Mac・スマートフォン・タブレットの解析にも対応

情報技術の進歩に応じてフォレンジック調査の対象となるデバイスは拡大を続けています。10年前、Windows PC だけ解析できればフォレンジック調査が必要となる9割以上のデバイスをカバーできていたものが今では、Mac やAndroid/iOS を搭載したスマートフォン、タブレットまでが頻繁に調査対象として挙げられるようになりました。

Magnet AXIOMはフォレンジック調査の対象となる以下のOS、デバイスに対応可能であり、急増する Windows PC 以外のフォレンジック解析の需要にも応えられるツールです。

• コンピューター → Windows / Mac

• スマートフォン・タブレット → Android / iOS / Windows Phone / Kindle Fire

• その他メディアデバイス / SIM カード

証拠処理用アプリとレビュー用アプリの2段構成

Magnet AXIOMは以下の2つのアプリケーションから構成されています。

• AXIOM Process
  (データの保全作業や保全したデータ種類ごとの処理を行い、調査に最適な形に証拠データを抽出、解析)
• AXIOM Examine
  (処理されたデータの閲覧、レビュー。処理結果の検索やフィルタリングの実施)

処理用とレビュー用でアプリケーションを分けることで、証拠処理は AXIOM Process をインストールした高性能PCで一括で行い、レビューは複数PCに分けるなど、フォレンジックプロセスごとに柔軟な対応が可能です。

AXIOM Examine で閲覧するデータは、Portable Case という形式で AXIOM のライセンスを持たない複数のユーザー向けにレビュー用に配布することができます。レビュー結果は各人がタグやコメントなどの形で残すことができ、作業後に複数人が付したタグやコメントを統合するなどのケース管理ができます。

暗号化ディスクの復号

MAGNET AXIOM では Bitlocker で暗号化されたデバイスの追加時にパスワードを提供することで、データを復号してから解析することが可能です。復号には暗号化設定時に使用したパスワードもしくは48桁の回復パスワードいずれも使用可能です。最新版の Bitlocker で採用された XTS-AES にも対応します。

加えて、AXIOM では パスワード解読ツールとして有名な、PassWare 社のモジュールを用いた Bitlocker 暗号化ドライブに対する辞書攻撃も可能です。辞書に使用する文字列は AXIOM のケースデータに含まれる文字列を専用ツールを用いて抽出、ファイル化できるため対象者が使用している他のデバイスの調査結果を踏まえて簡易プロファイリングを行ったかのような効果が得られます。

また、macOS で使用されている FileVault もパスワードとリカバリー用ファイルを併せて指定することで復号でき、iOS デバイスで用いられる iTunes バックアップのパスワード暗号化の復号にも対応するなど昨今、頻繁に使用される多くの暗号化デバイスに対応します。

フォレンジック調査ツールの一本化

フォレンジック調査の対象が多岐に渡るため、調査員は用途ごとに様々なツールを用途に応じて使い分けることが一般的になっています。例えば、画像に含まれるEXIF 情報の抽出にPhil Harvey氏の Exiftool を使ったり、メモリ解析に OSS のVolatility を使ったり。一方で、多彩なツールを用途に応じて使い分けることは調査員にとっては負担であり、あるツールの使用を失念したまま調査を進めてしまい、重要なデータを見落とす原因にもなりえます。AXIOM Processでは用途ごとに散在する各ツールを統合、一本化し共通のインターフェースから漏れなく処理の実行が行えるよう構成されています。下図は AXIOM に統合された Volatility モジュールの解析オプション (抜粋) です。

パワフルな AXIOM の証拠処理を通じて、地引網的に収集・解析されたデータから調査員が事前に予期していないデータが見つかり事件解決の糸口となることも少なくありません。

Magnet. AI

Magnet.AI は機械学習を用いて証拠データから猥褻画像や武器・薬物などの禁制品を含む可能性がある画像を自動的に検出するためのモジュールです。Magnet.AI により調査員は犯罪に関連する可能性のあるデータを機械的に選別することができ、大量の画像データを逐一、人の目で確認する場合に比べ作業時間を大幅に短縮することが可能です。

タイムライン解析

証拠処理の結果、Magnet AXIOM が捕捉したあらゆる時間情報 (ファイルの作成日時・更新日時・アクセス日時等) はタイムラインエクスプローラーにまとめられ、一覧化されます。MAGNET AXIOM ではこれらの情報を更に指定期間やアーティファクトタイプごとに絞り込むことも可能です。

タイムラインの解析はフォレンジック調査において非常に有用です。マルウェアが発見された際に前後のタイムラインを参照することで、そのマルウェアが作成したファイルや前後のレジストリの書き換え状況を把握することができます。

また、Windows PCの使用者による特定ファイルの作成 → 閲覧 → 更新という行動を例に取ると、ファイル自体の作成・更新日時以外に、ファイルシステムの中のジャーナルファイルや LNK ファイル、エクスプローラーなど複数の場所に時間情報に関する証拠が残ります。これらの情報を MAGNET AXIOM から確認することで、特定ファイルが削除されており復元不可能な場合もファイルがかつて PC 内に存在していたことが確認できる可能性があります。

コネクション - 相関分析

MAGNET AXIOM のコネクション (接続) 機能では、メールアドレスやアカウント名、ファイル名などの指標から、それらと密接に関連するデータを表示し関連性の分析を行うことが可能です。

メールアドレスのコネクションを参照することで、過去にメールの送受信をした相手方を俯瞰することができます。ハッシュ値を指標として同一のファイルが PC のデスクトップや USB など複数の場所に保存されていることが発見できる可能性もあります。

上のイメージはTeamViewerのセットアップ用実行ファイル (TeamViewer_Setup.exe) が保存されていた場所を起点にコネクションを参照した際の様子です。この情報から、ダウンロード元となった URL やダウンロードに使用されたブラウザーの種類 (Chrome) が確認できます。従来は単一の情報を調査員が積み上げていく中で全体像を把握していくのが一般的でしたが、Magnet AXIOM を利用すれば、関連する情報をつなぎ合わせ全体を素早く俯瞰することが可能になります。