モバイルデバイスがユビキタス化するにつれ、弁護士が訴訟で使用するためにモバイルデバイスから情報を収集する必要性も高まっている。これらのデバイスがもたらすユニークなデータ収集の課題により、「モバイルデバイス・フォレンジック」は独自の分野に発展し、多くのフォレンジック専門家がこの分野の専門知識を身につけている。

モバイル・デバイス101：セキュリティとストレージ

モバイル・デバイスはまさにモバイルであり、高価で需要が高いため、紛失や盗難の恐れがあり、その結果、セキュリティ上の懸念が高まっている。このような懸念の高まりに伴い、セキュリティの必要性が高まり、データ収集がより困難になります。

データ量が増えれば増えるほど、そのような大量のデータを小型で持ち運び可能なデバイスに保存することが難しくなる。そのため、飛躍的に大きなストレージ戦略を持つモバイル・デバイスが開発されるようになった。クラウドにデータを保存し、必要なときだけモバイル・デバイスからアクセスするのが一般的になった理由のひとつがこれだ。クラウドはほぼ無制限のストレージ容量を持ち、データ損失の影響を受けにくいため、モバイル・デバイスにすべてを保存する必要はなく、見たいときに情報を表示できるモバイル・デバイスがあればよい。

このため、弁護士が重要なデータがどこにあるのかを理解し、最もタイムリーでコスト効率の良い方法でデータを収集する方法を知ることは非常に難しくなっている。

このため、弁護士は、モバイル・デバイスに表示されているものすべてが実際に保存されているわけではないことを理解すべきである。モバイル・デバイス上に存在するデータであっても、デバイスから収集するよりもクラウド・ソースから収集する方が効率的な場合もある。最後に、一部のアプリケーションは「セキュリティ優先」であるため、類似のアプリケーションと比較すると、そのようなデータを収集するための選択肢は限られている。このようなアプリケーションから収集することは、弁護士が最初に予想するよりも困難であり、時間 がかかり、費用もかかります。

以下のセクションでは、様々なタイプのアプリケーションからデータを収集するための一般的な戦略について説明します。

モバイル・デバイスにデータを保存するアプリ - ほとんどの場合

iPhoneの場合、デバイス自体に存在するデータを取得する最も簡単な方法は、iPhoneのバックアップを収集・処理するツールを使うことだ。表面的にはこのプロセスは簡単に見えるが、実際にはいくつかの障害がある。

まず、データがiPhone上に存在する必要があるが、必ずしもそうとは限らない。例として、iCloudにメッセージを同期していない場合、iMessagesはiPhone上に存在する。メッセージをiCloudに同期することで、使っているすべてのデバイスでメッセージを見ることができ、どのデバイスでもメッセージに返信できるようにする人もいる。つまり、あるデバイスでメッセージが作成または返信されると、すべてのデバイスで作成または返信されたと表示されます。しかし、カストディアンがこの方法でデバイスを設定すると、メッセージとその添付ファイルはiCloudに保存され、使用しているiPhone、iPad、Macには保存されません。そのため、あるデバイスからメッセージを収集しようとすると、一部のデータが欠落する可能性があります。

このようなメッセージを1つのデバイスから収集するには、すべてのメッセージをそのデバイスに強制的に転送し、ダウンロードする必要がある。しかし、状況によっては、アップルが一部の添付ファイルをiCloudに保持し、ダウンロードしないことがある。このような場合、コレクションはメッセージをキャプチャするが、添付ファイルは電話にもバックアップにもないため、「見つからない」可能性がある。弁護士にとってのもうひとつの「困ったこと」は、保管者がたくさんのメッセージを持っている場合、収集のためにiCloudからiPhoneにメッセージをダウンロードするのに長い時間がかかる可能性があることだ。そのため、ダウンロードに十分な時間を待たなければ、部分的な収集しかできない可能性がある。要するに、アップルのメッセージ同期を扱う場合、iCloudのメッセージデータだけでなく、ローカルの電話とiCloudのバックアップの両方を複数回収集する必要があるかもしれない。

クラウドにデータを保存するアプリ

一部のアプリはデバイス上に存在し、他のアプリと同じように見えるが、データは常にクラウドに保存される。事実上、そのアプリは基本的に、クラウドベースのデータをデバイス上のアプリに表示する高級なウェブ・ブラウザであるが、ローカルには保存しないか、一時的にキャッシュされたコンテンツを保存するだけである。この良い例としては、銀行アプリ、ウェブメールアプリ（Gmailなど）、TeamsやSlackのような企業アプリなどがある。これらのようなアプリの場合、モバイルデバイスからではなく、クラウドソース（Microsoft 365、Gmailなど）から収集するのが最適です。

データを暗号化してデバイスに保存し、バックアップを許可しないアプリ

多くのアプリがiPhoneにデータを保存する一方で、iTunesやiCloudにデータをバックアップできないアプリもあります。さらに、アプリのデータは通常暗号化されており、データを復号化するために必要なキーは、Appleデバイスではユーザーのキーチェーンに、Androidデバイスではキーストアに保存されている。SignalやTelegramのようなエフェメラルメッセージングアプリがその例です。これらのアプリの場合、フォレンジック調査者はバックアップからのデータ解析に頼るのではなく、特別なツールを使ってファイルシステム全体（キーチェーンやキーストアを含む）を収集する必要があります。これは、Signalのようなアプリから通信を取得することができます。CellebriteとMagnet Forensicsには、ファイルシステム全体とSignalのキーチェーンまたはキーストアを収集するツールがあります。しかし、Telegramのデータは、暗号化されたコンテナに部分的にキャッシュされている可能性がある。Telegramの場合、クラウドにデータを保存する他のアプリと同様に、モバイルデバイスではなく、オンラインアカウントから直接収集するのが最適です。

