Skip to content
ドキュメント一覧

Collector Guide

Collector Guide#

unJaena Collector は、5つのプラットフォームにわたる700種類以上のフォレンジックアーティファクトを自動的に収集するオープンソースツールです。このガイドでは、各プラットフォームの収集方法について解説します。

⚠️ ご利用条件のご案内 — 本ツールをご利用いただけるのは、次のいずれかに該当する方に限られます:(1) ご自身の所有機器からご自身のデータを収集する場合、(2) データ主体から書面による同意を得ている場合、(3) 有効な令状・裁判所命令に基づき適法に職務を遂行するフォレンジック担当者、(4) 適法なフォレンジック委任契約を締結した調査担当者。第三者の機器から無断で通信内容(メッセンジャー・メール・SMS・通話履歴等)を収集する行為は、各国・各地域の通信の秘密および個人情報保護関連法令(例:日本国憲法第21条第2項、電気通信事業法、個人情報保護法等)により、刑事処罰の対象となる場合があります。詳細は利用規約をご確認ください。

対応プラットフォーム#

プラットフォーム収集方法アーティファクト数
WindowsCollectorを直接実行200種類以上
macOSCollectorを直接実行130種類以上
LinuxCollectorを直接実行100種類以上
iOSUSB直接収集 / バックアップファイル180種類以上
AndroidUSB直接収集120種類以上

Windows アーティファクトの収集#

Windowsで収集される主なアーティファクトのカテゴリは以下の通りです。

システムアーティファクト#

  • Prefetch: プログラムの実行記録(C:\Windows\Prefetch\
  • EventLog: システム/セキュリティ/アプリケーションのログ(C:\Windows\System32\winevt\Logs\
  • Registry: SYSTEM、SOFTWARE、SAM、SECURITY、NTUSER.DAT ハイブ
  • $MFT: NTFS マスターファイルテーブル
  • USN Journal: ファイル変更ジャーナル
  • AmCache / Shimcache: プログラムの互換性データ

ユーザーアクティビティアーティファクト#

  • ブラウザ履歴: Chrome、Edge、Firefoxの閲覧履歴、ダウンロード、Cookie
  • 最近のドキュメント: RecentDocs、ジャンプリスト、LNKファイル
  • Shellbags: フォルダの閲覧履歴
  • USB記録: 接続されたUSBデバイスの履歴

ネットワークアーティファクト#

  • ネットワークプロファイル: 接続済みネットワークの一覧
  • DNSキャッシュ: DNS検索の記録
  • SRUM: システムリソースの使用記録(ネットワークを含む)

収集の実行方法#

1. unJaena Collector を管理者として実行します 2. 収集するアーティファクトを選択します(デフォルト:全選択) 3. 「Start Collection」をクリックします 4. 収集完了後、自動的にアップロードされます

macOS アーティファクトの収集#

macOSで収集される主なアーティファクトは以下の通りです。

システムアーティファクト#

  • Unified Log: macOS統合ログシステム
  • FSEvents: ファイルシステムのイベント記録
  • Spotlight: 検索インデックスのメタデータ
  • Launch Agents/Daemons: 自動起動の設定

ユーザーアクティビティアーティファクト#

  • Safari履歴: 閲覧履歴、ダウンロード、タブ
  • Finderの最近の項目: 最近アクセスしたファイルとフォルダ
  • Quarantineイベント: ダウンロードされたファイルの取得元記録
  • TCCデータベース: アプリへのアクセス権限の付与記録

注意事項#

  • macOSでは、SIP(System Integrity Protection)により一部のシステムファイルへのアクセスが制限されています。
  • 完全な収集を行うには、フルディスクアクセス の権限を付与する必要があります。
    • システム環境設定 > セキュリティとプライバシー > フルディスクアクセス から unJaena Collector を追加してください。

Linux アーティファクトの収集#

Linuxで収集される主なアーティファクトは以下の通りです。

システムアーティファクト#

  • syslog / journald: システムログ
  • auth.log: 認証関連のログ
  • wtmp / btmp: ログインの成功/失敗記録
  • crontab: スケジュールされたタスク

ユーザーアクティビティアーティファクト#

  • bash_history: シェルコマンドの履歴
  • ブラウザ履歴: Chrome、Firefoxのデータ
  • SSH鍵とログ: SSH接続の記録
  • .recently-used.xbel: 最近使用したファイルの記録

収集の実行方法#

bash
# 実行(依存パッケージは自動インストール)
chmod +x run.sh
sudo ./run.sh

iOS デバイスの収集#

iOSデバイスのデータは、2つの方法で収集できます。

収集方法#

USB直接収集: デバイスをUSBで接続すると、Collectorが自動的に認識してライブ収集を行います。

バックアップファイル収集: iTunes/Finderで既に作成されたバックアップがある場合、そのバックアップを選択して収集することもできます。

前提条件#

  1. iTunesドライバーのインストール(Windows): Apple公式サイトまたはMicrosoft StoreからiTunesをインストールしてください。
  2. デバイスの信頼設定: iOSデバイスに「このコンピュータを信頼しますか?」と表示されたら、信頼 を選択します。

収集可能なアーティファクト(180種類以上)#

  • メッセージ: iMessage、SMS、MMS
  • 通話履歴: 発着信の記録
  • 連絡先: アドレス帳
  • ブラウザ: Safariの閲覧履歴、ブックマーク
  • 位置情報: 位置履歴
  • アプリデータ: インストール済みアプリのデータベース
  • メディア: 写真・動画のメタデータ
  • Wi-Fi接続記録: 接続済みネットワークの履歴

Android デバイスの収集#

Collectorを実行し、AndroidデバイスをUSBで接続すると、Collectorが自動的にデバイスを認識してデータを収集します。Root化されたデバイスでは、データベースに直接アクセスしてより多くのアーティファクトを収集できます。

前提条件#

  1. USBデバッグの有効化: 設定 > 開発者向けオプション > USBデバッグを有効にします。
    • 開発者向けオプションが表示されない場合: 設定 > デバイス情報 > ビルド番号を7回タップします。
  2. デバイスの接続: USBケーブルでPCに接続し、「USBデバッグを許可しますか?」と表示されたら 許可 を選択します。

収集可能なアーティファクト(120種類以上)#

  • 通話履歴と連絡先
  • SMS/MMSメッセージ
  • ブラウザ履歴
  • アプリデータ: インストール済みアプリの一覧とデータ
  • Wi-Fi接続記録
  • デバイスの設定とアカウント情報

サーバーへのアップロード#

収集したデータは以下の方法でサーバーにアップロードできます。

Webアップロード#

  1. ケースページの Upload Evidence をクリックします。
  2. 収集済みのアーカイブファイルをドラッグ&ドロップするか、ファイルを選択します。
  3. アップロードの進捗がリアルタイムで表示されます。

Collectorの自動アップロード#

Collectorツールに収集トークンを設定すると、収集完了後に自動的にアップロードが行われます。

アップロード後の処理#

  1. パース: アーティファクトの種類に応じたパーサーが自動的に実行されます。
  2. インデックス作成: パースされたデータが検索可能な状態にインデックスされます。
  3. AI分析準備: AI分析に必要な検索準備が行われます。
  4. 準備完了: すべての処理が完了すると、AI分析を開始できます。

処理にかかる時間はデータサイズによって異なりますが、通常は数分から30分程度で完了します。