フォレンジック抽出とは、コンピューターデバイス(この場合はiOSデバイス)に侵入し、そこからすべてのデータを抽出するプロセスです。ElcomsoftのiOS Forensics Toolkitは、iPhone上のほぼすべてのデータ(パスコード、キー、ファイル、メッセージ、音声録音など)をハッキングして抽出できる非常に強力なツールです。
なぜそんなことをしたいのでしょうか?ハッカーの好奇心を除けば、フォレンジックソフトウェアの主な市場は法執行機関です。裁判では、携帯電話のデバイス(テキストメッセージ、メール、ボイスメール、通話記録、写真など)の詳細な記録と分析が求められることがよくあります。
参照:
- iPadのパスコードをハッキングする方法:iOSのパスワードセキュリティを回避し、iPadのロックを解除する
- iPadをハッキングする方法
- Apple、iCloudハッキング後にパスワードリセットを停止
最初に私たちの興味をそそったのは、データの復旧でした。友人の友人の iPhone がまったく動かなくなってしまったのです (バッテリーが充電できませんでした)。
iPhoneが充電できないのはバッテリーの不具合が原因の場合もありますが、ファームウェアやiOSのインストールに問題があることも少なくありません。この場合、iPhoneを復元すれば通常は問題は解決しますが、データは消去されてしまいます。友人はiPhone本体よりもiPhone内のコンテンツの方が重要だと断言していました。しかも、バックアップも取っていなかったのです。
重要なファイルはすべてデバイス本体内に暗号化されたファイルで安全に保管されており、多くの場合、電話機の前面にパスコードロックがかけられています。私たちの状況(パスコードにアクセスできる)では、これよりも低性能のソフトウェアでも十分でしたが、このソフトウェアの存在を知り、専門家にテストを依頼しました。
Elcomsoft の iOS Forensic Toolkit は、USB キー (ソフトウェアが海賊版にされたり、誰にでも配布されたりしないようにするためのセキュリティ対策) と連携して動作するソフトウェア (Mac と Windows の両方に対応) の組み合わせです。
iOSフォレンジックソフトウェアはいくつか選択肢があり(後ほど詳しく見ていきます)、このソフトウェアは市場で最も徹底的かつ詳細な機能を備えているように思われます。コマンドラインベースなので、ターミナルの操作に慣れている必要があるため、最も使いやすいとは言えません。しかし、メリットもあります。まず、説明書を注意深く読む必要がありますが(これほど詳細な作業を行う場合、これは悪いことではありません)、この点は重要です。
参照:AppleがiOSセキュリティガイドを公開
実際にどれほどうまく機能したか(後ほど詳しく説明します)を考えると、このようなフォレンジックソフトウェアを入手するのはそれほど簡単ではないと知って喜ぶでしょう。Elcomsoft自身の言葉を借りれば:
「ElcomSoftは、Elcomsoft iOS Forensic Toolkitの利用を、法執行機関、法医学機関、諜報機関などの一部の政府機関に制限しています。また、このツールキットは特別なライセンス契約の対象となります。」
このライセンス契約では、あなたが承認された執行機関であり、「製品を操作する際には法律に基づいて」行動し、デバイスの「法的所有者、または法的に所有および/または管理している」ことを強調しています。
ほとんどのソフトウェアライセンスには「ここをクリック」というボタンがあるのをご存知ですか?このライセンスには、ソフトウェアとUSBドングルを受け取る前に、インクで署名してElcomsoftに返送する欄があります。
つまり、このソフトウェアを本当に必要としていることを証明する必要があります。これは良いことです。なぜなら、Elcomsoft iOS Forensic Toolkitは、パスコードで保護されたiOSデバイスのコンテンツ全体を取得・分析することを可能にするツールセットだからです。
ソフトウェア側はターミナルを介して実行されます。そのため、起動して実行するにはコマンドラインの十分な知識が必要です。手順を案内するガイド付きアクセスモードと、特定のパラメータを指定して各タスクを実行できる手動モードがあります。ガイド付きアクセスモードでは、タスクを完璧に実行できました。
必要な各手順を案内するガイド付きアクセス モード:
1. DFUに入る
2. RAMディスクをロードする
3. イメージディスク
4. tarファイル
5. キーを取得する
6. パスコードを取得する
7. 再起動
8. ディスクの暗号化を解除する
9. Decyrput キーチェーン
最初のステップは、iOSデバイスをDFU(デバイスファームウェアアップデート)モードにすることです。スリープ/スリープ解除ボタンとホームボタンを押し、スリープ/スリープ解除ボタンを放し、ホームボタンを押し続けます。DFUモードに入ると、iPhoneの画面は空白になります(これは、デバイス画面にiTunesのドックコネクタが表示されるリカバリモードとは異なります)。
デバイスがDFUモードになったら、Toolkit RamdiskをiPhoneのメモリに読み込みます。これが「ハック」の部分で、残りのソフトウェアがデバイスにアクセスしてデータを抽出できるようにします。すべて自動化されていますが、対象となるiOSデバイスのモデルを正確に指定する必要があります。iPhone 3、3GS、4、4Sなど、モデルによって異なるため混乱するかもしれませんが、不明な場合はRedsnowなどの脱獄プログラム(DFUモードのデバイスを識別できます)を使用してこの情報を確認できます。
Toolkit Ramdisk がロードされると、フォレンジック抽出のプロセスを開始できます (プロセスを停止した場合は、Toolkit Ramdisk を再度ロードする必要があります。Toolkit Ramdisk はデバイスに保存されていないことに注意してください)。
次のステップは、iOSデバイスのメモリからハードドライブにイメージディスクをコピーすることです。コピーするディスクは2つあります。
システム (rdisk0s1)
ユーザー (rdisk0s2s1)
システムディスクにはiOSのインストールファイル自体が含まれており、暗号化されていません。ユーザーディスクには、iOSデバイスの所有者に関するすべての情報(メール、メッセージなど)が含まれており、当然ながら暗号化されています。
システムディスクのコピーには約10分かかりますが、ユーザーディスクのコピーにはディスクのサイズに応じて30分から数時間かかる場合があります。テスト環境では、32GBのiPhoneディスクのコピーに1時間弱かかりました。デフォルトでは、ディスクは.DMGファイルとしてホームディレクトリにコピーされますが、別の場所を指定することもできます。
ユーザーファイルをtarball(TARファイル形式は複数のファイルを1つのファイルにまとめたファイル形式)としてダウンロードすることもできます。これは、未使用領域をコピーせずにファイルのみをコピーするため、イメージディスクをコピーするよりも高速です。ユーザーファイルをイメージディスクとしてコピーする場合と同様に、かなりの時間がかかりますが、イメージファイル全体をコピーするよりも高速です。詳細なフォレンジック調査には、より徹底したアプローチが必要になると考えられます。
ファイルを入手しても、まだアクセスできません。代わりに、キー(ユーザーデータにアクセスするための内部コード)とパスコード(デバイスにアクセスするために使用するPIN番号)を取得するプロセスを実行する必要があります。キーの取得は数秒で完了しますが、パスコードまたはエスクローファイル(デバイスと同期されているMacに保存されています)が必要です。エスクローはiOS 4以前でのみ動作し、/var/db/lockdown(デバイスのUDID番号に.plistが続く形式)に保存されています。
通常、キーを取得する前にパスコードを取得する方が簡単ですが、「キーの取得」がステップ 4 で、「パスコードの取得」がステップ 5 であるのは奇妙だと感じました。
パスコードの取得にはブルートフォース攻撃(正しい数字が見つかるまで4桁の組み合わせを連続して入力する攻撃)が用いられます。これはシステムレベルで行われるため、ユーザーがデバイスに数字を物理的に入力する際に適用される10回の入力制限の影響を受けません。入力速度は3.2または3.3 p/s(1秒あたりのパスワード数と推定)と報告されており、かなり時間がかかる可能性があります(パスコードの取得には約15分かかりました。これは別のテキストファイルに保存されています)。
最後にデバイスを再起動し、デバイスキーを使ってディスクとキーチェーンを復号します(キーにアクセスするために)。この時点でiOSデバイスを接続する必要はなくなり、コンピューターに保存したファイルにアクセスできるようになります。これにより、別のユーザーファイル(通常はUser-Decrypted.DMGという名前で、閲覧可能です)が保存されます。ジェイルブレイクされたスマートフォンをお使いの場合は、元のUser.dmgファイルを復号する必要がない場合があります(確認することをお勧めします)。
全体としては決して簡単なプロセスではありませんが、ある程度のコンピューター知識と説明書を注意深く読む能力があれば、それほど難しいものではありません。各ステップを様々なオプションと機能を使って実行できる手動モードもありますが、ガイド付きアクセスモードを使えば、プロセス全体をかなり簡単に進めることができます。
携帯電話からすべてのデータを削除すると、表示可能なDMGユーザーファイルが作成されます。このファイルは、Macで他のボリュームと同様に開いて閲覧できます。ほとんどのファイルは、アプリケーション、ライブラリ、メディアを含む「Mobile」フォルダ内にあります。
ここには、音楽から SMS メッセージ、アドレス帳の連絡先、さらには録音されたボイスメール メッセージ (ビジュアル ボイスメールを使用している場合) まで、あらゆるものが見つかります。
多くのファイル(アドレス帳など)はSQLデータベースファイルとして保存されているため、それらを理解するにはSQLブラウザが必要です。FirefoxウェブブラウザにはSQLite Mangerという優れたブラウザがあり、オープンソースのSQLite Database Browserもあります。iPhoneのUser.dmgはユーザーフレンドリーな環境とは言えません(そもそもそのように設計されていないため)。そのため、すべてを一度に見つけられるとは期待できませんが、すべてそこに含まれています。ちなみに、iPhone / iPod Touch Backup Extractorなどのプログラムを使えば、バックアップからユーザーディレクトリの内容を見ることができます。
壊れたiPhoneで、かなりの成功を収めました。私たちの場合、まずデバイスを脱獄する必要があることが分かりました。そうすることでバッテリーの問題が解決し、DFUモードに入って全データを復元することができました。この時点でiTunesでバックアップを取っておくこともできましたが、そうするとフォレンジックソフトウェアを使ってiPhoneから全データを抽出する方法が分からなくなってしまいます。そのため、すべてのデータが安全かつ健全な状態にあることを確認したかったのです。すべてのデータのバックアップが十分に取れた後、ソフトウェアアップデートを実行して脱獄を解除し、iTunesバックアップからすべてを再インストールしました。
ElcomsoftのiOS Forensic Toolkitよりも簡単なデータ抽出オプションもいくつかあります。データのバックアップと抽出だけを希望する場合は、EcammのPhoneViewを検討してみてはいかがでしょうか。PhoneViewはユーザーフレンドリーなインターフェースを備えており、iOSデバイスから画像、メッセージ、メール、音楽などのコンテンツをバックアップできます。ただし、PhoneViewではデバイスのパスコードを抽出できず、パスコードを知っているか、デバイスをコンピュータと同期している場合にのみ機能します。そのため、個人使用には適していますが、本格的な調査を行う人にとってはあまり魅力的ではありません。
