IoTフォレンジック 入門 -IoTフォレンジックとは-

(この記事は2021年3月22日に公開されました)

こんにちは、フォレンジック課の坂田です。

今回はIoTデバイスのフォレンジック、「IoTフォレンジック」についてご紹介していきます。

一般的なデジタルフォレンジックでは主にセキュリティ事故（インシデント）の発生したコンピュータ端末・サーバを解析・調査をしていきます。最近では、オンプレミス環境のサーバだけでなくAWSやAzureなどのクラウド環境のフォレンジック調査やスマートフォンの調査も多くなってきました。

以前に弊社ブログでも、AWS EC2のフォレンジック調査(https://ierae.co.jp/blog/awsec2-hdd-analytics/)について紹介しました。

様々な環境のフォレンジック調査が可能になっていくなか、IoTデバイスのフォレンジック調査も需要が出てきていると考えられます。

IoT フォレンジックとは

現在IoTデバイスは日々多種多様な新しい製品が発売されています。

Amazon EchoのようなスマートスピーカーやApple Watchのようなスマートウォッチ、ルンバのようなお掃除ロボットは便利で導入がしやすいため利用者数が多くなってきました。そのようなIoTデバイスのフォレンジック調査を行い、様々な証跡を解析することをIoTフォレンジックといいます。

IoTデバイスをフォレンジック調査することの目的としては、IoTデバイスを狙ったマルウェア(MiraiやBashlite等)の調査や、IoTデバイスに記録されているユーザの行動履歴を刑事事件等の証拠として提供する為の調査が挙げられます。

IoTデバイスのマルウェア感染や不正侵入は数年前のMiraiを筆頭に問題になりましたが、IoTフォレンジックが事例として取り上げられる多くのインシデントは刑事事件等の証拠提供としての役割が多い印象です。

実際にIoTデバイスが刑事事件等の証拠として扱われた例として、Apple Watchから収集したデータを殺人事件の裁判の証拠として提出されたニュースが以下の記事です。

Apple Watch provides murder case clues - BBC News : https://www.bbc.com/news/technology-43629255

この事件では殺人事件の被害者がApple Watchを装着しており、Apple Watchによる心拍数計測の機能や加速度センサーによって記録された情報が、容疑者の主張と矛盾することが挙げられました。

このように、IoTデバイスは通常のコンピュータ端末やスマートフォンだけでは提供されないようなデータを様々な事柄の証拠として提供することが出来る可能性を秘めています。

世界的なフォレンジックに関するカンファレンス「DFRWS」では、2017年頃からIoTに関連する論文が増えており研究分野でも注目がされている分野の一つです。

https://dfrws.org/presentation/?paper_year=&search=iot

なかでも、2017年のDFRWS USA 2017で発表された「Digital Forensic Approaches for Amazon Alexa Ecosystem」はスマートスピーカーのAmazon Echoのフォレンジックのアプローチについて書かれた論文で、現在公開されているIoTフォレンジック関係の論文で最も引用・参照されている論文です。

Digital Forensic Approaches for Amazon Alexa Ecosystem - DFRWS : https://dfrws.org/presentation/digital-forensic-approaches-for-amazon-alexa-ecosystem/

また、今年の1月にオンラインで開催されたDFRWS APAC 2021でもスマートスピーカーのAmazon Echo Showのフォレンジック分析についての発表がされていました。

Forensic Analysis for AI Speaker with Display Echo Show 2nd Generation as a Case Study - DFRWS : https://dfrws.org/presentation/forensic-analysis-for-ai-speaker-with-display/

そのような一部で注目が集まっている、IoTフォレンジックと従来のコンピュータ・フォレンジックの違いやアプローチの仕方について考えていきます。

 

端末フォレンジック VS IoTフォレンジック

まず、IoTデバイスと従来のコンピュータ端末(またはサーバ)のフォレンジック調査の比較をしてみましょう。

項目	コンピュータ・フォレンジック	IoTフォレンジック
調査対象	ディスク、メモリダンプ、ネットワーク、各種ログ	デバイス上のメモリ、クラウド、ネットワーク、スマートフォンなど
証拠保全方法	HDD/SSDのクローン :(基本非破壊)	チップオフの場合は破壊する可能性する可能性、スマートフォン（クライアント端末）の証拠保全
フレームワーク	体系化されている	特定ベンダ固有のアーティファクト、体系化されていない
対応ツール	無償・有償ツール様々	CIFT(※)などが開発中

