デジタルフォレンジックスペシャリスト
Grayshift
Matthew FullertonはGrayshiftのデジタルフォレンジックスペシャリストで、モバイルデバイスのフォレンジックにおける主題専門家です。 グレーシフトに入社する前、マシューは警察官および刑事として13年半、法執行機関に勤務していました。 最近では、デンバー近郊の警察署を退職し、刑事とデジタルフォレンジック検査官を務めました。 マシューは複数の資格を持ち、デジタルフォレンジックの法廷認定専門家証人でもあります。
In this post, Fullerton opens up about his previous life as a Police Detective, the difference data extraction tools make when working cases, and the sense of humor he brings everywhere he goes.
あなたが #オタク警官 であることは明白です。 あなたが毎日愛用しているテクノロジーの種類は何ですか?
IoT(Internet of Things)の進化に伴い、私は自分の生活をより便利に、より効率的にする方法を見つけることが大好きです。 私の家では、スマート電球やカメラなど、家中にスマートホームアイテムがたくさんあります。 – 私の小さな生態系とつながっているもの。 フル接続で、その都度チェックできるのがいいですね。 また、平凡な作業をいかにして無脳化するかということも好きです。
例えば、朝は必ず外灯を消し忘れるので、どうしても一日中点いていることになります。 今では、スマート電球のエコシステムを構築し、オン/オフの時間から、休日や機能ごとに色を変えることまで、プログラムできるようになりました。 また、芝生のスプリンクラーにはスマートウォーターシステムを導入し、気象データをもとに計画を立て、状況に応じてタイミングや頻度を変えるようにしています。 このような小さな積み重ねが、日常的な作業をより効率的にし、光熱費の節約につながるのです。 もちろん、私が最も気に入っているのは、世界中どこにいてもスマートフォンでこれらのすべてを確認し、コントロールできることです。
When you were a digital forensic investigator, what types of cases did you typically encounter?
財産犯から殺人まで、あらゆる犯罪に対応します。 私はこれまで2つの警察署で働きましたが、いずれも地域や住民層が異なっていました。 そのため、あらゆる種類の犯罪やさまざまな捜査手法に触れることができました。 経験を積むにつれ、どんな犯罪にもデジタル証拠が含まれている可能性があることを知り、少しでも応用できるよう努力するようになりました。 成功には、少なくとも1つの失敗がある。 そのため、電子的な証拠を活用しようとしてうまくいかないケースもありましたが、捜査官として、なぜうまくいかなかったのかを学び、次回はもっとうまくやるように心がけました。
GrayKeyで調査した事例があれば教えてください。 GrayKeyがどのように役に立ったか教えてください。
これを読んでいる人が、キーチェーンとパスワードリストの活用に関する私の授業に参加したことがあれば、この話を聞いたことがあるでしょう。 GrayKeyが利用できるようになる前に、ストーカー行為の疑いがある案件を担当したことがあります。 被害者は銀行に勤務しており、特定の顧客による行為を疑っていたが、証拠がなかった。 それでも、その行動は気になるし、エスカレートし始めているように見えた。 特に、容疑者は被害者の車にいろいろと手を加えてくるので、まずは犯人を特定することが先決だと思ったんです。 遠隔監視の結果、被害者が疑っていた人物が犯人である可能性が高いことが確認された。 私は、被疑者から話を聞き、携帯電話を押収しました。それが、この人物がストーカー行為を行ったことを証明するのに必要な証拠になり、裁判所に提出する確かな証拠が得られると思ったからです。 電話の捜査令状を書き、承認されると、利用可能なツールを使ってデータ抽出ができるようになりました。 当時は、「アドバンスドロジカル」抽出、つまりiTunesのバックアップしか選択肢がなかったのです。 データ抽出は成功し、終了後すぐに抽出ツールで解析に取りかかりました。 処理を開始すると、”バックアップの暗号化パスワード “の入力を促されました。 そのパスワードを知らなかったので、データ抽出は事実上無意味でした。
州最高裁はすでに、法執行機関は法的手続きをとっても、そのようなパスワードの提供を強制することはできないと判決を下していたので、私はパスワードを入手するためのさまざまな方法を研究した。 PLIST(プロパティ・リスト形式のデータを含む特殊なテキストファイル)を介して、コンピュータのパスワードを見つけることができることを知りました。 そこで、勤勉な刑事である私は、容疑者のパソコンの捜査令状を取ったのです。 パソコンを解析した結果、探していたPLISTは消えており、復元不可能でした。 このデジタル証拠がなければ、容疑者を起訴するのに十分なほど強固な立件ができない。
今だから言えることですが、「あったらいいな」と思うんです。 グレイキー GrayKeyを使うことができれば、この案件も冷めることはなかったでしょう。 残念ながら、時効はとっくに過ぎているので、この知識は何の役にも立たない。 それに、私はもう警官じゃないんだ!
