iOS 26では、デジタルフォレンジック調査官がデバイスとバックアップを分析する際に注意しなければならない既存のアーティファクトと更新をいくつか紹介します。これらのアーティファクトは、ユーザーアクティビティ、システムイベント、通信などに関する重要な洞察を提供しますが、オペレーティングシステムのデータ構造と保持ポリシーに関連する複雑さも備えています。
iOS 26フォレンジックアーティファクトの概要
iOS 18からiOS 26への飛躍は、システムのアーキテクチャ、ユーザーエクスペリエンス、およびデータの管理方法と保存方法に大きな変化をもたらしました。これには、刷新されたメッセージングシステム、新しいAI機能、および液体ガラスという名前の全体的なUX変更が含まれます。これらの変更は、法医学の目的のためにデータの場所、形式、アクセシビリティに影響します。
##新規および更新されたメッセージングアーティファクト
iOS 26は、メッセージングシステムを強化し、複雑なメッセージスレッドとさまざまなコンテンツタイプを保持します。フォレンジックの専門家が特定しました:
- 拡張されたメタデータとメッセージコンテキストは、構造化された形式で保存されており、メッセージ配信、読み取りステータス、スレッド参加者の詳細を保持しています。
- ゴーストレコードまたは削除されたメッセージとチャットスレッドの残骸。これらには、ユーザーがデバイスから削除したが、システムログまたはバックアップに残留メタデータまたは残差データがある場合がある会話の痕跡を含めることができます。
- メッセージの保持ポリシーには重要な効果があります。 iOS 8以降、ユーザーはメッセージ保持を30日、1年、または永久に設定できます。保持設定の変更は、デバイスおよびiCloudバックアップにメッセージ本文と関連するメタデータの有無に影響を与えます。
- 削除されたメッセージの証拠は、バックアップまたはシステムログを介して依然として存在する場合があり、以前の通信の部分的な再構築を可能にします。
##バックアップアーティファクトと課題
iOS 26は、フォレンジックデータ抽出のためにiTunesバックアップ(暗号化または暗号化されていない)に大きく依存し続けています。
- 暗号化されたバックアップは、呼び出しログ、Apple Health Data、ブラウザー履歴など、より多くのデータカテゴリへのアクセスを提供します。
- 暗号化のパスワードにはひび割れが必要になる場合がありますが、iOS 11がリセットされるため、バックアップパスワードをリセットすることが可能であるため、一部の設定が没収される「すべての設定」アクションがあります。
-Appleは、バックアップ中に自動化されたSQLiteデータベースを掃除機で実装しました。これは、バックアップデータベースから削除または残差データを回復する方法に影響します。
- バックアップには、ドキュメントやマルチメディアファイルを共有するユーザーアプリケーションに関連するアーティファクトが含まれる場合があります。
##システムとログアーティファクト
iOS 26のシステムログと診断ファイルは、法医学データの重要なソースになりました。
-IOS 10以降に導入された統一ログは、さらに包括的であり、セキュリティイベント、認証試行、ユーザーの対話など、詳細なシステムおよびアプリケーションアクティビティを提供しています。
-sysdiagnoseファイルアーカイブコマンドの結果と、詳細な分析のためのシステムデータ。
-Live Syslogは、ロギングが中断されるまでリアルタイムのデバイスイベントをキャプチャし、イベントの相関に役立ちます。
- クラッシュログにはユーザーデータが含まれていないが、アプリケーションの実行タイムラインを理解し、マルウェアアクティビティを検出するのに役立ちます。
AIとインテリジェンス機能
iOS 26には、新しいメタデータトレースとアーティファクトを残すAI駆動型機能が組み込まれています。
- メッセージングおよびユーザーの動作追跡でのAIの使用により、アプリケーションデータベースに表示される可能性のあるインタラクションとコンテキストに関する追加のメタデータが生成されます。
-Apple Intelligence Frameworksは、典型的な通信データポイントを超えてAIアシストアクティビティのトレースを保存します。
##物理的および論理的な抽出の考慮事項
Magnet GraykeyやVerakeyなどのフォレンジックデータ抽出ツールは、iOS 26をサポートするために更新され、調査員が最新のデバイスとバージョンにスムーズにアクセスできるようにします。重要な抽出ポイントは次のとおりです。
-AFC(Apple File Connection) `/private/var/mobile/media/`のようなサービスパスは、ユーザーマルチメディアと写真アプリデータを含みます。
- デバイス情報を提供するロックダウンサービス(名前、iOSバージョン、識別子)。
- アプリ固有のデータ用のアプリのドキュメントの共有フォルダー。
- iTunesバックアップまたはユーザーレベルのファイルへのAFCアクセスを介した論理抽出。
##保持と削除の法医学的意味
iOSフォレンジックの重要な課題の1つは、データ保持設定です。
- メッセージ保持が永遠に以外のものに設定されると、古いメッセージデータはデバイスとiCloudの両方から体系的に削除され、利用可能なフォレンジックの証拠が減少します。
- ゴーストレコードは、削除または変更されたデータの影を示し、証拠を難読化または破壊する試みを指し示す場合があります。
- バックアップは、デバイス自体の削除にもかかわらず、より広範な歴史的データを保持する可能性があるため、バックアップの可用性を確認することをお勧めします。
##カテゴリ別のキーアーティファクトの概要
- メッセージング:拡張メッセージメタデータ、ゴーストメッセージレムナント、AIメタデータ。
- バックアップ:暗号化/暗号化されていないiTunesバックアップ。データベースの掃除機の影響。
- ログ:統一されたシステムログ、sysdiagnoseファイル、クラッシュログ、ライブSyslogs。
- ユーザーデータ:マルチメディアファイル、共有アプリドキュメント。
- システム情報:デバイス識別子を含むロックダウンサービス出力。
-AI機能:AI使用量からの新しいコンテキストメタデータ。
これらのアーティファクトは、ユーザーコミュニケーション、デバイスの相互作用、システムイベントを明らかにし、刑事事件、サイバーセキュリティインシデント、およびiOS 26デバイスを含む企業の問い合わせにまたがる調査のトレースパスを提供します。これらのアーティファクトを理解し、適切に抽出するには、アップルがiOS 26で採用する進化構造に更新された法医学ツールと注意が必要です。
これらの更新の参照は、Magnet Forensics、N1 Discovery、Hexordiaなどの法医学の専門家や組織による最近の貢献から得られます。