(※Digital Forensic Approaches for Amazon Alexa Ecosystem https://dfrws.org/presentation/digital-forensic-approaches-for-amazon-alexa-ecosystem/ にて紹介されたCloud-based IoT Forensics Toolkit、公開されている情報が少なく非公開のツール)

あくまで抽象的な部分での比較ですが、「フォレンジック調査」といっても対象のデバイス・事象によって調査アプローチが変わるかと思います。

 

IoTフォレンジックの調査範囲

IoTフォレンジックの調査対象は主に以下の3つの領域に分類されます。

• クラウドフォレンジック

• ネットワークフォレンジック

• デバイスフォレンジック

 

まず、一番我々の身近であるところのデバイスフォレンジックから見ていきましょう。

デバイスフォレンジック

デバイスフォレンジックは、IoTデバイスを操作するクライアント側の調査と、IoTデバイスそのものを調査する部分に分かれます。

クライアント側の調査では、IoTデバイスを操作するノートPCまたはスマートフォンのアプリケーションやWebブラウザの痕跡を調査します。

IoTデバイスをスマートフォンのアプリから操作することが多いので、調査対象としてはスマートフォンになることが多いかと思います。スマートフォンにインストールされているアプリケーションのログなどを解析し、利用者が「いつ」「何」をしたのかを調査・解析していきます。

IoTデバイス本体の調査は、デバイスをチップオフ（メモリチップを外す）してイメージを吸い出し調査する場合と、UARTやSPIなどのインターフェースからアクセスしイメージまたはファイルを吸い出して調査する場合があります。

IoTデバイスはLinuxシステムで動いている場合が多く、Linuxフォレンジックの要領で様々な証跡から調査が可能になります。

 

ネットワークフォレンジック

IoTデバイスはネットワークに接続し、様々な役割を果たします。ネットワーク経由でIoTデバイスをコントロールすることは多く、そのネットワークのダンプやログを解析することでデバイスフォレンジックでの調査結果を補完します。

また、対象のデバイスがIoTデバイスを対象にしたマルウェアに感染している場合は、ネットワークダンプはC2サーバとの通信の特定や不審な通信の特定にとても有益な情報となります。

クラウドフォレンジック

IoT製品のサービスは、IoTデバイスから様々な情報をクラウドに送信し処理・保存しています。ユーザの情報やアクティビティなど詳細なデータもクラウド側に保存されています。

IoTフォレンジックにおけるクラウドフォレンジックは、IoTデバイス・クライアント端末に保存されている認証情報を使用し、各IoTデバイスの提供するアプリケーション・サービスから情報を取得し解析することを目的としています。主に、公開されている各IoTデバイスのAPIから情報を取得しそれらを調査・解析していきます。

 

IoTデバイスの証拠保全の問題

フォレンジック調査では、調査対象をエビデンス(証拠)として証拠保全をします。

通常のコンピュータ端末における、証拠保全についてはIDF(デジタル・フォレンジック研究会)の「証拠保全ガイドライン」を参考にして頂ければと思います。 https://digitalforensic.jp/home/act/products/home-act-products-df-guideline-8th/

通常のコンピュータ端末を対象としたフォレンジックでは、HDDまたはSSDを端末から取り外し、専用のデュプリケーターで複製することで基本的に非破壊でデータを収集することができます。しかし、IoTデバイスの証拠保全ではデバイスの基板に直接アクセスをすることからデバイスによっては破壊してしまう可能性があり注意が必要です。

IoTデバイスの証拠保全方法は、主に以下の2つです。

• チップオフ

• インターフェースからのアクセス

チップオフは、物理的に基板上のメモリチップを取り外し、専用の機器でイメージをダンプする手法です。

インターフェースからのアクセスに関しては、基板上のUARTのパッドやSPI、JTAGやEthernetなどからアクセスを試み、ファイルまたはイメージを取得する手法になっています。

インターフェースを利用した場合、直接デバイスのコンソールを使用する為、証拠保全時にデータが変更されてしまう恐れがあるのでこの点も注意が必要です。完全なイメージを取得することが出来ない場合があり、その際は必要なログファイルや設定ファイルを適宜取得します。

OSDFCon 2020のThe Leahy Center(@leahycenter)の「Linux Forensics for IoT: Hello World」の発表では様々なIoTデバイスへのインターフェースからのアクセス可否の検証が行われており、IoTデバイスの証拠保全をする際には参考になる情報です。(P.15～P.17)

https://www.osdfcon.org/presentations/2020/Joe-McCormackAustin-GrupposoLinux-Forensics-IOT.pdf (PDF)

