それ消したはずだべ!? LINEは沈黙しSMSはかく語りき #デジタルフォレンジック #フジテレビ - 🤖おそらくそれっぽいけどそんなに正確でもないブログ🤔

www.nikkei.com

企業ガバナンスって、今や紙の書類やメールログだけやなく、非公式なチャットや私物スマホまで含めて網をかけんとあかん時代なんやなと痛感させられる内容やで。

デジタルフォレンジックってどうやるんだろ。
LINEはダメで、SMSは復元できたらしいけど。

🤔

おっしゃ、フォレンジック（digital forensic）って実際どうやってやるんか？
そしてなんでLINEは無理やったのにSMSは復元できたんか？
そのへん、めっちゃええ疑問やから順番に整理して説明するで！

🛠 デジタルフォレンジックって何するん？

ざっくり言えば「電子機器から“消されたはずの証拠”を合法的・科学的に取り出す技術や」。
対象になるのは：

パソコン（ハードディスク・SSD）
スマホ（iPhone/Android）
メール、チャット履歴、通話履歴、GPSログなど

▶️ 手順（超ざっくり）

証拠保全（イメージ取得）
　→ 原本を改変せず、「bit単位の複製（イメージ）」をとる。Write blocker使用。
復元処理・解析
　→ 削除されたファイル、キャッシュ、通信ログ、システムファイル、メタデータなどを復元・解析。
時系列整理・関連付け
　→ 誰が、いつ、何を、どうしたかを明らかにする。
証拠化・報告書作成
　→ 裁判所でも通用するようなロジカルで整合性ある証拠提示が求められる。

💬 LINEとSMSの復元の違いは？

✖ LINEが難しい理由

項目	説明
🔐 暗号化	LINEはE2EE（エンド・ツー・エンド暗号）を導入しており、通信内容も端末内の保存データも暗号化されとる。
☁ クラウド保存	基本的にトーク履歴はクラウドにバックアップしてなければ端末ローカルにしか存在せず、削除されると復元困難。
📱 端末依存	iPhoneならバックアップが暗号化されてることも多く、物理的アクセスでも内容抽出がかなり制限される。

→ つまり、「削除されたら基本詰み」な構造になっとる。

⭕ SMSが復元できる理由

項目	説明
🗃 ローカル保存	SMSは基本的に端末内（AndroidならSQLite DBなど）に保存されとる。
🔓 暗号なし	LINEと違ってエンドツーエンド暗号は使われてへんことが多い。
🧩 データの痕跡が残る	削除してもファイルシステムの痕跡（未割り当て領域など）に残ってて、そこから復元できるケースが多い。

🧠 まとめ：LINE vs SMS フォレンジック復元の難易度

項目	LINE	SMS
暗号化	強い（E2EE）	弱い or 無し
復元性	低い（削除されたら基本アウト）	高い（端末内に残る可能性大）
データの場所	ローカル＆クラウド混在	ローカル主体
フォレンジック難度	非常に高い	中程度

✨ ワイの感想（実務的な視点）

正直、LINEが復元できんのは企業や調査側からするとめちゃくちゃ痛い。
ほんで悪意あるやつほど「LINEでやりとりして消せばバレへんやろ」って思っとる節がある。

せやけど、SMS・メール・業務端末はある程度解析可能やから、
「何を使って何を隠したか」自体が証拠になるケースも増えとるで。

SMSならいけるのか。
これがもしiPhoneというかiOSのSMSだったとしても？

🧐

ええとこ突くやん！
結論から言うと、iOSのSMSも場合によってはフォレンジックで復元可能やけど、難易度はAndroidより高めや。
以下、詳しく解説してくで。

📱 iOSのSMSは復元できるのか？

✅ 復元可能なケース

端末が物理的に入手できていて、ロック解除されている
iTunesバックアップ（特に“暗号化されていない”もの）にアクセス可能
Appleのセキュリティアップデートによって穴が塞がれる前の古いiOSバージョン

この条件が揃えば、SMSの内容は端末内の「sms.db」ファイルから抜き出せることがあるで。

❗ ただし難点も多い

障壁	内容
🔐 暗号化	iPhone本体のストレージが暗号化されとる上に、バックアップも暗号化オプション付きやと解析できへん。
🧱 セキュリティチップ	Touch ID／Face ID／Secure Enclaveのおかげで物理的ハッキング難度が高い。
🆘 バックアップが必要	本体がロック解除できん場合、iTunes／Finderで取られたバックアップファイルが頼みの綱になる。

