コラム第903号:「スマートフォンのデジタル・フォレンジックに関する分科会の報告」
第903号コラム:櫻庭 信之 理事(第一東京弁護士会 弁護士)
題:スマートフォンのデジタル・フォレンジックに関する分科会の報告
ここ数年、不祥事を調査した委員会の認定を裁判所が覆した判決や、第三者委員会の調査判断等も第三者委員会委員の不法行為となりうるとした判決などの民事裁判が注目されています。
こうした不祥事調査時のヒアリングで得られる関係者の供述は、責任を問われる者(調査対象者等)側からの反対尋問を経たものではなく、偽証罪の制裁もないため、誤認の危うさがないとはいえません。供述態度が真摯で、話の内容も具体的、前後の辻褄も違和感がなく、話を聞くかぎりこの人の供述は真実だろうと我々調査者側がヒアリングの場で信じても、後にフォレンジック結果との一部、あるいは完全な矛盾を知ることがあります。それは、立ち位置や視野の違い、意見混在のせいで意図的ではないと思う一方、中には、一部関係者間での事件後のすり合わせ、表に出ない利害関係・利益相反等の背後事情、調査開始のアナウンスで後の懲罰を予期しスケープゴートを作り出す心理、重要事実の意識的な不供述による誤認誘発、さらには事後アンケートへの目的的な回答や伝聞を体験事実のように記載した回答など問題が錯綜することがあります。供述の証拠としての弱さから客観証拠の裏付けが重要になりますが、第632号コラムでは、一見すると客観証拠にみえる写しやスクリーンショットが示され、改ざんを見抜けなかった監査・審査の著名事件を紹介しました。
対して、問題の行為・出来事をリアルタイムに機械記録したデータのフォレンジック調査は、プロセスが適切であるかぎり、周知のように極めて高度に客観的で、バイアスを排除し説得力のある事実認定を可能にします。上場企業等で第三者委員会が設置される重大な不祥事事案では、フォレンジック調査は特段のケースをのぞき今やほぼ必須といえます。
重要証拠のフォレンジック対象は、以前は職場のPCに比重がありましたが、近時、事案によってはスマートフォンが重要証拠の保管元となるケースが増えています。そこで、本(2025)年7月3日開催のIDF法曹実務者分科会(第22期第2回)では、iPhoneを中心に、民間向けのスマートフォン・フォレンジックについて解説いただきました。その内容は分科会参加者以外にも広く共有されるのが有益と思料されたことから、一部ですが、本コラムで紹介する次第です。
1 保全解析のトレンドはバックアップからFFSへ
スマートフォン調査では従来バックアップデータ保全が一般的であったが、バックアップから保全できるデータは端末保有情報の一部にすぎず、全体の概ね2~10%にとどまる事例が多い。それに対し、現在スマートフォン調査で威力を発揮しているのはフルファイルシステム(FFS)に対する保全である。FFSの場合、バックアップに含まれない種類のログ、スマートフォンの画面から見えないファイル、システムファイルなど、ツリー構造で示されるほぼすべての論理データが保全対象となる。ある例では、バックアップデータのみの解析で得られたデータ数は約7千件に対し、同じ端末のFFSの保全では約59万件のデータ数が得られた。Telegram、Signalなども、FFSの保全では現存メッセージを平文でみることができる。
なお、ご存知のように調査の手続・使用ツールその他各種の点で法執行機関と民間とでは異なっている。企業や個人のための調査の際も、後日問題にならないよう適法性確保に注意する。
2 物理保全からライブの論理コピーへ
物理保全がフォレンジックの理想であることはスマートフォンに比重がシフトしても変わらないものの保全時の制約に留意が必要である。たとえば現代のiPhoneでは、端末固有の内蔵鍵(UID)とパスコードの組合せから導出のルート暗号鍵を頂点とする階層的な鍵の仕組みでファイルの暗号化がなされる。端末固有のUIDは、システム・オン・チップ(SoC)内のヒューズに焼き込まれており、値をソフトウェアから直接読み出すことはできない。これらUID ・ルート暗号鍵等は、セキュア・エンクレーブ・プロセッサ(SEP)管理下のハードウェアAESエンジンを通じた暗号処理にのみ利用される。これまではBitLocker、FileVaultなどのボリューム暗号化キーの忘失等に対処するための回復キーが出力されたが、一般的なスマートフォンではユーザの保持を前提とする回復キーはない。チップオフやJTAG(IEEE 1149.1)を試みても、スマートフォンのセキュリティ技術の向上に伴い、暗号化キーを取得してのデータ復号は極めて困難になっている。