 

IoTフォレンジックにおけるフレームワーク・ツール

IoTフォレンジックは、通常のコンピュータ・フォレンジックに比べまだ方法論やフレームワークが確立されていないと思われます。多種多様なIoTデバイスがある為、一般的な調査モデルを作成するのが難しい為です。

また、フォレンジック調査ツールに関してもIoTデバイスに対応したものは少なく、通常のファイルシステムであれば既存のフォレンジックツールで解析することは可能です。IoTデバイス上に搭載しているOSはLinuxが多く、Linuxフォレンジック調査の視点で調査・解析をすることも可能です。

紹介した論文「Digital Forensic Approaches for Amazon Alexa Ecosystem」では、Amazon Echo(Alexa)に対するフォレンジック的アプローチのなかに、クラウドフォレンジックに対して「Cloud-based IoT Forensics Toolkit(CIFT)」というツールを作成・使用して、Amazon Echoのユーザ情報やアクティビティなどのフォレンジック調査をする際に必要な情報をクラウドから取得しており、著名なIoTデバイスに対応したツールの開発も進みつつあるというのがIoTフォレンジックのフレームワーク・ツールの現状かと思います。

 

IoTフォレンジックチャレンジ

フォレンジック初学者向けに、教育用に用意されたHDDのイメージやネットワークダンプを解析・調査する「Digital Forensics Challenge」が多数インターネット上に公開されています。

弊社でも昨年「オンライン・フォレンジック勉強会」と称してNISTが公開しているトレーニングイメージを使用しフォレンジック調査入門を題材にした勉強会を行いました。

https://ierae.co.jp/news/seminar_200525/

コンピュータ・フォレンジックのトレーニングのように、IoTデバイスを対象にしたテストイメージ・フォレンジックチャレンジがここ数年で増えてきました。

IoTデバイスを対象にした現在公開されている、IoT Forensics Challengeは主に以下のものがあります。

• DFRWS IoT Forensics Challenge 2017 : https://github.com/dfrws/dfrws2017-challenge

• DFRWS IoT Forensics Challenge 2018 : https://github.com/dfrws/dfrws2018-challenge

• NIST CFReDS Project Drone Image : https://www.cfreds.nist.gov/drone-images.html

• IoT Digital Forensics Course : https://github.com/RJC497/IoT-Digital-Forensics-Course

• VTO Labs IoT Forensics : https://www.vtolabs.com/iot-forensics

「DFRWS IoT Forensics Challenge」は、2017年と2018年に実施されたチャレンジです。これら2つに関しては、各コンテストの期間中に提出したチームの回答を閲覧することが出来る為、IoTフォレンジックの練習としてとても有用なコンテンツになっています。

今回はこの中の「DFRWS IoT Forensics Challenge 2018」を紹介していきたいと思います。

DFRWS IoT Forensics Challenge 2018

DFRWS IoT Forensics Challenge 2018は2019/03/20まで実施されていたコンテストです。概要は公式のリポジトリに記述されていますが、違法なドラッグラボのIoTデバイスのフォレンジック調査をし、事件の概要を解き明かしていくチャレンジになっています。

https://github.com/dfrws/dfrws2018-challenge

チャレンジのシナリオは以下の通りです。

2018/05/17 10:40に、違法なドラッグラボに侵入して放火に失敗したと警察に通報がありました。
警察は迅速に対応し、10:45にはデジタルフォレンジックの専門家を含むフォレンジックチームが現場に到着しました。

違法ドラッグラボの所有者であるJessie Pinkmanは到着した時点ではどこにもおらず、
警察はJessie Pinkmanの関係者2人D.PandanaとS.Vargaを取り調べました。
D.PandanaとS.VargaはラボのWi-Fiネットワークにアクセスしたことは認めていますが、今回の襲撃についての関与は否定しました。
また、Jessie PinkmanがラボにIoTセキュリティシステムを導入したのは、彼が敵対するギャングからの攻撃を恐れたためであり、
Jessie Pinkmanはラボ内に居る際は警報システムのアラームを「ホーム」モードにしていたと述べています。

デジタルフォレンジックの専門家は、ラボ内でアラームシステム（iSmartAlarm）と3台のカメラ（QBee Camera、Nest Camera、Arlo Pro）、
煙探知機（Nest Protect）、Amazon Echo、WinkHubを発見しました。