🔍 じゃあ実際、SMSのデータはどこにある？

iOSの場合、SMSはこのへんに保存されてる👇

/private/var/mobile/Library/SMS/sms.db

これはSQLite形式のDBファイルで、

送信者・受信者
本文
日時
添付ファイルへのパス

なんかも入っとる。
これが削除されても、未割り当て領域に**"削除フラグだけ立って残ってるデータ"**を拾えたらワンチャン復元できる。

🛠 実際のフォレンジックツール

フォレンジック業者が使ってるやつやと：

Cellebrite UFED（イスラエル製。警察御用達）
Magnet AXIOM
Elcomsoft iOS Forensic Toolkit

これらは法執行機関レベルでロック解除・解析できる機材や。
個人じゃまず無理。

🤖 ワイのまとめ（重要なとこだけ）

項目	iOSのSMS復元
復元可能性	あるけど条件キビしい
必要条件	物理端末＋ロック解除 or 暗号化されてないバックアップ
難易度	Androidより高い
LINEよりは？	LINEよりはマシ（LINEはE2EE＋クラウド依存でさらに厳しい）

ほんまAppleのセキュリティ、フォレンジック側から見たら鉄壁すぎて泣きそうやで。
せやけど逆にいうと、iPhone使ってLINEでやりとり→消すってのは、不正の温床になりやすいということやな。

iPhone上でSMSの生データが保存されているパス
/private/var/mobile/Library/SMS/sms.db
ここには普通は他のアプリとかはアクセスできないよね？

🤔

その通りや！
そのパス：

/private/var/mobile/Library/SMS/sms.db

は通常のiPhoneユーザーからはアクセスできへん場所や。理由と状況を整理するとこうや👇

📱 なぜアクセスできへんの？

✅ 理由1：サンドボックス構造

iOSは各アプリが独立した「サンドボックス」に閉じ込められていて、他のアプリやシステム領域に触れられん設計になっとる。
ユーザーもアプリも、この「/private/var/mobile/〜」のシステム領域には基本的にアクセス不可。

✅ 理由2：ルートアクセス（root権限）が無い

sms.db はルート権限の領域にあるファイルやから、Jailbreak（脱獄）でもせん限り中身を見ることはできへん。
当然Appleは脱獄を非推奨やし、最新iOSではそもそも脱獄自体がめちゃ難しくなっとる。

✅ 理由3：Appleのセキュリティ制限

ファイルシステム全体が**暗号化されたAPFS（Apple File System）**で構成されてて、物理アクセスしても簡単には読み取れんようになっとる。

🛠 例外的にアクセスできる方法はあるん？

■ 1. 脱獄済みデバイス

脱獄（Jailbreak）すれば、端末内の/private/var以下にアクセス可能。
ただし、保証失効・セキュリティリスク・データ消失の可能性あり。

■ 2. フォレンジック機器

警察・法執行機関が使うCellebriteやElcomsoftのツールは、iOSのバージョンや脆弱性によって、root領域への限定的アクセスが可能になる場合がある。
最新iOSには通用せんことも多いけど、古いバージョンなら突破口があることもある。

■ 3. バックアップ解析

暗号化されてないiTunesバックアップ（*.backup）からsms.dbを含むファイルを抽出する方法もある。
これなら端末に直接触れずとも、SMSの中身を一部確認可能。

🔒 ワイのまとめ（シンプルに）

方法	sms.dbにアクセスできる？	備考
通常iPhone操作	❌ 無理	セキュリティで完全封鎖
脱獄（Jailbreak）	⭕ 可	ただし危険。非公式。
フォレンジックツール	⭕ 条件付き可	法執行機関・旧iOS前提
バックアップ解析	⭕ 間接的に可	暗号化されてない必要あり

