ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Documents > Apple File System(APFS)の解析
«  |  Documents トップへ

Apple File System(APFS)の解析

APFSシステムのデータ取得(イメージング)

解析者がAPFSを使用するシステムに直面すると、システム上ではAPFSコンテナが表示され、その中にいくつかのボリュームが存在する可能性があります。
コンテナ内のAPFSボリュームは従来のmacOSボリュームではないため、個別にイメージングすることはできません。
また、APFSコンテナ、またはコンテナが含まれる物理ディスク全体をイメージングする際、もし暗号化されている場合、
結果のイメージファイルには暗号化を含めた現状のボリュームが含まれます。
MacQuisition 2018 R1では、復号したボリュームからのデータコレクションと暗号化された物理ディスクのイメージングをサポートしています。
BlackLight 2018 R1によるAPFSの解析方法をご紹介する前に、上記の2つのイメージング方法をご紹介します。

 

まずMacQuisition 2018 R1を開き、Image Deviceを選択します。

MacQuisition上ではメモリ、1つのAPFSコンテナと1つのディスク、ストックボリューム(Macintosh HD、Preboot、Recovery、VM)が表示

 

ディスクの詳細は以下の通りです。

disk0 - APFSコンテナが含まれていることを示す物理ディスク(赤文字
disk1 - disk1はdisk0に格納された合成APFSコンテナです。 macOSはこの合成されたデバイスを個別の仮想ディスクエントリとして表示しますが、
実際Macには物理ディスクは1つしかありません。
disk1s1(Macintosh HD) - 「ENCRYPTED APFS (LOCKED)」は暗号化されていることを示しています。
macOSはそれを/ dev / diskデバイスとして表示しますが、実際のブロックデバイスではないため、単独でイメージングすることはできません。

 

この時点で解析者は、暗号化された状態でdisk0をイメージングするか、APFSコンテナの暗号を解除して論理ファイルをイメージングするかを選択できます。

 

暗号化されたボリュームの復号

解析者が暗号化されたボリュームをプレビューしたり、論理ファイルをイメージングする場合、最初にそのボリュームを復号する必要があります。


Macintosh HDボリュームを復号するには、[Tools]に移動し、[Mount Device]を選択します。

パスワード入力による暗号化を解除

 

解析者は、有効なパスワードまたはMacのリカバリーキーを使用してボリュームの暗号化を解除することができます。


入力が終わったら、[Unlock]をクリックします


イメージデバイス復号成功メッセージの表示

 

復号が成功すると、ユーザーはイメージデバイス画面に戻ることができます。

※disk1s1は復号されたことを示していますが、ユーザーはまだそのボリュームだけをイメージングできません。
論理ファイルをイメージングするために「Data Collection」を選択するか、ディスク全体をイメージングする必要があります。

 

 

復号されたファイルのみイメージング

暗号化されたAPFSパーティションの復号された部分だけのイメージングは不可能なため、
MacQuisition 2018 R1は、選択したファイルを「フォルダ構造を維持したまま」、または「Macのスパースイメージ」としてイメージングすることができます。


復号された論理ファイルをイメージングするには、「Data Collection」を選択します。

ユーザーは取得するファイルまたはフォルダを選択可能

 

物理デバイスのイメージング

論理ファイルのイメージングが完了した後、ディスク全体をイメージングするために「Image Device」を選択することも出来ます。


「Image Device」に戻り、disk0を選択します。

「Imaging in progress」
にはコメントを入力可能

 

「Comments」ウィンドウでは、解析者が、ユーザーパスワードやリカバリーキーを入力し、後でBlackLightへイメージファイルを取り込む際に確認できます。

 

APFSのエビデンスをケースに追加

BlackLight(MacまたはWindows)を実行しているPCでは、ケースファイルを作成または開くことができます。


「Add Evidence」をクリックし、MacQuisitionで作成したイメージファイルを選択します。

グレー部分のAPFSコンテナを示すエビデンスを追加

 

上記画像では、APFSコンテナのグレー部分内のボリュームに注目してください。
APFSの解析は、WindowsとMacの両方のシステムで動作するBlackLight 2018 R1に組み込まれています。

 

Macintosh HDの横にあるチェックボックスをクリックして、パスワード入力画面を開きます。

暗号化されたパーティションの場合、ユーザーはパスワードまたはリカバリーキーを入力して復号可能

※リカバリーキーを使用している場合は、すべて大文字で入力し、” - “を含めてください。

 

ボリュームが復号されたら、さまざまな処理オプションを選択し、「Start」をクリックします。

※APFSでは、「Add Evidence」オプションウィンドウから未割り当ての領域を選択し、カービングする必要があります。
未割り当て領域が選択されていない場合は、ディスクを再度追加し、未割り当て領域を選択し直す必要があります。



復号されたAPFSパーティションの「Ingestion Options」

 

解析が終了すると、解析者はコンテンツのレビューを開始し、ファイルシステムが期待どおりに表示されていることを確認することができます。

解析後、いつものようにレビュー、タグ付け、報告が可能

 

解析者は信頼性の高いイメージングツールと解析ツールを合わせて使用する事で、今後遭遇する可能性が高いAPFSデバイスの解析を行うことができます。
APFSが解析にどのような影響を与えるかについての詳細情報は、[you can view our ASK the Expert Webinar on APFS here]をご覧ください。