- 自己紹介
- タスク「Mobile analysis(モバイル分析) 」
- デジタルフォレンジック(Digital Forensics)
- デジタルフォレンジックイメージ取得
- スマートフォンの暗号化について
- デジタルフォレンジック体験
- 問題に挑戦
- まとめ
自己紹介
こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。
TryHackMeの「Advent of Cyber2023の復習と2024の予習」をテーマにした連載第8回目の今回は「Mobile analysis(モバイル分析) 」の問題に挑戦してみましょう。
一般的なTryHackMeの使い方は以下にまとめてありますので参照してください。 techblog.ap-com.co.jp
過去のTryHackMe Advent of Cyber 2023に関する記事は以下の通りです。
2024/3 TryHackMe Advent of Cyber 2023から2024へ(1) What is TryHackMe? - APC 技術ブログ
2024/4 TryHackMe Advent of Cyber 2023から2024へ(2) Machine learning(機械学習) - APC 技術ブログ
2024/5 TryHackMe Advent of Cyber 2023から2024へ(3) Log analysis(ログ分析) - APC 技術ブログ
2024/6 TryHackMe Advent of Cyber 2023から2024へ(4) Reverse engineering(リバースエンジニアリング) - APC 技術ブログ
2024/7 TryHackMe Advent of Cyber 2023から2024へ(5) Memory corruption(メモリー破壊) - APC 技術ブログ
2024/8 TryHackMe Advent of Cyber 2023から2024へ(6) SQL injection(SQLインジェクション) - APC 技術ブログ
2024/9 TryHackMe Advent of Cyber 2023から2024へ(7) SSRF(サーバサイド・リクエスト・フォージェリ) - APC 技術ブログ
2024/10 TryHackMe Advent of Cyber 2023から2024へ(8) Mobile analysis(モバイル分析) - APC 技術ブログ
タスク「Mobile analysis(モバイル分析) 」
今回挑戦するタスクはこちらです。
[Day 24]You Are on the Naughty List, McGreedy(あなたはいたずらリストに載っています、マクグリーディ)
[ウォークスルービデオをみるにはここをクリックしてください!]の▲をクリックすると解説動画を表示できますので必要に応じてチェックしてみてください。
このタスクの学習目標は以下の通りです。
- デジタル証拠収集の手順
- 現代のスマートフォンの課題
- 実際のAndroidイメージでAutopsy Digital Forensicsを使用する
デジタルフォレンジック(Digital Forensics)
法医学(フォレンジック)とは、科学を利用して犯罪を解決する方法です。法医学者であれば、犯罪現場から指紋、DNA、足跡などの証拠を収集することになります。これらの証拠を使用して分析し、犯罪現場で何が起こったのか、誰がそれをしたのかを判断します。
デジタルフォレンジックは、同様にコンピュータやネットワーク、携帯端末などのデジタルデバイスから証拠を収集、分析する科学的手法のことを指します。この分野はサイバー犯罪や法的な調査において重要な役割を果たします。
デジタルフォレンジックには、いくつかの専門的な分野があります。
| 分野 | 内容 |
|---|---|
| コンピュータ・フォレンジック | コンピュータシステムからデータを取得し分析する。 |
| ネットワーク・フォレンジック | ネットワークトラフィックの解析に焦点を当て不正アクセスや攻撃の痕跡を追跡する。 |
| モバイル・フォレンジック | スマートフォンやタブレットなどのモバイルデバイスから通話履歴やSMS・GPS情報などのデータを収集し解析する。(今回学ぶ分野) |
| マルウェア・フォレンジック | サイバー攻撃に関連したマルウェアの動作を解析し、感染の経路や影響を調査する。 |
| クラウド・フォレンジック | クラウドサービスからのデータ収集と解析に焦点を当て分散された環境での証拠を収集する。 |
参考:
- デジタル・フォレンジック www.npa.go.jp
デジタルフォレンジックイメージ取得
デジタルフォレンジックイメージ取得は調査対象のデジタルデバイス(ハードディスク、SSD、USBメモリ、モバイルデバイスなど)のデータを元のデバイスに手を加えずそのままコピーし、後で詳細な解析や証拠保全を行うための重要なプロセスです。 主に使用されるイメージ取得方法は次のとおりです。
| 種類 | 取得方法 |
|---|---|
| 静的取得 | デバイスの電源がオフになっている間にディスクのビット単位のイメージを作成 |
| ライブ取得 | デバイスの電源がオンになっている間にディスクのビット単位のイメージを作成 |
| 論理取得 | 調査中のデバイスから選択したファイルを取得 |
| 部分取得 | ストレージ全体ではなくディスクの割り当てられていない領域など必要な部分だけを選んでデータを取得 |
以下の2つのシナリオを例に説明します。
シナリオ1.押収されたコンピューターの電源はオフになっている。
- ディスクに何らかの変更が加えられ結果として証拠が改ざんされるため電源をオンにしない
- ハードディスクドライブまたはSSDを取り外してコピーを作成する
- 書き込みブロッカーやフォレンジックイメージングソフトウェアを使用して適切なストレージ デバイスに保存する
