クラウド サービスから抽出されたデータからユーザーの位置をどのように推測できますか?

地理位置情報データは、さまざまな政府機関に必要な情報を提供することができ、法執行機関は位置データを使用して容疑者の所在を特定します。ただし、地理位置情報データは刑事捜査や民事捜査に限定されません。たとえば、日常的な緊急対応サービスでも、助けが必要な人にサービスを提供するために位置データを使用します。タクシーや配達サービスも位置情報を利用してサービスの向上に努めています。位置データが重要となる例は他にもたくさんあります。最近、多くの政府が感染した国民の特定と隔離を支援するために地理位置情報データの使用を開始、または検討しています。

位置データはどこから来て、どのように抽出するのでしょうか?

地理位置情報データのソース

位置データはさまざまなソースから取得されますが、次の 3 つの部分に分けられます。

1. データが物理デバイス上に保存され、そこから抽出されるモバイル デバイス自体。

2. クラウド サービス。位置データは、Android スマートフォンに対応する Google アカウントなどの 1 つ以上のクラウド サービスにアップロードまたは同期されます。

3. サードパーティのクラウド サービス。フィットネスやトレーニング アプリケーション、一部のゲーム、オンライン ストレージ サービス (OneDrive、Dropbox など) などの多くのモバイル アプリケーションでは、位置情報データが位置ポイントとして、または画像のメタデータに保存される場合があります。

4. 通話詳細記録（CDR）。ユーザーが使用するモバイルデバイス（スマートフォン、フィーチャーフォン、LTEスマートウォッチなどの組み込みデバイス）に関係なく、モバイルサービスプロバイダーによって収集、保存され、関係当局に開示されます。

特に最新の iPhone モデルや iOS バージョンでも多くのエクスプロイトや取得方法が利用可能であることを考えると、モバイル デバイスから位置データを抽出したいという気持ちはわかります。しかし、Androidスマートフォンからの位置データを分析すると、裏目に出る可能性がある。なぜなら、Googleは、そのデータのより長くて包括的なバージョンを、ユーザーのGoogleアカウントに結び付けられたクラウドに保存しているからだ。

興味深いことに、位置データは単純な位置ポイントに限定されません。スマートフォンやクラウドなどさまざまなソースから抽出できます。写真や写真が添付されたメッセージには EXIF データが含まれており、写真が撮影された場所が保存されます。

位置情報アクセス権限を持つインストール済みアプリ（健康アプリやアクティビティトラッカーなど）には位置情報が含まれる場合があります（そのため、対応するクラウド サービスと同期されます）。

Google Fit や Strava などの健康アプリには多くの位置情報ポイントがあり、カレンダー イベントにも位置情報データが含まれている場合があります。これらすべてのソース（およびその他多数）は、「集約された位置データ」と呼ばれます。 2018 年にリリースされた Elcomsoft Phone Viewer 3.70 以降、集約された場所の抽出をサポートしています。

位置情報について言えば、EPV 3.70 はさまざまなソースから位置情報データを抽出できます。 iOS デバイスの場合、サポートされている位置データのソースは次のとおりです。

1. 重要な場所

2. キャッシュ（3G/LTE/Wi-Fi接続）

3. Apple マップ

4. Google マップ

5. メディアファイル内のEXIF（画像の撮影に使用されたデバイスのIDを含む）。

6. カレンダーイベント（イベントへのリンクを含む）

7. UBER アプリ

これらのリソースの多くは物理デバイス上のファイル システム アクセスに固有のものですが、一部のデータはクラウド サービスを通じても利用できます。 Apple (iCloud)、Google、Microsoft の 3 つのクラウド サービス プロバイダーから何が得られるかを見てみましょう。

アップル（iCloud）

Googleとは異なり、Appleはユーザーの位置情報の履歴を保持していません。つまり、iCloud から何年分もの位置情報履歴にアクセスできるという期待は根拠がないということです。ただし、位置データを提供できるソースはまだいくつかあります。これらには以下が含まれます:

健康アプリケーションにおけるトレーニングデータ

Apple エコシステムでは、これが、正確にタイムスタンプが付けられた複数の位置ポイントを含む唯一のタイプのクラウド データです。データはユーザーの Apple Watch から取得されます。 Apple Watch が運動の開始を検出すると、心拍数や位置情報などの運動データの記録を開始します。位置ポイントは、最近のすべての Apple Watch に組み込まれている GPS センサーから取得されます。

