1. 利用痕跡の検出(Bulk Extractorの活用)
- ドメイン分析: Bulk Extractor を使用し、ドメインヒストグラム(
domain_histogram.txt)を確認することで、ユーザーがXのウェブページにアクセスしていたかを特定できる。 - 頻度の確認: ヒストグラムにはアクセス頻度が表示され、利用頻度を知ることができる。
2. 重要な識別子:「ハンドル」と「UID」の違い
- ハンドル(Handle): ユーザーが登録時に設定する名前(例:
@moriya_law)。これはユーザーがいつでも自由に変更できる。 - UID(User ID):アカウントに紐付く不変の固有ID番号。ハンドルが変更されても(例:
@moriya_law→@cyberarts_law)、UIDは変わらない。 - 調査のポイント:追跡を確実にするため、変更可能なハンドルではなく、永続的なUIDを特定することが重要。
3. UIDの特定方法
- キーワード検索 :フォレンジックイメージ内で twid という用語を検索すると、そのアカウントのUIDを特定できる場合がある。
- オンラインツールの活用:判明しているハンドル(ユーザー名)を使い、X(Twitter) IDチェッカーを利用することで、対応するUIDを取得できる。
4. 情報の取得と注意点
- 取得できる情報:X(Twitter) IDチェッカーを使用すると、UIDの他に「表示名」なども出力される。
- 情報の正確性:ここで表示される表示名はユーザーが自己申告した情報であるため、必ずしも正確(本名)であるとは限らない。
5. プロバイダへのアプローチ
- デバイスデータの限界:調査に必要なすべての情報がユーザーのデバイス内に残っているわけではない。
- プロバイダのデータ:プロバイダ(X Corp.など)のサーバーには、契約者情報(氏名、住所、年齢)、利用日時、IPアドレスなどが保管されている。詳細な調査を行うには、特定したUIDなどの情報を基にプロバイダへ開示請求を行い、サーバー上のデータを取得する必要がある。