ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > AXIOM CLOUD機能を使用したクラウド解析とその有用性について
Articles トップへ  |  »

AXIOM CLOUD機能を使用したクラウド解析とその有用性について

 

まえがき


従来は、電子データのほとんどがPCやスマートフォン端末内に保存されており、端末を調査すれば証拠を見つけることができました。
しかし昨今では、各社クラウドストレージサービスをはじめ、FacebookやTwitter等のクラウド上にデータが保存されるケースが増加し、端末の調査だけでは不十分なケースも出てきました。
例えば、クラウドストレージサービスをPCやスマートフォンを介して利用し、クラウド上に不正なデータを保存していた場合、端末内部にはほとんど情報は残らないため、端末の調査だけで不正を立証することは非常に困難です。
このことから、調査対象者が保有するクラウド上のデータを調査する必要があり、そのためにクラウドのアカウントへアクセスする手段を確保する必要があります。
そこで、AXIOM等のクラウドデータを収集・解析することができるフォレンジックツールが必要となります。
今回は、AXIOMがどのクラウドサービスに対応しているのか、どのようにデータを収集するのかをご紹介します。

 

 

AXIOMが対応しているクラウドサービス


現在AXIOMが解析に対応しているクラウドサービスは以下になります。(2019年6月現在)

 

  • Apple
  • Box.com
  • Dropbox
  • IMAP / POP Email
  • Facebook
  • Google
  • Instagram
  • Microsoft
  • Slack
  • Twitter
  • WhatsApp

 

 

現在は上記サービスに対応していますが、今後のアップデートで更に増えていく可能性があります。

 

 

クラウドデータ取得


AXIOMでは2つの方法を使用してクラウドデータを収集することができます。
1つは、アカウント名、パスワード等の認証情報を使用する方法です。
この方法は単純でわかりやすいのですが、対象アカウントを特定し、パスワードを入手しなければならないという大きな課題があります。

 

 

もう1つはトークンを使用する方法です。
トークンとは、簡単に言うと、端末からクラウドアカウントにアクセスするための鍵のようなものです。
このトークンを使用することで、アカウント名やパスワード、二重認証等の情報を必要とせずクラウドアカウントにアクセスすることができます。
このトークンは、スマートフォンの中に格納されていることがあります。
スマートフォンのデータを物理取得した際のデータの中にトークンがあった場合、AXIOMはトークンを「クラウド」アーティファクトの「クラウドのパスワードおよびトークン」カテゴリに分類します。


 

このカテゴリ内には、クラウドアカウントへアクセスするためのパスワードおよびトークンの情報が分類されます。
トークンは「1/LGxdl0jo6s4d9oZz6mWVmv118wMky1-rAmnPuT9KcdU」のような文字列で、各クラウドによって長さや規則が異なります。
トークンを見つけたら、そのアーティファクトを右クリックし、「パスワード/トークンを使用して、新しいクラウドエビデンスを追加します」オプションを選択します。

 



すると、AXIOM Processが起動し、認証情報なしにクラウドアカウントへアクセスすることができます。

 


ただし、このトークンには有効期限があるものもあり、トークンがその時には使用できなくなっている可能性があります。
その一方で、Googleアカウントのトークンのように、パスワードが変更されない限り有効期限がないと思われるトークンもあります。

 

また、トークンを使用した場合、一部サービスにアクセスできないこともあります。

 

このように、AXIOMでは2つの方法からクラウドデータにアクセスをすることができます。

それぞれのメリット・デメリットを理解し、データを収集しましょう。

 

※オンラインのパスワード保護されたデータを見に行っているので、同意なく行うと不正アクセス禁止法に触れる恐れがあります。

 

次回は、クラウドデータの取得方法についてご紹介します。