フィットネス データは健康カテゴリに分類され、エンドツーエンドの暗号化が使用されます。 Elcomsoft Phone Breaker を使用してエンドツーエンドで暗号化されたデータにアクセスするには、ユーザーの Apple ID とパスワード、ワンタイム 2 要素認証コード、およびユーザーの画面ロック パスワードまたはシステム パスワードを、その Apple ID アカウントに登録されているデバイスに送信する必要があります。

Elcomsoft Phone Viewer を使用してデータを分析できます。

データを探す

「探す」は、「iPhone を探す」と「友達を探す」を組み合わせたものです。新しいシステムのシンプルさを追求するために、Apple はこれら 2 つのアプリケーションを 1 つに統合しました。 POPPUR は、「探す」が iOS13、iPadOS (iPad 用にカスタマイズされた Apple の新しいシステム)、macOS 10.15 で動作し、その主な機能は依然として紛失したデバイスを見つけることであることを知りました。古いワイナリーを新しいボトルに入れたような感じですが、実際には Find My の機能はより強力になっています。以前の「iPhoneを探す」では、iPhone、iPad、iPod、Macのいずれであっても、位置情報を送信するにはデバイスの電源をオンにする必要があり、そうでない場合はデバイスの位置を特定できず、デバイスの回復に一定の影響がありました。

「探す」は、ユーザーの Apple デバイスの位置を正確に特定できます。ユーザーの Apple アカウントで 2 要素認証が有効になっている場合でも、「探す」サービスを使用する際に 2 番目の認証要素にアクセスする必要はありません。

iCloudバックアップ

一部の位置データは、iPhone デバイスの iCloud バックアップから抽出できます。通常、最も多くの位置ポイントは iCloud バックアップで利用可能な写真から取得されますが、ユーザーが iCloud フォトを有効にしている場合、これらの写真は iCloud に同期され、iCloud バックアップから除外されます。

iCloudフォトライブラリ

iCloud フォトライブラリが有効になっている場合、どのデバイスで撮影した写真もクラウドと同期されます。 Elcomsoft Phone Breaker を使用して写真をダウンロードし、EXIF メタデータから GPS タグを抽出するか、Elcomsoft Phone Viewer の [Aggregate Location] を使用するだけで、ユーザーの位置履歴の詳細なタイムラインを構築できます。

iCloud メッセージ

通常の iMessage 自体にはジオタグが付いていませんが、画像の添付ファイルには位置タグ付きの EXIF が含まれている場合があります。さらに、「位置情報」と呼ばれる特別な種類の iMessage もあります。もちろん、これらのメッセージには正確な位置情報のジオタグが含まれています。

アップルマップ

Apple マップ アプリには、驚くほど限られた量の位置情報データが含まれています。 Apple は、エンドツーエンドの暗号化 (iOS 13) を使用して Apple マップのデータを保護する役割を果たしています。このレベルの保護は、iCloud キーチェーン、iCloud メッセージ、ヘルスケア、スクリーンタイムなどの他の保護されたカテゴリと同様です。クラウドからデータを取得することは可能ですが、そのプロセスはエンドツーエンドで暗号化されたデータの抽出に依存しているため、ユーザーのデバイスのパスコードを使用する必要があります。

Elcomsoft Phone Viewer を使用して位置データを表示できます。

グーグル

Google は、Google アカウントに何年分もの位置データを保存します。位置データは、次のソースから取得できます。

Google のロケーション履歴、ルート、場所 (これについては後で詳しく説明します) は、地理位置情報データの主なソースです。

ルートと場所とは何ですか? また、それらはロケーション履歴とどのように関係していますか?

ロケーション履歴は、GPS センサー、モバイル ネットワーク、Wi-Fi BSSID などのさまざまなソースから Google が収集する生の位置情報データです。実際には、Google のロケーション レコードにはタイムスタンプ付きの位置情報座標が含まれており、場所の住所や会社名に関する情報は提供されません。ユーザーが実際に訪れた場所を見つけるには、その座標を手動で地図にピン留めし、データを分析する必要があります。

ルートや場所は Google によって分析され、クラウドソーシングされたデータに基づく人工知能を使用して、地理位置情報データと地図上の興味のある場所 (POI) を照合しました。その結果、Google は、ユーザーがどの興味のある場所を訪れたか、そこでどのくらいの時間を費やしたか、どのようなアクティビティに従事したかについて、根拠に基づいた推測を行うことができます。

