アセンブリに関する知識の拡張とx64コード解析への拡張

FOR610.3: 悪意のあるドキュメントの解析

• 疑わしいWebサイトの解析を含む、悪意のあるPDFファイルの解析Microsoft Office ドキュメント内の VBA マクロ
• 悪意のある RTF ファイルの解析（シェルコードの解析を含む）
• XLM マクロの理解

FOR610.4: マルウェアの詳細な解析

• 悪意のある JavaScript の難読化解除
• パックされた Windows マルウェアの認識
• アンパックの開始
• デバッガーを使用してパックされたマルウェアをメモリからダンプする、マルチテクノロジーおよび「ファイルレス」マルウェアの解析
• コードインジェクションと API フック

FOR610.5: 自己防衛型マルウェアの解析

• マルウェアがデバッガーを検出し、埋め込みデータを保護する仕組み
• プロセスホローイングを利用する悪意のあるソフトウェアのアンパック
• マルウェアによる検出および解析ツールの回避の試みの回避
• SEH や TLS コールバックなどのコードミスディレクション手法への対処
• パッカーの動作を予測して悪意のある実行ファイルをアンパックする

FOR610.6: マルウェア解析トーナメント

• マルウェア解析の基礎
• 悪意のあるコードのリバースエンジニアリング静的および動的手法の使用
• 悪意のあるドキュメントの分析
• アンパックを含む詳細なマルウェア分析
• 自己防衛型マルウェアの調査

GREM認定資格を取得するための前提条件は何ですか？

GIAC Reverse Engineering Malware (FOR610) の受験者は、以下の要件を満たす必要があります。

• ノートパソコンの仕様を満たすコンピュータシステムが必要です。受講前に、いくつかのソフトウェアをインストールする必要があります。
• WindowsおよびLinuxのオペレーティング環境を理解し、OSの接続とセットアップに関する一般的な問題のトラブルシューティングを行う。
• VMwareと、仮想マシンのインポートおよび構成方法を理解する。
• 変数、ループ、関数などの基本的なプログラミング概念を一般的に理解していれば、関連する概念を迅速に理解できます。プログラミング経験は必要ありません。

GREM試験は誰が受験できますか？

GREM認定資格は、セキュリティ業界で最も評価の高い認定資格の1つです。GREM認定資格を取得することで、マルウェアリバースエンジニアリングに関する知識とスキルを証明できます。さらに、GREM認定バッジを取得することで、他のセキュリティ専門家との差別化を図り、需要の高いセキュリティ専門家となることができます。

GREM認定を取得することで、以下のような役割を担うことができます。

• システムおよびネットワーク管理者
• 監査人
• セキュリティコンサルタント
• セキュリティマネージャー
• マルウェアインシデント対応担当者
• セキュリティ実務担当者
• フォレンジック調査員
• テクノロジーに関する専門知識を体系化し、深めたいと考えている方

要点

GIAC GREM認定トレーニングプログラムは、悪意のあるソフトウェアとその対処方法を習得できる、最も価値の高い資格の一つです。GREM認定は、インシデント対応担当者やセキュリティ専門家に、悪意のあるソフトウェアが関与するインシデントの重大度と影響を評価し、復旧に必要な手順を計画するスキルを身につけさせることを目的としています。

フォレンジック調査員は、調査中にマルウェアの主要な特性、特にこれらの特性と侵害の兆候（IOC）の出現との関係性、そしてこれらの指標に基づいてインシデントの範囲と封じ込め策を決定する方法などをより深く理解します。

CBT Proxyは、GIAC GREM認定試験の受験を希望される場合、初回合格をサポートいたします。試験の準備方法や開始方法についてさらに詳しく知りたい場合は、下のチャットボタンをクリックしてください。ガイドがサポートいたします。