APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

TryHackMe Advent of Cyber 2023から2024へ(8) Mobile analysis(モバイル分析)

自己紹介

こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。

TryHackMeの「Advent of Cyber2023の復習と2024の予習」をテーマにした連載第8回目の今回は「Mobile analysis(モバイル分析) 」の問題に挑戦してみましょう。

一般的なTryHackMeの使い方は以下にまとめてありますので参照してください。 techblog.ap-com.co.jp

過去のTryHackMe Advent of Cyber 2023に関する記事は以下の通りです。

タスク「Mobile analysis(モバイル分析) 」

tryhackme.com

今回挑戦するタスクはこちらです。

[Day 24]You Are on the Naughty List, McGreedy(あなたはいたずらリストに載っています、マクグリーディ)

タスク30 [24日目]モバイル分析あなたは悪い子リストに載っています、マクグリーディ

[ウォークスルービデオをみるにはここをクリックしてください!]の▲をクリックすると解説動画を表示できますので必要に応じてチェックしてみてください。

このタスクの学習目標は以下の通りです。

  • デジタル証拠収集の手順
  • 現代のスマートフォンの課題
  • 実際のAndroidイメージでAutopsy Digital Forensicsを使用する

デジタルフォレンジック(Digital Forensics)

法医学(フォレンジック)とは、科学を利用して犯罪を解決する方法です。法医学者であれば、犯罪現場から指紋、DNA、足跡などの証拠を収集することになります。これらの証拠を使用して分析し、犯罪現場で何が起こったのか、誰がそれをしたのかを判断します。

デジタルフォレンジックは、同様にコンピュータやネットワーク、携帯端末などのデジタルデバイスから証拠を収集、分析する科学的手法のことを指します。この分野はサイバー犯罪や法的な調査において重要な役割を果たします。

デジタルフォレンジックには、いくつかの専門的な分野があります。

分野 内容
コンピュータ・フォレンジック コンピュータシステムからデータを取得し分析する。
ネットワーク・フォレンジック ネットワークトラフィックの解析に焦点を当て不正アクセスや攻撃の痕跡を追跡する。
モバイル・フォレンジック スマートフォンやタブレットなどのモバイルデバイスから通話履歴やSMS・GPS情報などのデータを収集し解析する。(今回学ぶ分野)
マルウェア・フォレンジック サイバー攻撃に関連したマルウェアの動作を解析し、感染の経路や影響を調査する。
クラウド・フォレンジック クラウドサービスからのデータ収集と解析に焦点を当て分散された環境での証拠を収集する。
主なデジタルフォレンジック分野

参考:

デジタルフォレンジックイメージ取得

デジタルフォレンジックイメージ取得は調査対象のデジタルデバイス(ハードディスク、SSD、USBメモリ、モバイルデバイスなど)のデータを元のデバイスに手を加えずそのままコピーし、後で詳細な解析や証拠保全を行うための重要なプロセスです。 主に使用されるイメージ取得方法は次のとおりです。

種類 取得方法
静的取得 デバイスの電源がオフになっている間にディスクのビット単位のイメージを作成
ライブ取得 デバイスの電源がオンになっている間にディスクのビット単位のイメージを作成
論理取得 調査中のデバイスから選択したファイルを取得
部分取得 ストレージ全体ではなくディスクの割り当てられていない領域など必要な部分だけを選んでデータを取得
主なイメージ取得方法

以下の2つのシナリオを例に説明します。

シナリオ1.押収されたコンピューターの電源はオフになっている。

  • ディスクに何らかの変更が加えられ結果として証拠が改ざんされるため電源をオンにしない
  • ハードディスクドライブまたはSSDを取り外してコピーを作成する
  • 書き込みブロッカーフォレンジックイメージングソフトウェアを使用して適切なストレージ デバイスに保存する

書き込みブロッカーを使用

シナリオ2.捜査官たちは犯罪現場で電源が入ったまま稼働中のコンピューターを偶然発見した。

  • デバイスが暗号化されている可能性があり、シャットダウンするとパスワードなしでデータを読み取ることができなくなるおそれがあるため電源を切らずにライブイメージを取得する。
  • 容疑者がログインしているアカウントやサービスにアクセスしてデータを取得する。(有罪を証明し犯罪を解決するために不可欠な証拠となる場合がある)
  • 揮発性メモリと不揮発性メモリ(ディスク) 内のすべてのデータを取得する。