ルートとプレイスにより、専門家は Google が見るユーザーの日常の活動を分析でき、交通手段、途中降機地、訪問した POI に関する情報を提供できます。場所、ルート、場所により、位置データの読みやすさが大幅に向上し、数値の地理位置座標の代わりに簡潔な場所リストが専門家に提供されます。

Elcomsoft Cloud Explorer を使用すると、Google のロケーション履歴、Google Fit データ、ルート、場所を簡単に抽出、表示、分析できます。

Google Fitデータ

Apple Health とは異なり、Google Fit は、内蔵の歩数計と位置追跡の定期的なポーリングに基づいて身体活動データを評価します。位置情報ポイントは、ユーザーの Google アカウントの Google Fit カテゴリ（メインの位置情報履歴とは別）に保存されます。

Googleフォト

現在、Google フォト API を使用している場合、Google は位置情報タグへのアクセスを提供していません。したがって、ユーザーの Google フォトのフォレンジック分析では、位置データが返されない可能性があります。ただし、正当なリクエストを介して Google フォトを取得すると、地理位置情報タグを含む完全な EXIF メタデータを含む画像が取得されます。

マイクロソフト

Microsoft は、位置データをユーザーの Microsoft アカウントと同期します。このデータは、プライバシー ダッシュボード (プライバシー ダッシュボードでデータを表示する) で表示したり、Elcomsoft Phone Breaker (Microsoft アカウントから通話ログ、閲覧履歴、位置データを取得する) を通じて取得したりできます。 「データのダウンロード」リンクを使用してデータをダウンロードできます。このリンクは、位置ポイントを JSON 形式で返します。 Microsoft は、Cortana、Microsoft Edge (デスクトップ アプリとモバイル アプリ)、Bing 検索 (ユーザーの Microsoft アカウントにサインインしている場合) など、さまざまなデータを収集します。

ワンドライブ

あまり言及されないもう 1 つの位置データのソースは OneDrive です。Office 365 の加入者は、サブスクリプションに伴って 1 TB のクラウド ストレージを利用できます。 Apple ユーザーは無料で 5GB の iCloud ストレージしか利用できないため、サブスクリプション料金を支払わずにクラウドに保存できる写真やビデオの数には制限があります。そのため、賢い iPhone ユーザーは、対応する iOS アプリを使用して写真を OneDrive に保存します。

Google は Google フォトで無制限の写真ストレージを無料で提供していますが、無料プランでは写真のサイズと品質が大幅に低下するため、写真の品質を気にする人にとっては望ましくないサービスになっています。さらに、Google フォトは EXIF タグから位置情報データを削除するようです。このため、多くの Android ユーザーも、写真を Google フォトではなく OneDrive に保存しています。

専門家は、ユーザーの OneDrive に保存されている写真の EXIF データを分析することで、タイムスタンプが添付された多くの位置ポイントを取得することができました。

位置情報をあまり信用しすぎない

位置データは偽物である可能性があります。デジタル データを分析する際に、ツールを盲目的に信頼することが人が犯す最大の間違いだからです。位置データに関して最もよくある間違いの 1 つは、デバイス上またはユーザーのクラウド アカウントにあるすべての写真から抽出された EXIF データに頼ってしまうことです。これらの画像の多くは、異なるユーザーの異なるデバイスから取得されたり、添付ファイルとして受信されたり、インターネットから保存されたりする可能性があります。位置キャッシュは位置データの別のソースであり、ユーザーのデバイスからかなり離れている可能性のある最も近い携帯電話基地局のおおよその座標をリストします。 Wi-Fi アクセス ポイントの地理的位置は、アクセス ポイントの BSSID 識別子に基づいてサードパーティ サービスから取得されますが、この識別子は通常不正確です。最後に、重要な場所には到達可能ですが、クローズドソース アルゴリズムを使用して導出されます。重要な場所は、タイムスタンプが付いていないにもかかわらず、ユーザーの実際の場所を示すより信頼性の高い指標の 1 つです。たとえば、以下は私の位置情報履歴を表示する Microsoft アカウントのスクリーンショットです。

どちらの場所も偽物です。最初の場所ポイントは、私から約 5 キロメートル離れたデスクトップ コンピューターの場所を表すはずです。 2 番目の位置情報ドットはさらに興味深いものでした。それは、私がほぼ半年使用していなかったデバイスを表しており、その間に「電話を探す」を無効にして電話を消去したにもかかわらず、奇跡的にその位置情報を私のアカウントに報告していたのです。