シナリオ2.捜査官たちは犯罪現場で電源が入ったまま稼働中のコンピューターを偶然発見した。
- デバイスが暗号化されている可能性があり、シャットダウンするとパスワードなしでデータを読み取ることができなくなるおそれがあるため電源を切らずにライブイメージを取得する。
- 容疑者がログインしているアカウントやサービスにアクセスしてデータを取得する。(有罪を証明し犯罪を解決するために不可欠な証拠となる場合がある)
- 揮発性メモリと不揮発性メモリ(ディスク) 内のすべてのデータを取得する。
スマートフォンの暗号化について
スマートフォンの暗号化は、デバイスに保存されているすべてのデータを数学的なアルゴリズムを使って変換し、暗号化鍵を使用してのみデータを解読できる状態にします。暗号化が有効化されると、ファイル、写真、メッセージ、アプリデータなど、すべてのデータが暗号化され通常の操作では読み取れません。
Android6.0以降暗号化は必須となっています。古いバージョンのAndroidを扱っている場合を除き、押収されたスマートフォンは暗号化されていると考えられます。Apple iPhoneデバイスもデフォルトで暗号化されています。
スマートフォンに限らずデバイスやファイルの暗号化はデジタルフォレンジック調査員が克服しなければならない大きな障害となる可能性があります。完全なデジタルフォレンジック調査には暗号化キーの取得または発見が必要です。
参考:
暗号化(Android) source.android.com
暗号化とデータ保護の概要(iOS) support.apple.com
デジタルフォレンジック体験
押収された攻撃者(McGreedy)のAndroidスマートフォンからイメージを取得して調査しましょう。 調査は以下の手順で行います。
- 遠隔操作でデータを消去するような無線信号を受信できないようにスマートフォンをファラデーバッグに入れる
- 安全な場所でバッグから取り出しスマートフォンのロックを解除する(今回は以前のタスクで入手したパスワードを使用して解除できた前提で進める)
- スマートフォンから完全なrawイメージを取得するためにroot権限を奪取する(今回はroot権限を奪取できた前提で進める)
- Android Debug Bridge ( adb) を使用してイメージを取得する(今回は既に取得済みの前提で進める)
- Autopsy Digital Forensicsを使用して取得したディスクイメージを分析する
今回は4から説明します。
adbを使用してイメージを取得する
スマートフォンとPCを接続してadbシェルを起動、マウントされたデバイスの中からアプリケーションデータが保存されているストレージ デバイス名を特定します。
画像のコマンドで特定したストレージデバイス名のデータを.imgファイルに出力します。
Autopsyを使用して取得したディスクイメージを分析する
「マシンを起動」をクリックしてターゲットマシンを起動します。AutopsyがセットアップされたWindowsマシンが用意されます。
Autopsyを起動すると新しいデジタルフォレンジックケースを作成するか、既存のケースを開くかを尋ねるダイアログ ボックスが表示されます。
「新しいケース」をクリックした後ケース名を指定します。曖昧さを避けるために容疑者名とデバイスを使用します。
次に、ケース番号と調査員名(Forensic McBlue)を入力します。
イメージの名前を入力します。同じ容疑者から2台のスマートフォン、1台のラップトップ、1台のデスクトップの4枚の画像が含まれるなどもあるので明確でわかりやすい名前を付けます。
スマートフォンから取得したディスクイメージを指定して分析してみましょう。
問題に挑戦
では実際に問題を解いてみましょう。
問題1.ある写真にフラグが含まれています。フラグは何ですか?
ヒントを参考にある写真を探してください。
問題2.トレイシーはフロストオー刑事の電話番号を保存するためにどんな名前を使いましたか?
ヒントを参考に電話帳を探してください。
問題3.Van Sprinklesと交換したSMSの1つにパスワードが含まれています。これは何ですか?
ヒントを参考に探してください。
まとめ
いかがでしたでしょうか? 今回の体験ではデジタルフォレンジックのプロセスの内、取得したディスクイメージの分析のみ行いましたが、adbを使用してイメージを取得するところから経験すると一通りの流れが理解できると思いますのでぜひ環境を作って挑戦してみてください。
今回はMobile analysis(モバイル分析) のテーマのもと以下について学ぶタスクをご紹介しました。
- デジタル証拠収集の手順
- 現代のスマートフォンの課題
- 実際のAndroidイメージでAutopsy Digital Forensicsを使用する
4月からTryHackMeの実際のタスクを数回に分けて体験してきました。その楽しさを知っていただけたのではないでしょうか。 次回はいよいよ今年のTryHackMe Advent of Cyber 2024に向けての情報をまとめてお伝えしていきたいと思います。匂わせ投稿?がひっそりとアップされていたのも気になりますね。
Somewhere in the world right now, Tyler Ramsbey is defrosting ahead of #AdventOfCyber 🥵🎄 pic.twitter.com/SqbsDVBomr
— TryHackMe (@RealTryHackMe) 2024年10月18日
最後まで読んでいただきありがとうございました。次回もお楽しみに。
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp
一緒に働いて頂ける仲間も募集しています
今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp
