モバイルフォレンジックソフトウェア:Belkasoft Xが最適なツールである理由
はじめに
Belkasoft は設立から10年以上、主にコンピュータフォレンジックのツールで知られてきました。 しかしここ数年で、多くのDFIRの専門家がBelkasoft製品を選ぶ理由は、 モバイルデバイスのフォレンジックおよび解析機能にあります。Belkasoft は Cellebrite とともに、 Windows プラットフォーム上で Checkm8 に基づく iOS のフルファイルシステム取得をサポートした 世界で最初の2社の一つであり、競合他社の多くはこの機能で6〜12か月遅れていました。 これは、Belkasoft がモバイルフォレンジックツールとして人気を高めた理由の一つに過ぎません。 電話フォレンジックにおける確かな評価により、世界中の多くの調査官にとって頼れるソリューションになっています。
本記事では、Belkasoft X のモバイルフォレンジック機能を紹介し、デジタルフォレンジックとインシデント対応の両面で、 携帯電話やタブレットのフォレンジックにおいて Belkasoft 製品が主要なツールとなり得る理由を解説します。
Belkasoft X
Belkasoft X(Belkasoft Evidence Center X)は、コンピュータ、 モバイル、ドローン、車載、クラウドのフォレンジックに対応する Belkasoft のフラッグシップツールです。 幅広いモバイルデバイスの取得と解析、各種分析タスク、ケース横断検索、アーティファクトのブックマーク、 レポート作成を支援します。多用途な機能により、モバイルデバイスフォレンジックに理想的で、 重要データの収集を支援します。無料トライアルは https://belkasoft.com/trial から利用できます。
Belkasoft R
Belkasoft R(Belkasoft Remote Acquisition)は Belkasoft X Corporate の一部であり、 各種デバイスや選択アーティファクトのみといった部分イメージを、 フォレンジック的に妥当な形でリモート取得できるツールです(コンプライアンスや eDiscovery にも適合)。 本製品にはモバイルデバイスのリモート取得というユニークな機能があり、 モバイルフォレンジックのワークフローに価値を加えます。Belkasoft X Corporate の無料トライアルは https://belkasoft.com/x-corporate-editions から入手できます。
モバイルフォレンジックにおける Belkasoft のサポート概要
モバイルデバイスに取り組む最初の、そして最重要のステップの一つがデータ取得です。 データが取得できなければ解析はできません。Belkasoft X は、スマートフォンやタブレットを含む 最新のポータブルデバイス取得を強力にサポートし、モバイルデバイスフォレンジックに不可欠なツールとなります。
Belkasoft X は、最も広く使われる2大プラットフォーム(iOS系、Android系)に対して 複数の取得方式をサポートします。 Microsoft(Windows)フォンにも対応しますが、すでに製造終了のため本記事では割愛します。
iOS と Android では取得時の特性が異なります。標準バックアップ機構として、 iOS は iTunes、Android は ADB があり、AFC や MTP/PTP によってメディア抽出も可能です。 ただし iTunes と ADB は提供できる情報量が非常に限られます。より包括的なイメージ(例えばファイルシステム)を 必要とする場合、多くはルート化やジェイルブレイク、エクスプロイトなど メーカー非推奨の方法が必要で、デバイスやチップセット固有の手法になることがよくあります。
そのため、モバイルフォレンジックではツール内に複数の取得方式があることが重要です。 これにより、まずはより簡便で安全な方法から着手できます。
Belkasoft X の優れた点は、最も非侵襲的で安全な手法から始め、 より包括的(ただしリスクの高い)手法へと段階的に進められることです—これはモバイルデバイスフォレンジックで極めて有用です。
iOS 取得のサポート
iOS では、Belkasoft X は iTunes バックアップ取得をサポートし、ロック解除不要の「ロックダウンファイル」利用という興味深い機能にも対応します。 また、Apple File Conduit(AFC)プロトコルによるメディア取得も可能です。 さらに重要なのは、Belkasoft X が一部の iOS デバイスに対して 未知のパスコードのブルートフォースを実行できる点で、電話フォレンジックで不可欠な機能です。
より興味深いのは、脱獄済み端末の取得や Checkm8 ベースの取得、 さらにはエージェントベースの取得など、 高度な手法を用いてフルファイルシステムやキーチェーン(パスワードの内蔵ストレージ)まで取得できることです。 明確にしておくと、Checkm8 もエージェントベースも「脱獄」ではないため、 多くの国で証拠に対して脱獄が法的に不可能な状況でも、よりフォレンジック的に健全な取得手段となります。 これは安全なデータ取得が最優先となるモバイルデバイスフォレンジックに不可欠です。
当社のエージェントベース取得は、多くのお客様に評価された Belkasoft X の強みの一つです。 同等の機能を提供するツールは多くありません。Checkm8 は対象機種(A5〜A11 チップの iOS デバイス)に制限がある一方、 エージェントベースは最新 iPhone にも対応し、サポートする iOS 範囲も iOS 10 まで遡るなど非常に広いのが特長です。
Checkm8 に関して、Belkasoft X は競合にない付加機能を提供します。例えば、 USB 制限モードの解除が可能です。 これは、最後のロック解除から1時間後に Lightning ケーブル経由のデータ転送を無効化する iOS のセキュリティ機能です。
他にも、画面キャプチャの自動化やクラッシュログ抽出といった取得に対応しており、 限定的ながら、捜査に関係する最新の IP アドレスなど有益な情報を得られる場合があります。
Belkasoft X による iOS 取得の詳細は、https://belkasoft.com/webinar にあるウェビナーをご覧ください。 「Previous webinars」タブには、ロックされた iPhone の捜査や iPhone の USB 制限モード回避などの録画が掲載されています。
Android 取得のサポート
Android では、Belkasoft は標準の ADB バックアップ作成と、ADB に基づく複数の取得方式をサポートします。 注目すべきはAPK ダウングレード取得で、オリジナルのアプリ(例:WhatsApp)を 旧バージョンに置き換え、ADB バックアップでより多くのデータを取り込めるようにします。 これは、従来アクセスできなかったデータに到達できるため、モバイルフォレンジックのブレークスルーです。 最終的には元のアプリバージョンに復元されます。
Belkasoft X による ADB ベースの別手法として、 画面キャプチャの自動化があります。 これはおそらく最も安全な抽出方法であるため、よりリスクの高い方法を試す前に、 ケースや取得の出発点として検討できます。先述の通り、モバイルデバイスフォレンジックでは非侵襲的手法が重視されます。
新しい取得方法として、2024年3月1日の Android セキュリティパッチが適用されていない Android 12/13 デバイスにおいて、 内部ファイルシステムの ..data\data 以下にあるアプリフォルダへのフルアクセスが可能です。 これは端末を root 化せずに制限を回避でき、APK ダウングレードの強化版とも言えます。
総じて、この強化されたアプリ取得を論理的オプションと併用することで、 Android 12/13 からのデータ捕捉がより徹底され、フォレンジック上関連するアプリデータのつながりを把握しやすくなります。
Belkasoft X は、特定ベンダー/チップセット固有の Android 取得もサポートします。 Spreadtrum、MTK(MediaTek)、Kirin、Qualcomm ベースのデバイスに対応し、 MTK ではエージェントベース2種を含む最大3つの方法、Qualcomm では EDL(Emergency Download)モードに対応します。
また、root 化端末の取得や TWRP 抽出の解析、JTAG イメージやチップオフダンプの解析、 他社ツールのイメージやベンダー独自形式の取り込みにも対応します。 例えば、Belkasoft X でHiSuite バックアップや Xiaomi イメージを解析できます。 こうした幅広い取得方式のサポートにより、Android におけるモバイルフォレンジック調査に極めて有効です。
Belkasoft X による Android 取得の詳細は、https://belkasoft.com/webinar にあるウェビナーをご覧ください。 「Previous webinars」タブには、Android スマホの捜査:Belkasoft X による抽出と分析等の録画があります。
SIM カードのクローン作成
Belkasoft X は、ハードウェアの SIM リーダー、または Android 端末では端末側の機能を用いて、 SIM カードの内容全体をコピーできます。SIM には電話番号以外にも、加入者識別(IMSI)やネットワーク固有データ、 時に連絡先や SMS など、重要なフォレンジック情報が含まれます。電話番号追跡、メッセージの復元、本人確認が鍵となる案件で有用です。
クラウドフォレンジック
クラウドフォレンジックはモバイルフォレンジックとは性質が異なりますが、 モバイルから得たデータを補完・裏付けできます。本記事の主題ではないため詳細は割愛しますが、 モバイルの捜査で役立つ Belkasoft X の便利機能を2つ挙げます。
- WhatsApp ダウンロード(QR コードの有無を問わず)。WhatsApp の抽出は難易度が高く、手段が多いほど価値があります。
- iCloud ダウンロード。iPhone からの取得ができない場合、端末がバックアップした Apple のクラウドがデータソースになり得ます。
これら(および他の多くの機能)は、Belkasoft X でクラウドソースをケースに追加した際に利用可能です。 クラウドデータは、端末からの取得で生じた空白を埋め、モバイルフォレンジックを補完することがよくあります。
モバイルアプリケーションの解析
これでデバイスのイメージ化に成功しました。おめでとうございます! 次は イメージ内容の解析に取り組みます。
現代のスマートフォンには数百万のアプリがあり、その解析を自動化しなければ ケースログは膨らむ一方です。Belkasoft X は WhatsApp、Signal、Telegram、Instagram、TikTok、 Viber、Tinder、Pinterest など、 1,500以上の主要アプリやバージョンをサポートします。アーティファクトの自動抽出機能により、 モバイルデバイスフォレンジックの強力な味方となります。
多くのアプリはデータを SQLite に保存しますが(SQLite の 解析は別テーマ)、単に DB ビューアで開けば済む話ではありません。 フリーの DB Browser for SQLite(そして多くのフォレンジックツールでさえ!)は、 フリーリストや WAL(Write-Ahead Log)・ジャーナル、未割当領域の削除データを復元できないことが多いのです。 さらに多くのアプリは強力な暗号化により、鍵なしではデータベースを開けないようにしています。
Belkasoft X は、複数バージョンの WhatsApp を復号・デコードでき、 端末の root は不要です。Android 12/13 向け手法で復号鍵を抽出できます。 iOS の Signalも難物ですが、 フルファイルシステム取得とキーチェーンの確保(または他社取得で鍵がある場合)により解析可能です。
Belkasoft X の UI では、オーディオ、チャット、ドキュメント、写真・動画、位置情報、 暗号資産ウォレットとトランザクション、フィットネスや睡眠、心拍などの各種アーティファクトを見やすく整理します。
他ツールが一案件につき一台のみのことが多いのに対し、Belkasoft は必要なだけ端末を追加できます。 これにより「鳥瞰図」とも言えるコネクショングラフで、 関係者や異なる端末間の通信(チャット、SMS、ボイスメール、通話、メール)を可視化できます。 さらに、端末種別に関わらずデータセット間の関連付けができ、これは競合にはない機能です。 本来であれば、異なる製品間で形式が合わないなど、ユーザー A のモバイルとユーザー B のラップトップの相関付けは 困難かつ時間のかかる手作業になりがちです。
Belkasoft X の内蔵マップで、モバイルで撮影した写真など位置情報を確認
モバイルフォレンジックにおける Belkasoft の利点
Belkasoft が、著名なデジタルフォレンジック専門家やインシデントレスポンダーに モバイルデバイスフォレンジックの第一選択肢として支持される理由は多数あります。例えば:
- Checkm8 やエージェントベースなど、高度な方式を含む堅牢な取得サポート
- モバイルフォレンジックを広く網羅する、幅広い対応端末
- フォレンジック的に妥当なモバイルデバイスのリモート取得
- Belkasoft X が標準で対応する多数のモバイルアプリとアーティファクト
- 非常に手頃な価格:競合他社のモバイルフォレンジック製品より大幅に低価格
- サブスクではない永久ライセンス
Belkasoft を試してみませんか?
この記事を読んで Belkasoft のツールを試してみたいと思ったら、 https://belkasoft.com/trial からダウンロードできます。 Belkasoft X のインストーラには、コンピュータおよびモバイルのサンプルイメージが含まれています。
より高度なイメージで試したいですか? BelkaCTF 2(「Drugdealer case」)に挑戦してください。 Android フォレンジックに特化したケースで、Belkasoft X の実力を実感できます。 最難関の課題でも数分で解けることに驚くはずです。モバイルフォレンジックの実践例として最適です。
フルの CTF に時間が取れない場合は、コミュニティから寄せられる難問に答える 短編 BelkaTalk 動画をご覧ください。モバイルデバイスフォレンジックに特化した回もあります。