スマートフォンの暗号化について

スマートフォンの暗号化は、デバイスに保存されているすべてのデータを数学的なアルゴリズムを使って変換し、暗号化鍵を使用してのみデータを解読できる状態にします。暗号化が有効化されると、ファイル、写真、メッセージ、アプリデータなど、すべてのデータが暗号化され通常の操作では読み取れません。

Android6.0以降暗号化は必須となっています。古いバージョンのAndroidを扱っている場合を除き、押収されたスマートフォンは暗号化されていると考えられます。Apple iPhoneデバイスもデフォルトで暗号化されています。

スマートフォンに限らずデバイスやファイルの暗号化はデジタルフォレンジック調査員が克服しなければならない大きな障害となる可能性があります。完全なデジタルフォレンジック調査には暗号化キーの取得または発見が必要です。

参考:

デジタルフォレンジック体験

押収された攻撃者(McGreedy)のAndroidスマートフォンからイメージを取得して調査しましょう。 調査は以下の手順で行います。

  1. 遠隔操作でデータを消去するような無線信号を受信できないようにスマートフォンをファラデーバッグに入れる
  2. 安全な場所でバッグから取り出しスマートフォンのロックを解除する(今回は以前のタスクで入手したパスワードを使用して解除できた前提で進める)
  3. スマートフォンから完全なrawイメージを取得するためにroot権限を奪取する(今回はroot権限を奪取できた前提で進める)
  4. Android Debug Bridge ( adb) を使用してイメージを取得する(今回は既に取得済みの前提で進める)
  5. Autopsy Digital Forensicsを使用して取得したディスクイメージを分析する

今回は4から説明します。

adbを使用してイメージを取得する

スマートフォンとPCを接続してadbシェルを起動、マウントされたデバイスの中からアプリケーションデータが保存されているストレージ デバイス名を特定します。

adbシェルで取得するストレージデバイス名を特定する

画像のコマンドで特定したストレージデバイス名のデータを.imgファイルに出力します。

特定したストレージデバイス名のデータを.imgファイルに出力する

Autopsyを使用して取得したディスクイメージを分析する

「マシンを起動」をクリックしてターゲットマシンを起動します。AutopsyがセットアップされたWindowsマシンが用意されます。

取得したディスクイメージ

Autopsyを起動すると新しいデジタルフォレンジックケースを作成するか、既存のケースを開くかを尋ねるダイアログ ボックスが表示されます。

Autopsyを起動

「新しいケース」をクリックした後ケース名を指定します。曖昧さを避けるために容疑者名とデバイスを使用します。

ケース名を入力

次に、ケース番号と調査員名(Forensic McBlue)を入力します。

ケース番号と調査員名を入力

ケース作成中

ディスクイメージの分析準備

イメージの名前を入力します。同じ容疑者から2台のスマートフォン、1台のラップトップ、1台のデスクトップの4枚の画像が含まれるなどもあるので明確でわかりやすい名前を付けます。

ディスクイメージ名入力

スマートフォンから取得したディスクイメージを指定して分析してみましょう。

分析モジュールを指定

Autopsyへの読み込み完了

問題に挑戦

では実際に問題を解いてみましょう。

問題1.ある写真にフラグが含まれています。フラグは何ですか?

ヒントを参考にある写真を探してください。

ヒント

問題2.トレイシーはフロストオー刑事の電話番号を保存するためにどんな名前を使いましたか?

ヒントを参考に電話帳を探してください。

ヒント

問題3.Van Sprinklesと交換したSMSの1つにパスワードが含まれています。これは何ですか?

ヒントを参考に探してください。

ヒント

まとめ

いかがでしたでしょうか? 今回の体験ではデジタルフォレンジックのプロセスの内、取得したディスクイメージの分析のみ行いましたが、adbを使用してイメージを取得するところから経験すると一通りの流れが理解できると思いますのでぜひ環境を作って挑戦してみてください。

今回はMobile analysis(モバイル分析) のテーマのもと以下について学ぶタスクをご紹介しました。

  • デジタル証拠収集の手順
  • 現代のスマートフォンの課題
  • 実際のAndroidイメージでAutopsy Digital Forensicsを使用する

4月からTryHackMeの実際のタスクを数回に分けて体験してきました。その楽しさを知っていただけたのではないでしょうか。 次回はいよいよ今年のTryHackMe Advent of Cyber 2024に向けての情報をまとめてお伝えしていきたいと思います。匂わせ投稿?がひっそりとアップされていたのも気になりますね。

最後まで読んでいただきありがとうございました。次回もお楽しみに。

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp

一緒に働いて頂ける仲間も募集しています

今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp