ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > Acquisition of Macintosh(1)
«  |  Articles トップへ  |  »

Mac(HFS+/APFS)のメタデータ情報


前回の記事では新しいMacに搭載されたT2チップや強化されたFileVault2に関しての記事を書きました。
第5回目となるMacの記事の内容は、タイトルにもある通りMac(HFS+/APFS)で使われているメタデータ(Metadata)について書いていこうと思います。
ただ、全てを書くと恐ろしく長いものになりますし、調査時にあまり必要のないメタデータなどもあるので、ピックアップして書きたいと思います。

 

 

 

メタデータとは?


先ずはメタデータに関して簡単に説明したいと思います。

 

メタデータとは、データ本体とは別に付与されたデータのこと。
例えば、.docxなどの文書データであれば、作成日や更新日、作成者などが該当しますし、.jpgなどの画像ファイルであれば、撮影に使用した記録媒体や撮影日時、撮影場所といった情報のことを言います。
このメタデータは、データを管理したり、ソートしたりする際に使用され非常に重要なデータです。

下の画像は.docxファイルと.pngファイルのプロパティの画像です。

 

[図1].docxファイルと.pngファイルのメタデータ情報

 

 

 

ツールを使わないでメタデータを確認する場合、Macでは主に2つの方法があります。

 

GUIでデータを確認する方法

こちらの方法は上の画像と同じ確認方法ですね。普段から使用している方も多いかと思います。[右クリックメニュー]>>[情報を見る]から確認することが可能です。こちらのプロパティで確認できる情報はほんの一握りです。よく確認するプロパティだけを表示しているような状態ですね。Macの場合は、ファイルのメタデータ情報だけでなく、表示に対応しているファイルであれば、プレビューの項目で中身を確認することもできます。

 

[図2]右クリックメニューの「情報を見る」

 

 

CUIでデータを確認する方法

Macのアプリ[Terminal.app]を使ってコマンドを入力してメタデータを確認していく方法ですね。使用するのは[mdls]コマンドです。こちらは右クリックメニューと比べるとあまり馴染みがないかもしれませんが、非常に多くのデータを見ることができるコマンドなので覚えておくといいかもしれません。

 

[図3]コマンドを使ってメタデータを確認(抜粋)

 

このコマンドを使用して実際の保全イメージからエクスポートしたデータを見ることはないと思いますが、演習やデータ形式の確認などに於いては非常に有用です。図2のGUIで確認したプロパティと比べても情報量が多いことが確認できます。
※図3の画像は一部抜粋です。

 

 

 

 

 

Macのメタデータを見てみよう!


メタデータの概要と、確認方法をおさらいしたところで早速実際にメタデータの詳細を見ていきましょう。
因みに、今回使用しているMac端末のモデルとOSのバージョンは以下の通りです。

・iMac 2017モデル

・macOS Mojave 10.14

 

今回、確認のために用意したのはこちら。あるスクリーンショットのメタデータです。画像にもたくさんのメタデータが付いているのが確認できると思います。

 

[図4]mdlsコマンドによるスクリーンショット(png)ファイルのメタデータ(全体)

 

このメタデータの中で、調査時に特に有用なもの上から順番に確認していきましょう。

 

[図5]ファイルの作成、更新、追加日時


まず [kMDItemContentCreationDate][kMDItemContentCreationDate_Ranking][kMDItemContentModificationDate]の3つから。前者2つはファイルが作成された時間情報を保管しています。特徴的なのは、[Ranking]の文字がついた値は作成された日付だけを保持しています。残るもう1つはファイルの中身を更新した際の日時が保管されています。これらのメタデータはよく目にしますし、名前からもわかりやすいメタデータですね。

 

そして少し下にある [kMDItemDateAdded][kMDItemDateAdded_Ranking]というメタデータ。Mac特有のメタデータであると共に、非常に役に立つ情報です。この日時情報は、あるファイルがMac上のディレクトリに置かれた際に記録されます。なので、このファイルはいつからこのMacにあるのかといったデータの流れを追いたい場合に有効です。記録される例としては、Webからダウンロードしてきたファイル、メールの添付ファイル、外部ストレージからMac端末上にコピーしたなどが挙げられます。

 

 

 

さらに下に行って、 [kMDItemFSContentChangeDate][kMDItemFSCreationDate]

 

[図6]mdlsコマンドで表示したメタデータ情報(一部)

 

それぞれ、ファイルの中身の最終変更日時と作成日時を保管しています。

続けて、 [kMDItemLastUsedDate][kMDItemLastUsedDate_Ranking]は、メタデータを確認しているファイルを最後に使用した日時と日付だけの情報をそれぞれ保管しています。


Macのメタデータではまだ日時情報を持っているものが確認できます。それが、[kMDItemUsedDates]になります。このメタデータは、選択しているファイルがいつ開かれたのかの履歴になっていて、日付までの情報ですが非常に有用なデータになっています。この画像では1つしか写っていませんが(後半で複数保持している画像があります)、複数保持してくれるものなので、このファイルやアプリケーションを何月何日と何月何日に使用していますね?といった使用者が普段使用しているものを追跡しやすくなっています。このデータは非常に調査に役立つので覚えておいた方がいいでしょう。

 

 

 

またもう1つ、有用なメタデータがあります。それが以下の画像の赤枠で囲ってある部分になります。

 

[図7]ダウンロードしてきたURLがメタデータに保存されている

 

MacではWebや、メールからファイルをダウンロードするとメタデータにURLが記録されるようになっています。もしWeb履歴やダウンロード履歴が消されていたとしても、ファイルに記録されているメタデータから追跡できる可能性もあります。ただし、プライベートウィンドウやシークレットモードなどを使用されていた場合は、残念ながら記録されないので注意が必要です。最近では、WindowsのADSの中にもダウンロード元のURLが含まれるようになっています。

そしてもう1つ、画像内で赤枠では囲っていませんが、 [kMDItemUseCount] という値があります。この値を確認することによって、そのファイルが何回使用されているのか確認することができます。しかし、記録されている回数の初期値が1ではないので注意が必要です。また、検証を何度も行ったのですが回数のカウントの法則はわかりませんでした。

 

今までの画像にあるメタデータはあくまでも一部です。対象となるファイルの種類やバージョン、状態によって、付属されるメタデータも変わります。下の画像はメールに添付されていたファイルのメタデータです。

 

[図8]メールに添付されていたファイルのメタデータ

 

赤枠で囲った部分を見てみると、[com_apple_mail_dateReceived][com_apple_mail_dateSent]といったタイムスタンプが確認できます。この画像では切り取ってしまっていますが、この他にもファイルが添付されていたメールの件名や送り主のメールアドレスなどもメタデータには記録されています。証拠隠滅のために連絡帳やメールを削除していても、ダウンロードした添付ファイルが現存していた場合メタデータから証拠を突き止めることもできるかもしれません。

この他にもメタデータはたくさんありますので、興味の出てきた方はmdlsコマンドを使用して、じっくりと検証してみましょう!

 

 

 

 

 

Macの証拠ファイルを提出する際はフォーマットに気を付けよう!


ここまで様々なファイルに追加されるメタデータを確認してきましたが、調査後にクライアントに証拠となるファイルを提出して欲しいと依頼された場合のメタデータに関する注意点があります。提出する方法には、使用したツールのケースを渡す、印刷して渡す、ファイルをUSBドライブなどにエクスポートして渡すなどの方法があるかと思います。この中で特に気を付けなければいけないのは、「USBドライブなどにエクスポートして渡す」場合になります。以前の記事でも解説したように、macOSではHFS+/APFSのファイルシステムが使われています。このファイルシステムは、対応アプリの入っていないWindowsなどではマウントすることができず、中身を確認することができません。USBドライブがHFS+/APFSでフォーマットしてしまうとWindowsで認識することが出来ず、クライアントが証拠ファイルを閲覧出来ないため、どちらでもマウントできるexFATなどのファイルシステムにする方もいると思いますが、ここが落とし穴となります。以下の画像をご覧ください。

 

[図9]exFATでフォーマットされたUSBドライブの中身(Mac使用)

 

 

[図10]exFATでフォーマットされたUSBドライブの中身(Windows使用)

 

図9と図10の画像は同じUSBドライブをWindows端末とMac端末それぞれに接続した際に撮ったスクリーンショットです。もし、調査を行ったMac端末の証拠ファイルをWindowsでも見れるようにexFATなどのファイルシステムでフォーマットされたドライブにエクスポートした場合、Macで管理されていたデータは[データフォーク][リソースフォーク]という2つのデータに分かれてしまいます。[データフォーク]の中身はデータ本体が格納されており、[リソースフォーク]には先までに見たようなメタデータが格納されています。一部のメタデータは他のファイルシステムに移したとしても確認できますが、Mac特有のメタデータは他のファイルシステムではこの隠しファイルとして表示されます。証拠ファイルとして渡されたドライブに、報告の2倍の数のファイルが存在したらどう思うでしょうか?証拠品の説明以外に要らぬ説明をしなければならないし、そもそもデータの証拠性を疑われる可能性もあるかもしれません。

 

もう1つ、メタデータの比較をしてみましょう。

 

[図11]リソースフォークを消してしまったファイルと元ファイルの比較

 

図11の画像は、提出する際に良かれと思ってリソースフォークを消してしまったファイルです。今回の記事で書いてきた[kMDItemLastUsedDate][kMDItemUsedDates]といった貴重な時間情報が欠落してしまっているのがわかります。これでは報告通りのデータを相手が表示できない可能性も出てきてしまうかもしれません。こういった事態を防ぐためにも、弊社ではMacの調査において、調査端末にはmacOS、データのエクスポート先のファイルシステムにはHFS+を使用することを推奨しています
※APFSを推奨しない理由は、High Sierra以前のOSの場合、APFSへの書き込みが対応していないためです。

 

 

今回の記事では調査で非常に重要な証拠となるメタデータについてとその扱い方の注意点にフォーカスを当てて書いていきました。Macのメタデータは数が多い反面、役に立つものもたくさんあります。是非覚えて調査に活かしていきましょう。