[論文レビュー] Ubuntu One Investigation: Detecting Evidences on Client Machines
この論文は、Windows 8.1、macOS、およびiOSデバイスにおけるUbuntu Oneクラウドストレージサービスのデジタルフォレンジックスアーティファクトを調査している。ファイルのアップロード、ダウンロード、閲覧、削除といった一般的なユーザー行動をシミュレートすることで、データベース、ログファイル、メモリトレース、ネットワークトラフィックといった恒久的でない痕跡を同定し、デジタルフォレンジック捜査官がUbuntu Oneクライアントシステムに対して包括的なフォレンジックフレームワークを構築できるようにする。
STorage as a Service (STaaS) cloud services has been adopted by both individuals and businesses as a dominant technology worldwide. Similar to other technologies, this widely accepted service can be misused by criminals. Investigating cloud platforms is becoming a standard component of contemporary digital investigation cases. Hence, digital forensic investigators need to have a working knowledge of the potential evidence that might be stored on cloud services. In this chapter, we conducted a number of experiments to locate data remnants of users' activities when utilizing the Ubuntu One cloud service. We undertook experiments based on common activities performed by users on cloud platforms including downloading, uploading, viewing, and deleting files. We then examined the resulting digital artifacts on a range of client devices, namely, Windows 8.1, Apple Mac OS X, and Apple iOS. Our examination extracted a variety of potentially evidential items ranging from Ubuntu One databases and log files on persistent storage to remnants of user activities in device memory and network traffic.
研究の動機と目的
- Ubuntu Oneクラウドストレージサービスとのやり取りの後、クライアントマシンに残るデジタルフォレンジックスアーティファクトを特定すること。
- ファイルのアップロード、ダウンロード、閲覧、削除といったユーザー行動が、異なるオペレーティングシステムにどのように痕跡を残すかを調査すること。
- デジタルフォレンジック捜査官がUbuntu Oneクライアントシステムから証拠データを検出および抽出するための体系的な手法を提供すること。
- Windows 8.1、macOS、およびiOSを含む多様なクライアントプラットフォーム間で、フォレンジックアーティファクトの持続性とアクセス可能性を評価すること。
提案手法
- Ubuntu Oneサービスとの標準的なユーザーインタラクション(ファイルのアップロード、ダウンロード、閲覧、削除)をシミュレートする制御された実験を実施した。
- Windows 8.1、macOS、およびiOSオペレーティングシステムを搭載したクライアントデバイスからデジタルアーティファクトを収集・分析した。
- 恒久的ストレージ(例:データベース、ログファイル)と一時的メモリ(例:プロセストレース、ネットワークセッションデータ)の両方の証拠を調査した。
- 標準的なデジタルフォレンジックツールと技術を用いて、ファイルシステムメタデータ、レジストリーエントリ、ネットワークトラフィックログの抽出・分析を行った。
- 3つのオペレーティングシステム間で、Ubuntu One固有のデータストアおよび設定ファイルの場所と構造をマッピングした。
- ユーザー行動とシステムアーティファクトの変化を関連付けることで、フォレンジックの関連性を確立した。
実験結果
リサーチクエスチョン
- RQ1ユーザーがUbuntu Oneにファイルをアップロードした後、クライアントマシンにどのような種類のデジタルアーティファクトが残るか?
- RQ2異なるオペレーティングシステム(Windows 8.1、macOS、iOS)は、Ubuntu Oneユーザー行動の証拠をどのように保持するか?
- RQ3Ubuntu Oneクライアントアプリケーションから回復可能な恒久的でないフォレンジックアーティファクトは何か?
- RQ4ファイル削除操作は、Ubuntu Oneクライアントシステムにおけるフォレンジックトレースの持続性にどのように影響するか?
- RQ5Ubuntu Oneの操作中にネットワークトラフィックから回収可能な証拠は何か?
主な発見
- Ubuntu Oneは、Windows 8.1、macOS、およびiOSを含むすべてのテストプラットフォームで、識別可能なデータベースファイルとログファイルを恒久的ストレージに残す。
- ファイルメタデータ、同期状態、ユーザー行動ログといった証拠は、クライアント側のデータベースおよび設定ファイルから回収可能である。
- アクティブなUbuntu One操作中に、プロセス情報やネットワークセッションデータといった一時的メモリトレースが検出された。
- ネットワークトラフィック分析により、ファイル同期や認証に関連する識別可能なパターンが判明したが、ファイル削除後も依然として残存していた。
- WindowsおよびmacOSでは、一時ディレクトリやシステムキャッシュに削除済みファイルの残留データが確認されたが、iOSでは一貫して確認されなかった。
- 本研究では、ファイルシステム、メモリ、ネットワークの複数のレイヤーにわたりフォレンジックアーティファクトが存在することが確認され、マルチソース証拠収集が可能であることが示された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。