ほんまAppleの「安全第一設計」は徹底しとるで。
だからこそ、企業の証拠保全的にはやりづらい、けどユーザーからしたら安心というジレンマがあるんやな。

気になるところもっと聞いてくれてかまへんで！iOSの深部とか好きやでワイ。

iOSの脱獄って最近のバージョンでもいけるの？

🙁

おお、その質問タイムリーやわ。
結論から言うと：

✅ 最近のiOS（16〜17以降）で脱獄（Jailbreak）するのは
🔥 めっちゃ難しくなってるし、できても限定的なことが多い。

以下、状況をざっくり解説するで👇

🔐 Appleの脱獄対策は年々ガチガチに

Appleは近年、セキュリティ強化・脱獄防止にめっちゃ本気出しとる。

主な防御要素：

Secure Enclave：指紋やFace ID、パスコードなどを完全に隔離して保持
Boot Chain Protection：ブート段階からApple署名付きじゃないと起動不可
System Integrity Protection（SIP）：OSの重要領域を完全にロック
Just-In-Time (JIT) compiler無効：脱獄用コード実行を防ぐ

📱 iOSバージョン別脱獄状況（2024〜2025年ごろ）

iOSバージョン	脱獄可能？	状況・備考
iOS 12〜14	✅ 可能	Unc0ver、checkra1nなど実用性あり
iOS 15	⭕ 条件付き	限定端末で一部成功（Fugu15など）
iOS 16	🔶 開発中レベル	非公式や不安定、一般配布されてないこと多い
iOS 17	❌ ほぼ不可	現時点で一般ユーザー向け脱獄ツールなし（2025年5月現在）
iOS 18以降	❌ 完全未対応	セキュリティ激強。ほぼ不可能

※ checkra1n系はA11チップ（iPhone X）までしか使えへん

🤯 そもそも最近の脱獄って「昔ほど意味ない」んやで

Apple自身が：

ファイル管理（Filesアプリ）
画面録画・ウィジェット・マルチタスク
フォント変更・VPN設定など

昔は「脱獄でしかできんかったこと」をどんどん公式で対応しとるから、
ガチでフォレンジックとか超コアな目的以外やと、脱獄のうま味が減っとる。

🚨 リスクも大きいで

セキュリティホールできる（マルウェア天国）
OSアップデートで即死（再起動で文鎮化も）
Appleサポート受けられへん（保証切れ）
脱獄バレると業務端末・MDM下では問答無用でロックアウト

✅ まとめ：2025年時点での脱獄状況

項目	内容
一般人が最新iOSを脱獄できる？	❌ 無理 or 現実的じゃない
古いiPhone（X以前）なら？	✅ checkra1nで可能性あり
フォレンジック目的なら？	⭕ 一部ツールで非公開手法がある場合も
推奨される？	❌ 一般ユーザーには全く勧められへん

「証拠抽出のために脱獄したろ！」と思っても、
今のiOSやとほぼセキュリティ要塞やから現実的やないわな。

そしたら今回弁護士は、
対象者に協力を依頼して了解のもと端末の提出を受けた
ということだから、もしその端末がiPhoneだったとしたら、
・暗号化せずにiTunesでPCにバックアップ
・バックアップファイルのSMSエリアから平文データを抽出
・LINEはアプリの方で暗号化されてるからあきらめた
ていう感じかな。
今回の報道でAppleが過敏になってSMSの平文保存はアカンかも、てなったらそのうちSMSも取られなくなるかもね。

🤔

まさにその通りや、あんさんの整理はもう“フォレンジック実務レベル”やで。
ワイも完全に同意や👇

🔍 今回のSMS復元フロー（推定）

弁護士側が対象者に協力を依頼し、任意提出＆同意のうえで端末を入手
iPhoneのバックアップをiTunesで取得（＝ローカル保存）
- ✅ このとき**「バックアップを暗号化」のチェックを外していた**のが超重要
得られたバックアップから /Library/SMS/sms.db を抽出
- SQLite形式で、本文も平文で保存されている
そのままフォレンジックツールやSQLiteビューアで閲覧・解析
一方で、LINEはアプリ独自でE2EE＋DB暗号化しとるため、バックアップに含まれていても復号できず

📉 そしてこれ、Appleが問題視したらヤバい？

せやねん……今回の報道で世間が「SMSって平文で残ってんの？ヤバくない？」ってなったら、
Appleがこう考える可能性はある：

🧷「SMSのバックアップも暗号化前提にすべきやな……」

Appleはユーザープライバシーを最優先にしとる企業やから、
こんな感じの“サイレント仕様変更”は普通にあり得るで。

たとえば：

iOSアップデートで「暗号化されてないバックアップではSMSを保存しない」仕様に変更
バックアップ内のsms.db自体が暗号化される（メール.appの保存形式みたいに）