このシナリオに対し、問題とチャレンジとしては以下の設問が設けられています。

司法長官は以下の質問に対する答えを必要としています。
- 違法ドラッグラボが襲撃されたのは何時ですか？
- Jessie Pinkmanの2人の友人らのうち、どちらかが襲撃に関与していた可能性はありますか？
 - もしそうなら、どの友人ですか？
 - その仮説の根拠は？
- QBeeカメラはどのようにして無効化されたのでしょうか？

これらの設問を満たす為に、このDFRWS IoT Forensics Challengeでは、フォレンジック調査の新しいアプローチを動機づけることを目的としており、以下の4つのレベルで評価されます。

1. デバイスレベルの分析。モバイルデバイスを含むIoTデバイスで生成されたデジタルトレースをフォレンジックに処理する方法とツールの開発。
2. ネットワークレベルの解析。ネットワークやクラウドシステム上のIoTデバイスから発生するデジタルトレースをフォレンジックに処理する手法やツールの開発。
3. 相関・分析 様々なデータソースからの情報を組み合わせて、自動的に計算、視覚化、またはその他の方法で潜在的な関心のあるパターンを明らかにする方法と支援ツールの開発。
4. 結論の評価と表現。2つの対立する命題（例：第一容疑者が犯行に及んだのか、それとも未知の人物が犯行に及んだのか）が与えられた場合に、その結果の確率を割り出すこと。

対象になっている、違法ドラッグラボの間取りは以下の通りです。

(https://github.com/dfrws/dfrws2018-challenge/blob/master/DFRWS2018-IoT-ForensicChallengeDiagram.png より)

• Sysnthesis Room : 薬の合成室

• Tabletting Room : 錠剤化室

• Entrance : エントランス・玄関

 

本チャレンジでは以下のデバイスのエビデンスが提供されています。

Nest Camera, Nest Protect, QBee Cameraの3つのデバイスに関しては、本体デバイスのエビデンスとしての提供はありませんがJessie Pinkmanのスマートフォンやネットワークダンプ、その他連携しているIoTデバイス等から情報を取得し解析していきます。

エビデンス名	デバイス種類	ファイル名
Jessie Pinkman's Samsung phone(Android)	スマートフォン	Samsung GSM_SM-G925F Galaxy S6 Edge.7z
iSmartAlarm – Diagnostic logs	警報システム	ismartalarm/diagnostics/2018-05-17T10_54_28/server_streamiSmartAlarm – Memory images
iSmartAlarm – Memory images	警報システム	dump/ismart_80.img
Arlo – Memory image	ネットワークカメラ	arlo/dfrws_arlo.img
Arlo – NVRAM settings	ネットワークカメラ	arlo/nvram.log
Arlo – NAND	ネットワークカメラ	arlo/arlo_nand.tar.gz
WinkHub – Filesystem TAR archive	IoTHub	wink/wink.tar.gz
Amazon Echo – Extraction of cloud data obtained via CIFT	スマートスピーカー	echo/(2018-07-01_13.17.01)_CIFT_RESULT.zip
Network capture dump	ネットワークダンプ	network/dfrws_police.pcap
Nest Camera	ネットワークカメラ	提供無し
Nest Protect	煙探知機	提供無し
Qbee Camera	ネットワークカメラ	提供無し

様々なIoTデバイスのデータが提供され、これらの情報から今回の事件の全貌を明らかにしていきます。

チャレンジのリポジトリのchallenge-submissionsに、実際にこのチャレンジに取り組み提出したチームのレポートを見ることができます。

https://github.com/dfrws/dfrws2018-challenge/tree/master/challenge-submissions

今回のこのブログでこのチャレンジを実際に挑戦した話をすると少々長くなるので、もし興味がありましたら実際にこのチャレンジを実施してみてもよいかと思います。

まとめ

以上、IoTデバイスを対象にしたフォレンジック調査「IoTフォレンジック」について紹介をしてきました。

IoTフォレンジックは現在では未だ実践的なフォレンジックというよりも研究分野という色味が強いですが、これから実際にIoTデバイスのフォレンジックが増えていくなかで実用的なフォレンジックアプローチが体系化されていくかと思います。

しかし、IoTフォレンジックはデバイスの証拠保全が難しいことやプライバシー問題など様々な問題を抱えています。それらの最新の研究動向を追っていくことで、実践で使用することのできるIoTデバイスに対するフォレンジック技術を取り入れていけるかと思います。

また次のブログ投稿の機会に、実際にIoTフォレンジックチャレンジに取り組む話が出来ればと思います。