FFSのデータ抽出では脱獄がかつてよく活用されたが、上記のとおり端末自体のブートチェーンやSEPを含むセキュリティ機構の強化により、端末が起動しなく(しかも再起動不能や修復不能と)なる、いわば書道で半紙を押さえるくらいにしか役立たなくなるスマートフォンの文鎮化リスクがある。
こうした現状から、1ビット単位まで相違のないクローンを求める完全性の要請は後退した。もっとも、合理的な範囲で完全性を可能なかぎり保持すべき原則は変わらないため、端末の起動状態を維持し、データの復号処理をSEPに代替させつつ、端末への変更を最小限にとどめるライブ保全が多くの現場で実践されている。 変更を抑制する電波遮断の措置に関しては、近年通信方式や電波出力の変化のため、ファラデーバッグを一重にしただけでは電波を通してしまうことがあり注意する。
3 MDM
MDM導入の企業が増えたが、スマートフォンを含むモバイル端末がMDMに登録されている場合、調査は、管理権者から秘密鍵と証明書(X.509)を得ることで(例外はあるが)技術的には比較的スムーズに進められることが多い。一方、管理者を関与させない調査の場合、警告や通知だけでなく、データの自動消去にも注意する。
4 FFSの保全例
(1) WAL
LINEやMessengerなどのアプリで利用されるSQLiteでは、設定により変更内容が一時的にWALファイルに記録され、原本データベース(DB)に未反映のままになる。最新データを把握する際はWALの内容を反映して両者を一体的に扱うが、削除済みメッセージなど最新DBに含まれないデータが原本DBに残存し、WALと別個に解析することで復元可能な場合がある。
(2) データカービング
チャット履歴などのデータは、削除するとSQLite内のメッセージ(レコード)が削除され、対応インデックスからも消去されるためアプリからのアクセスは不能になるが、SQLiteには削除後も上書きされるまで完全に消去されずに残る未割当て領域がある。この領域から特定のデータパターン(チャットメッセージ等)の断片を抽出するデータカービングにより、削除済みのメッセージやファイルを復元できる場合がある。原本DBと別に管理されるサムネイルは画像や写真の原本削除後も残存することがあったが、近年のiPhoneでは削除により痕跡が残りにくく、カービングを試みても検出困難である。
(3) 通知
スマートフォンの通知機能には、特定のアプリを削除した後でも、そのアプリから発信された過去の通知履歴が端末内に残存している場合がある。チャットアプリでは、連絡先ショートカットやLINEの会話相手、ルーム名、送信者名、メッセージ本文の一部などが通知やファイルシステム内に残存することもある。
(4) iOSスナップショット
iOSでは、アプリ切替え時などをトリガーに、チャット画面や閲覧ページを再開時に利用するためスナップショットとして自動保存する。一方、これらのスナップショットは情報がマスキングされることがあるが、その場合でもSafariではタブキャッシュの保存を確認できるなど、有効なデータが残る場合がある。
(5) 転送によるデータの隠匿
隠し撮りした営業秘密の画像をスマートフォンから削除するのに先行し、転送によるデータの隠匿が行われるケースがある。クラウドストレージの解析以外でもデバイスの各種ログから、使用者の所有する他デバイスの情報などが手掛かりとなる。たとえばiPhoneで使われるAirDrop 等のファイル転送履歴は、状況によりsysdiagnoseなどの診断ログとして保存される。これによりFFSでの保全を行わずとも適切な手段で取得・調査が可能な場合がある。
(6) 時系列の再構成
iOS/iPadOSをFFSで保全した場合、以下の3つの特徴的なログが調査可能になる。(本コラムでは詳細は割愛するが)いずれもモバイル「アプリ」とモバイル「デバイス」に関連し多彩な情報が得られる。
① KnowledgeCログ
KnowledgeCログからは概ね直近28日程度の情報が得られる。ただし、次のBiomeへの移行に伴い、KnowledgeCに含まれる情報の種類は減少傾向にある。
② Biomeログ
KnowledgeCから移行しつつある次世代ログ基盤。KnowledgeCとほぼ同様の情報を保持しつつ、他に同期されたデバイスの情報を含むなど、より広範な直近30日程度の使用状況を記録する。
③ Powerログ
バッテリーと電源管理に関するログだが、ユーザの物理的な行動を推測させる情報となりうる。
5 クラウド情報との統合
スマートフォン・フォレンジックで保全された情報は、クラウド上のデータとの総合で一層高精度な解析が可能になる。
6 証拠の真正性の検証
たとえば事故状況の録画や画像などが提出されてもその内容からはフェイクと見抜けないことがある。この場合、海外では、証拠提出者に原本データを提示させ、ファイルの受領者側は、相手が原本と称したファイルの構造的な諸要素を照合する手法がとられている。スマートフォンのカメラで撮影したデータであれば、画像データはスマートフォンの規格に応じた情報を帯びる。音声や映像の例では、ストレージやネット回線の利用上あらかじめデータを圧縮したり、あるいは再生用に各種のデバイスやソフトウェアに応じたデータ伸張やフォーマットがなされる。外部送信やプロバイダの処理等で削除・変更等されていなければ、画像・動画は撮影に使った機種(iPhoneなど)や、固有の圧縮率、伸張率等の数値は、証拠提出者が主張する撮影等の方法と整合するはずである。特徴的なパターンを示すこれらのシグネチャには、圧縮率、伸張率だけでなく、コード、ハッシュ値なども含まれる。ChatGPTなどの生成AIは、今や誰でも手軽に使えることもあり証拠の捏造等問題になるが、上記に加えブラウザ履歴やアプリログなどの周辺情報と組み合わせることで、画像・動画の生成履歴や、チャットアプリにおける加工編集等がわかる。
7 位置情報
スマートフォンには位置情報が記録されることから、問題の日の本人の電車移動その他の足取りを時間経過とともに地図上で移動経路を再現することができる。たとえば当日のタクシー・電車・飛行機の利用、問題の出来事の直前行動など、さまざまなケースで活用されている。
8 キーボードの学習辞書
iOSでは辞書学習機能が働く。キーボードの入力履歴に基づく変換候補として、特定の出来事を示すキーワードが自動表示され、ある用語をiPhoneの所有者が入力していた事実が判明する。辞書は使用言語別に学習されるため、たとえば特定の外国語が自動表示された場合、スマートフォンの所持者は当該外国(語)との関わりを疑わせ、また、「渡辺」「渡邊」「渡邉」など区別して学習されることから、変換候補の表示は特定のワタナベとの関わりを推認させる。ある出来事に実際に関わった本人しか知らない秘密の暴露的なキーワードや、デバイスの所有者の事前計画を示唆する言葉が表示され、デバイスの所有者を特定の出来事と結び付ける。
9 フリーツールの課題
スマートフォンのセキュリティ機能の絶え間ない進化は、必然的に、フォレンジックツールにも対応維持のための継続的なサポートを必要とする。メンテナンス費用の負担、さらには高額化も生じ、とりわけフリーツールは課題に直面する。
以上、分科会講演の一部を紹介させていただきました。内容の共有をご快諾いただいた砂原圭太講師には御礼を申し上げます。なお、スマートフォンやフォレンジックツールの仕様・機能・性能等はしばしば変更され、また、事案の性質・個別事情、調査手法、ツールとその使用の態様・方法、証拠の状態、状況・条件その他により相違が生じます。本コラムは筆者櫻庭の文責ではあるものの、講師・筆者ら個人、およびその所属する各組織・団体(IDFを含む。)の法的意見や保証等ではないことをお含みおきいただければ幸いです。
【著作権は、櫻庭氏に属します】