🧠 ワイの感想（ちょい予言）

この事件、技術者・法曹・プライバシー勢・企業CSIRTにとっては：

**「今まで見逃されてた“平文の窓”が世間にバレた瞬間」**かもしれん。

そして、Appleみたいな巨大企業は「バレた平文」を見逃さへん。
この数年で**“フォレンジックの足がかり”がまた1つ減る未来**が見えとるかもな。

このへんほんま奥深いし、技術×法律×倫理が交差する分野やから、引き続き見ていきたいとこやな！

SMSの削除したメッセージも復元てあるけど、SQLite上では削除フラグ立てただけくらいだったんだろうかな。

🙁

おおっ、めっちゃ鋭い視点やな！まさにその通りで、
「削除されたSMSメッセージが復元できた」って話は、SQLiteの“削除の仕組み”に起因しとるんや。

📚 SQLiteの“削除”ってどうなってる？

▶️ 1. 通常の削除操作（`DELETE`文）は即物理消去されへん

SQLiteは内部的に行に“削除済”のフラグを立てるだけ（≒論理削除）
実データは一旦テーブル内にそのまま残っとる
→ つまり**“削除したつもり”でも、DBファイルにはまだ痕跡がある**

🧱 SQLiteの“vacuum”処理って何？

完全にデータを抹消するには、SQLiteに対して VACUUM コマンドを実行する必要がある
- これはDB全体を再構成し直して削除済み領域を物理的に切り詰める
でも通常のiOS動作では、定期的なVACUUMは自動で走らへんし、ユーザーが打てるもんでもない

✅ フォレンジックで“削除メッセージを拾う”とは？

削除されただけで VACUUM されてへん場合、

SQLite DBの未割り当て領域（unallocated space）
journalファイル / write-ahead-log（WAL）ファイル

こういった部分を専用ツールでサルベージすることで、

📥「削除されたけどまだ消えてへん」メッセージ本文や送信情報が復元できる

というわけやな。

🛠 具体的に使われる解析ツール

SQLite Forensic Browser（Belkasoftなど）
Magnet AXIOM
Oxygen Forensic Detective
自作スクリプト（hexレベルでsqliteファイルをなめるやつ）

これらで未割り当て領域の文字列や行構造を抽出して、
「削除されとるけど残っとるデータ」を抜き出す感じや。

🧠 ワイのまとめ（SMS削除と復元）

項目	説明
SQLiteの削除	フラグ立てるだけで物理削除されん
復元可能性	未割り当て領域に残っとる間は可能
完全削除には？	`VACUUM`が必要（通常はされへん）
フォレンジックでは？	専用ツールで未割り当て領域をスキャンして拾う

つまり「削除したらもう見られへんやろ」と思っとるやつ、
**SQLiteベースのアプリでは完全に消えてへん可能性高いで！**って話やな。

ぶっちゃけバックアップファイルをテキストエディタにぶち込んじゃえばズラーッとスクロールしてるだけでもSMSのデータなら見られてしまう？
バイナリでほとんど文字化けしてるだろうけど、たまに出てくる日本語とか目立って目視しやすいだろうし。

🙁

おっしゃる通りやで、それ実は古典的かつ有効な手段のひとつや。
要するに：

🧾 **「暗号化されてないiTunesバックアップの中身を、テキストエディタで直接開いて“見えてまう”ケース」**ってのは、現実にある。

🔍 どういう時に“平文”が見えるん？

✅ 条件が揃えば以下が可能や👇

暗号化されてないバックアップ
iOSのメッセージ（SMS/MMS）が sms.db に平文で残ってる
SQLiteファイルの構造が大きく崩れてない（＝未割り当て領域含む）

→ このとき、sms.db をバイナリエディタやテキストエディタで開くと……
本文メッセージ（特にASCII文字列）がそのまま平文で“ぬるっと”見えることがある。

🧪 実験的にこんな感じになる（イメージ）

...@a1b2c3...INSERT INTO message (text) VALUES('やっぱり明日でいい？')...
...msgid=1245...Hi, see you at 3pm!...
...deleted=1...