ローカルにバックアップしないアプリ

標準的なフォレンジックツールは通常、製造元のバックアップ・アプリケーション・プログラミング・インターフェースに依存しています。Android Backupの場合、サードパーティのアプリ開発者は、アプリケーションデータを含めないようにコードを書くことができます。多くのAndroidアプリ開発者はバックアップからデータを除外しているため、ほとんどの標準的なフォレンジック収集ツールはサードパーティ製アプリからデータを収集・解析することができません。Googleでさえ、ドライブやメッセージなどの標準アプリの大半をAndroidのバックアップから除外している。このようなAndroidのケースでは、フォレンジック調査者は、サードパーティアプリのデータを収集するために、フルファイルシステムコレクションのような他の有効な方法に軸足を移す必要があります。

パソコンとデータを同期するアプリ

メッセージングアプリの中には、ユーザーがコンピュータのアプリケーションやウェブブラウザを登録してデータを「同期」し、コンピュータやブラウザでメッセージングアプリを使用できるようにするものがある。ユーザーはコンピュータとモバイルデバイスのデータにアクセスできますが、このデータをホストする「中央サーバー」はありません。ユーザーのモバイルデバイスがアプリデータの主な供給源であり、認証されたコンピューターは「二の次」を演じ、モバイルデバイスから転送されたものだけを受信する。WhatsAppの場合、ユーザーはQRコードを使ってコンピュータを登録することができ、登録したコンピュータで最近のメッセージ履歴を見たり、メッセージを送受信したりすることができる。コンピュータを登録する前に存在したメッセージやスレッドは同期されないため、古いメッセージを検索する場合はこの事実を念頭に置く必要がある。フォレンジックツールの中には、WhatsAppのこの機能を使ってリモートでデータを収集し、最近のメッセージデータを保存するものもある。しかし、これにはWhatsAppメッセージ履歴全体は含まれていない可能性が高い。メッセージデータ一式を保存しているのは携帯電話のみであり、携帯電話がWhatsAppデータの最良の入手先となります。

結論

これらは、現在使用されている一般的なアプリで発生するデータ収集の問題のほんの一例に過ぎない。ユーザビリティとセキュリティを向上させようとする新興テクノロジー競争におけるあらゆるものと同様、テクノロジーが進歩するたびにどちらか一方を改善しようとするため、今日正しいことが明日も正しいとは限りません。 重要なデータを見落とした弁護士は、調査や訴訟で下流の結果に直面する可能性がある。ミスは、再収集の必要性（場合によっては外国での再収集）、時間と費用の浪費、証拠開示の規定および命令の不遵守、却下、略式判決、不利な推論による陪審員の指示、そしてもちろん全体的なクライアントの不満といったマイナスの結果を招きかねません。

調査や訴訟のために重要なデータが必要な場合、それがどこにあるのか、どのように収集するのが最適なのかがわからないときは、フォレンジック・データ収集の専門家に相談し、戦略を練りましょう。


Jason Paroff、Epiqシニアディレクター、フォレンジックプラクティスリード
Jason Paroffは、Epiqのフォレンジック業務のシニアディレクター兼業務リーダーです。Paroffは、米国のフォレンジックおよびデータ収集業務を指揮し、リソースとサービスをグローバルに調整しています。管理職としての役割に加え、Paroffは詐欺、企業秘密の窃盗、嫌がらせ、その他の不適切な民事・刑事行為の証拠となる多数のコンピュータやコンピュータシステムを調査してきました。米国法科学アカデミーのフェローであり、現在は同アカデミーの理事（任期3年-2025～2028年）を務めるほか、デジタル・マルチメディア科学部門の元部会長（2020～2022年）も務めている。専門家証人として連邦地裁で証言したほか、コロンビア大学ビジネススクールで学会発表やゲスト講師を務めた。また、フォーチュン500企業、弁護士、外国の警察・諜報機関のメンバーに対してデジタル・フォレンジックの指導も行っている。

パロフ氏は弁護士資格を有し、ニューヨーク州、コネチカット州、ニューヨーク州南部および東部地区の連邦地方裁判所において弁護士として認められている。


Andrew Crouse、Epiq、eDiscoveryソリューション、フォレンジック担当ディレクター
Andrew CrouseはEpiqのデジタルフォレンジック担当ディレクターで、デジタルフォレンジック調査、コンサルティング契約、サービス提供、フォレンジック実務要件を指揮しています。Crouseは、Epiq米国事業のコンサルタント、アナリスト、ラボ運営担当者のチームを管理しています。また、世界中のフォーチュン 500 社の複雑なデジタルフォレンジックおよび eDiscovery プロジェクトを率いた経験や、デジタルフォレンジックラボにおける品質管理手順の開発、実装、監査の経験が豊富です。DOMEX、コンピュータ・フォレンジック、モバイル・フォレンジック、eDiscoveryデータ・リスク・マネジメントのSMEとして知られ、DHSのトップシークレット・クリアランスを取得しています。クラウスは、連邦裁判所および州裁判所で専門家証人として証言している。