2020.07.09
- デジタル・フォレンジックス
19.デジタル・フォレンジックス(各論)「スマートフォン」
LXの深山です。コラムの第15回ではiPhoneを、第18回ではAndroidを取り上げましたが、今回はスマートフォン共通のDF手法について解説したいと思います。
DFの観点からiPhoneとAndroidの共通点を挙げると、保全方法として、①バックアップ機能を利用した手法、②アプリを利用した手法、③カスタムROMブートによる手法、④JTAGによる手法、⑤チップオフによる手法の5種類に集約されるという点が挙げられます。
①バックアップ機能を利用した手法では、iPhoneであればiTunesまたはiCloudを使用し、AndroidではVersion4以降から利用可能になったadb(Android Debug Bridge)を使用するのが一般的です。これらを組み込んだ市販のDF専用ソフトもありますが、基本的には知識があれば専用ソフトを利用しなくてもadb backupは利用できます。とはいえ、Androidの各バージョンの操作性に慣れていないとやや手間取ることもあり、経験値が高いほどスムーズにデータ保全を実施することができます。
②アプリを利用した手法は、アプリケーション間のデータアクセスを実現する、コンテンツプロバイダと呼ばれる仕組みを利用する方法です。抽出できるデータが限定的ではありますが、データ抽出に特化したアプリケーションを調査対象となる端末一時的にインストールすることで、データ抽出を行います。そのため、厳密な意味ではデータ改変を行わずにデータを取得するということはできなくなります。
③カスタムROMブートによる手法は、DF専用ソフトに組み込まれたカスタムROMによる起動でデータを取得する方法です。この手法であれば端末内のデータを改変することなく取得できるのですが、近年はスマートフォンのセキュリティ対策強化により、5-6年以上前に販売されていた端末でなければ利用は困難となっています。
④JTAGによる手法は、電子回路の検査を目的とした物理的アプローチ手法の応用です。特殊な機材と専門的な知識・技術が必要であり、実施できる技術者や調査会社は限られます。また、端末を分解する必要があるため、端末の再利用を前提とした調査では利用できません。
⑤チップオフによる手法は、対象デバイスを分解し、NANDチップをリワーク装置と呼ばれる専用の装置などを用いて基板上から取り外したうえで、データを読み取る手法です。この手法は携帯電話(いわゆるガラケー)でも利用されることがあり、私も専門の解析機関に外注した事があります。こちらも④と同様に端末を分解する必要があるため、端末の再利用を前提とした調査では利用できません。
①から⑤の手法を用いた保全後に行われる解析手法としては、利用者が多いアプリであればあるほどiPhoneとAndroidの違いは少なく、仕様が共通化しているため、DF専用ソフトを使用することにより、両者とも解析が容易であることが多いです。ただ、解析データの調査・分析(解釈)は、もう一段上の技術・知識が必要であり、実際に各種アプリを利用することで、保全したデータ構造がどのようになっているか日々研究しておくことが求められます。
次回は、これまでのDFに関する解説を一度まとめる目的で、FAQを用意したいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
リスクマネジメントに関連するサービス
よく読まれている記事
サービスカテゴリー
- デジタル・フォレンジックス
LXの深山です。コラムの第15回ではiPhoneを、第18回ではAndroidを取り上げましたが、今回はスマートフォン共通のDF手法について解説したいと思います。
DFの観点からiPhoneとAndroidの共通点を挙げると、保全方法として、①バックアップ機能を利用した手法、②アプリを利用した手法、③カスタムROMブートによる手法、④JTAGによる手法、⑤チップオフによる手法の5種類に集約されるという点が挙げられます。
①バックアップ機能を利用した手法では、iPhoneであればiTunesまたはiCloudを使用し、AndroidではVersion4以降から利用可能になったadb(Android Debug Bridge)を使用するのが一般的です。これらを組み込んだ市販のDF専用ソフトもありますが、基本的には知識があれば専用ソフトを利用しなくてもadb backupは利用できます。とはいえ、Androidの各バージョンの操作性に慣れていないとやや手間取ることもあり、経験値が高いほどスムーズにデータ保全を実施することができます。
②アプリを利用した手法は、アプリケーション間のデータアクセスを実現する、コンテンツプロバイダと呼ばれる仕組みを利用する方法です。抽出できるデータが限定的ではありますが、データ抽出に特化したアプリケーションを調査対象となる端末一時的にインストールすることで、データ抽出を行います。そのため、厳密な意味ではデータ改変を行わずにデータを取得するということはできなくなります。
③カスタムROMブートによる手法は、DF専用ソフトに組み込まれたカスタムROMによる起動でデータを取得する方法です。この手法であれば端末内のデータを改変することなく取得できるのですが、近年はスマートフォンのセキュリティ対策強化により、5-6年以上前に販売されていた端末でなければ利用は困難となっています。
④JTAGによる手法は、電子回路の検査を目的とした物理的アプローチ手法の応用です。特殊な機材と専門的な知識・技術が必要であり、実施できる技術者や調査会社は限られます。また、端末を分解する必要があるため、端末の再利用を前提とした調査では利用できません。
⑤チップオフによる手法は、対象デバイスを分解し、NANDチップをリワーク装置と呼ばれる専用の装置などを用いて基板上から取り外したうえで、データを読み取る手法です。この手法は携帯電話(いわゆるガラケー)でも利用されることがあり、私も専門の解析機関に外注した事があります。こちらも④と同様に端末を分解する必要があるため、端末の再利用を前提とした調査では利用できません。
①から⑤の手法を用いた保全後に行われる解析手法としては、利用者が多いアプリであればあるほどiPhoneとAndroidの違いは少なく、仕様が共通化しているため、DF専用ソフトを使用することにより、両者とも解析が容易であることが多いです。ただ、解析データの調査・分析(解釈)は、もう一段上の技術・知識が必要であり、実際に各種アプリを利用することで、保全したデータ構造がどのようになっているか日々研究しておくことが求められます。
次回は、これまでのDFに関する解説を一度まとめる目的で、FAQを用意したいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