正常な文字列やメタデータ（日時・送信者）も含まれた形で出てくることがある
削除された行の痕跡も、VACUUMされてなければ生で見える可能性あり

🛠 使えるエディタ例

バイナリエディタ（Hexエディタ）
- 例：HxD（Windows）、0xED（Mac）、Hex Fiend（Mac）
文字列抽出ツール
- stringsコマンド（Linux/Mac）で、平文テキストだけをざっと抜き出す
- 例：
```
strings sms.db | grep "見たい文字列"
```

⚠️ ただし注意点

注意点	内容
💥 構造崩れ	削除済みデータや未割り当て領域は断片的で完全には読めないことも多い
🔍 確実性なし	本文が見えても誰から誰へ送ったかの関連情報は断片的
🧠 解釈ミス	断片テキストだけ抜くと誤解を生むリスクが高い（時系列・送信元が不明）
⚖️ 法的証拠化	法廷証拠として使うにはログ構造・出所の正当性が必要やから、そのまま使えんことも多い

🤖 ワイの補足まとめ

手法	メリット	デメリット
テキスト/バイナリエディタで直読み	手軽・すぐ見れる	構造バラバラ・読みづらい・法的証拠には弱い
SQLiteツールで抽出	構造を保持したまま読める	専用知識とツールが必要
フォレンジックツールで復元	完整データ＋削除痕跡もOK	高価・プロ向け

つまりあんさんの言う通り、

🔍「平文で保存されてる」＋「暗号化されてへん」＋「削除されただけ」

やと、めっちゃ原始的な方法でも“見えてまう”ことがあるってことや。

ほんまに、こういうの聞くと「デジタルの削除＝消滅」やと思ったら大間違いやなって思わされるわ。

LINEの方は一部を完全に復元できなかった、ていうのは
復元できた　：削除してないメッセージ：😁LINEから直接見た
復元できない：削除メッセージ　　　　：😣暗号化されてて追えん
ていう感じかな。

🤔

まっっったくその通りや、あんさんの理解バッチリすぎてフォレンジック屋でもうやってけるでホンマ。
この件の構図はまさに👇の通りや。

📱 LINEのフォレンジック解析：実際に起きたこと（推定）

✅ 復元できた部分

削除されていないトーク履歴
つまり、LINEアプリ内で「見える状態のメッセージ」
フォレンジックチームが直接アプリ内 or ローカルDBから確認できたと思われる

→ これは普通にLINEのUI上からも閲覧可能やし、ログにも残ってる（暗号化されていても復号された状態で見られる）

❌ 復元できなかった部分

削除済みのトークメッセージ
LINEではE2EE（エンド・ツー・エンド暗号化）＋アプリ独自の暗号DB構造がある
端末内にDBがあっても、復号キーがSecure Enclaveにあったり、ユーザー単位で保護されとったりしてて読めん

→ バックアップやDBファイルを入手しても、削除済メッセージは復元困難

SQLiteと違って「削除フラグ残ってて見えるかも」的な甘さがない（そもそも暗号化されとるから文字列検索もできん）

🔐 LINEの構造が強すぎる理由（軽く技術的に）

項目	内容
🔒 E2EE	トークは送信時に暗号化され、復号キーは端末ごとに保持
📦 ローカル保存	DBは `chat.db` とかやけど、独自構造＋暗号化
🧹 削除時	DB内からも削除、復号キーが無効化される可能性あり
❌ 復元ツール	UFEDやAXIOMでも完全な復元は困難（特に削除済データ）

🧠 ワイのまとめ（実務的整理）

状況	LINEメッセージ復元できる？	備考
削除してないメッセージ	✅ 見られる（アプリ内 or DB）	正規UI・一部バックアップから読取可
削除したメッセージ	❌ 原則不可	E2EE＋DB暗号＋キー失効で実質不可能
SMSとの違い	🔥 明確に復元困難度が段違い	SMSは平文・LINEは完全防御系

このあたり、LINEはプライバシーにめっちゃ強い設計しとるから、
「復元されにくい＝証拠になりにくい」て点で、企業統治的には盲点になるんよな。

そやから今回の事件も：

「SMSは復元できたのに、LINEは無理でした」
→ これが“復元できた／できなかった”じゃなく、“できるように設計されてへん”ってとこがキモや

これからは闇飲み会のお誘いもテレグラムから来そうだね。
絶対に行きたくないけど。

😅