編集部注:フラトン社のビデオコースは、Investigators Cornerでご覧いただけます(これらのビデオにアクセスするには、ログイン認証が必要です)。
この仕事について理解してほしいことは何ですか?
面倒だし、時間もかかる。 特にデジタル・フォレンジックの最初の頃は、CSI効果が如実に現れていました。 どんなデータをどれだけ早く見つけられるか、非現実的な期待をしてしまうのです。 これは、電子証拠品のあらゆる面で言えることでした。 例えば、以前、高額な宝石店の強盗事件を担当したことがありますが、その際、数種類のビデオ監視カメラを入手しました。 良い品質のものもあれば、VHSテープにした方が良いものもありました。
それでも、容疑者の車を見つけることはできたのですが、ナンバープレートはおろか、識別するものも見当たりません。 ある上司が、「だったら、そのオタク的なことをやれよ!」というようなことを言ったんです。強化しろ!皿が必要だ “と。 それに対して、私は、彼らが聞きたいこととは違う、あまり満足のいかない答えをしてしまったのです。 そして、どのような能力があり、どのような能力がないのかを明確にし、教育する必要があることに気づきました。 その結果、人々の期待と理解がより明確になり、前進することができたのです。
GrayKeyで解決した犯罪の中で、最も困難だったものは何ですか?
現役の刑事時代にはGrayKeyは持っていませんでした。
モバイルフォレンジック調査員として、日頃からどのような課題に直面していたのでしょうか。
質問3、4の回答をご覧ください。
デジタル・フォレンジックの新しい専門家が同じような課題を克服するために、どのようなアドバイスがありますか?
失敗を恐れてはいけない。 多くの人は、実際にやってみることで、よりよく学ぶことができます。 古いデバイスを見つけて、必要ならオンラインで安いものを買って、いろいろと試してみてください。 データを取り出すためにさまざまな方法を試し、分解し、どのように機能するかを確認する。また、壊してみることで、証拠物件を壊してはならない方法を学ぶことができる。 電球が発売された当初、「パッシブでIMEIを収集できるかもしれない」と聞いたことがありましたが、データを収集するためには電球を分解しなければならず、使い物にならないのです。 空き巣事件とかで役に立ちそうだなと思いました。 そこで、当然のことながら、スマートバルブを6個パックで購入し、家中に隠しておきました。 数ヶ月の「テスト」の後、私は彼らからデータを得ようと試みました。 分解して中の小さなチップを取り出す方法がわかるまで、4個の電球を分解しました。 そして、そのデータをどのように入手するかを考えなければなりませんでした。 結局、1つのチップから部分的にしかデータが取れませんでしたが、うまくいきましたよ。 つまり、失敗を恐れてはいけない、必ず成功につながるということです。
起業したての頃に知っていればよかったと思うようなことを、今知っていますか?
いろいろあるんですねー。 技術的な面では、データを活用する方法を知っていれば、今のように活用できたと思います。 長年、見過ごしてきたことが、潜在的にあったような気がします。
チームメイトの中で、ほとんどの人が知らないけれども、知るべき秘密は何ですか?
映画「ハングオーバー」をご覧になった方は、血の誓いのシーンをご存知でしょう。 私はグレイシフト本社で同様のセレモニーに参加したことがあるので、秘密を守ることを誓います。 ヒント:首謀者の名前はSchmosh Schmarderと韻を踏んでいる。
グレイシフトにもたらす超能力は何ですか?
私は人生をあまり深刻に考えず、楽しく、謙虚に、そして常に新しいことを学ぼうとしています。 私に直接お会いしたことのある方は、私が信じられないほど背が高く、とんでもなく面白いこともご存知でしょう。 身長はそれほどでもないのですが、大学時代に新聞社から「地元の巨人」と言われたことがあるので、それなりに。
Fullerton’s digital forensics knowledge and personality shine anywhere he goes. If you’re interested in learning more about the technical capabilities of GrayKey, he has a host of how-to videos and on-demand webinars available in the Investigators Corner (IC). You can access the Investigators Corner here using your login credentials or contact us to request access.
その他、気になる記事をご紹介します。
- ラボからDFS Josh Carder、GrayKeyとFight Clubのルールについて。
- グレーシフトのデジタルフォレンジックのスペシャリストにフルアクセス。Josh CarderとMatt Fullerton
© 2023. グレイッシュシフト合同会社 無断転載を禁じます。 機密事項
