スマートフォンのデータ復旧のための設備と技術

スマートフォン復旧サービスではDoCoMo、au、SoftBankの主要3キャリアをすべて分析/サポートしており、季節ごとに発表される新モデルも継続的に分析を進め、サポート機器を増やしています。現在サポートされているAndroid搭載機であれば、ほとんどの端末で解析が可能ですが、モデルやバージョンごとに復旧率が異なる場合がありますので、お客様がお使いの機種のサポート状況についてはお問い合わせください。

※動画の中のスマートフォンはスーホ社員のものです。

iPhone(IOS)のパスワード解除・復旧の動画を見る>>

スマートデバイスデータの獲得と分析

データの獲得がすぐにデータの復旧を意味するものではありません。

獲得したデータを分析し、解釈する技術があってこそ復旧が可能で、削除されたデータを検索して復旧する作業もデータの獲得後、分析する手順で行う一部分です。

USB通信ケーブルを利用した方法

専用のデータ取得用プログラムを使用し、USBケーブルを介してデータを抽出する方式です。携帯電話の分解なしに処理できるというメリットがありますが、端末のファームウェアを変更する必要があり、機種によってはファームウェアの変更中に機器がフリーズしたり、その後の使用に影響を及ぼしたり、まったく機能しなくなる（いわゆる文鎮化）場合があります。

USB通信ケーブルを利用した方法携帯電話のEmergency USB Downloadモードを使用

USB通信ケーブルを利用した方法専用のデータ取得用プログラムを利用し、データをDump

データ取得時点での機器の正常稼動を前提とするため、端末が故障したり、物理的な問題が発生したりしている状態でご依頼される場合は、この方法では処理することができません。通常のUSBポートで認識しない場合には、Dumpができません。またファームウェアの変更が必要になるため、最新のスマートフォンは、すぐに対応できない場合もありますが、対応機器の拡充のため継続的に研究開発を進めています。

JTAG端子を利用する方法

JTAG端子を利用し、基板を制御して、フラッシュメモリのデータを抽出する方式です。機器を分解する必要がありますが、原本のデータに損傷がなく、スマートフォン内のデジタルデータを裁判の証拠として用いる際など、フォレンジックの場面での利用に適した方法です。

JTAG端子を利用する方法 JTAG端子を接続する場面

USB通信ケーブルを利用した方法作業に使用されるJTAG端子を自動的に検出する装置

JTAG端子は製造時、機器のメモリのプログラムが正常に動作するかなどのDebugの役割を果たすために設計されています。この方法では、メモリから直接データを取得するため、意図的な破壊や落下などにより、スマートフォン本体が損傷していても基板が無事であればデータを吸い出せる可能性があります。

フラッシュメモリから直接獲得する方法

スマートフォンが故障、火災、浸水、などにより、まったく動作しない場合にメモリをPCBから分離してデータを抽出する方式です。様々な装置と作業過程が必要なことに加え、上の二つの処理方式以上に多量の追加的な分析技術が必要になります。

メモリの分離

メモリの分離段階

メモリのDump段階

データのImage獲得

携帯電話のファイルシステムを自動的に解析する機能は、FAT16、FAT32、EFS2、EXT4、YAFFS、TFS4、DM、SIM+ USIMなどのファイルシステムを自動的に分析します。 Androidのスマートフォンは、一つの機器にいくつかのファイルシステムを複合的に使用しています。

メモリRe-ballingの手順

メモリRe- ballingの段階

この方法では本体の破損だけでなく、基板が壊れていてもメモリチップに損傷がなければデータの抽出ができますが、メモリを分離する段階で、基板と一体型になったチップを剥がしてしまうため、元の機器での組み立ては不可能です。上の二つの方法で処理することができない場合に使用されます。

獲得されたデータの分析、最新のスマートフォンの場合でも可能

モデル別、メーカー別にスマートフォン内部の情報管理やデータベースの構築法が異なります。スマートフォンは新モデルの登場するサイクルが早く、新技術に対応する目的や、高速化の要請から、内部のデータ処理体系は目まぐるしくかわることがあります。分析のために自動化されたプログラムを使用できない場合には、開発チームの手作業でのデータ復旧作業を行うことが可能です。

Android端末の分析ツール

携帯電話のファイルシステムを自動的に解析する機能を持ち、FAT16、FAT32、EFS2、TFS4、DM、SIM+ USIMなどのファイルシステムを自動的に分析します。Androidを搭載するスマートフォンでは、一つの機器でいくつかのファイルシステムを複合的に使用しています。削除データの復旧にはファイルシステムの理解が欠かせないため、分析作業の自動化ツールの役割は少なくありません。 PIMレコードで管理される個人情報、例えばマルチメディアエリアの写真及び、動画などの詳細情報は法廷でも証拠として使用される重要な情報です。

iPhone端末の分析ツール

iPhoneは内部のファイルシステムにHFS+を使用し、iOS 4.x以降のバージョンを搭載したiPhone/iPodではファイル単位の暗号化を行っています。そのため削除データの復旧が困難なことで知られていますが、当社では、iPhoneの暗号方式を解析し、キー情報の分析、データの復旧対応が可能になりました。

- iOS4.0対応デバイスをサポートしています（3GS、4、iPad1）
- ユーザーが設定したパスコードを無効化しロックの解除が可能です。
- 削除ファイルの復旧をサポートしています。
- キーチェーン情報（メールアカウント/パスワード、接続パスワードなど）を出力可能です。

Android端末で分析可能なタイプ

ㆍ電話帳 (phone book)ㆍ通話履歴 (call history)

ㆍ携帯電話メール (e-mail)ㆍメッセージ (SMS/MMS)

ㆍ写真(picture)ㆍ動画(video)

ㆍ音声録音(voice)ㆍメモ帳(memo)

iOSでの解析可能なファイルの種類

ㆍメールファイル (html, mine, base64)ㆍ撮影動画ファイル (mov)

ㆍ撮影画像ファイル (jpg, png, gif)ㆍSystem設定ファイル (plist, bplist)

ㆍDatabaseファイル (アプリケーション使用記録)

復旧作業は、iPhone4までの削除済み通話履歴・アドレス帳の電話番号・メールアドレス・SMSのみ対応