近年の国家レベルのスパイウェア攻撃の激化に対応して、Google は Android システム用の新しいオプション機能である侵入ログを開発しています。この機能は一般ユーザーを対象としたものではありませんが、ネットワーク セキュリティ研究者がシステム ログの詳細な検査を通じてデバイスがスパイウェアに感染していないかどうかを確認するのに役立ちます。
侵入ログは Android の高度な保護モードに設定されます。 Android 高度な保護モードは、Google が Android ユーザー向けに提供したオプション機能です。ユーザーがこの機能を有効にすると、セキュリティを向上させるために一部のシステム オプションが無効になります。たとえば、高度な保護モードを有効にすると、ブラウザのカーネルの脆弱性を通じて感染することが大幅に困難になります。
高度な保護モードは、システムから重要な情報を抽出しようとするフォレンジック デバイスにも対処できます。以前セルビアで起きた国家レベルのスパイウェア攻撃では、セルビア当局はCellebriteが開発したフォレンジックツールを使用してAndroidデバイスのロックを解除し、その後スパイウェアをインストールしてターゲットの監視を続けた。
侵入ログは研究者に包括的なログを提供します。
侵入ログ機能は、本質的には、Google が Android システム用に開発した新しいタイプのログです。この新しいタイプのログは、Android システムの通常のログよりも包括的かつ詳細です。これは、さまざまなソフトウェア イベントを記録し、証拠を収集するために使用され、それによってユーザーやネットワーク セキュリティ研究者がスパイウェア攻撃の疑いのある内容を詳細に理解するのに役立ちます。
これまで、フォレンジック分析は主に、侵入を検出するように設計されていないログに依存していました。このようなログは保存期間が短く、上書きされることが多いため、ネットワーク セキュリティ研究者にとってはあまり役に立ちません。スパイウェアの遅延は非常に長くなる可能性があり、ログが上書きされると、研究者は攻撃元を追跡できなくなります。
侵入ログ機能が追加されました。この機能が有効になっていると、システムは毎日ログを作成して収集します。収集されたログは、高強度のアルゴリズムを使用して暗号化され、ユーザーの Google アカウントにアップロードされます。したがって、ログがローカルで消去された場合でも、研究者は引き続きクラウドを通じてログを検索できます。
ここで言及しておく必要があるのは、侵入ログ機能は実際には 2025 年に開発されていますが、Google は現在段階的に導入しているだけです。 Googleはブログで、この機能はAndroid 16 December 2025 Update以降を実行しているデバイスに展開されると述べた。
侵入ログが提供する追跡イベントは次のとおりです。
Android デバイスのロックが解除されたのはいつですか?
アプリケーションがインストール、起動、またはアンインストールされたとき
Android デバイスはどの Web サイトまたはサーバーに接続されていますか?
誰かがターゲット デバイスを使用して ADB に接続していますか (フォレンジック ツールは ADB 経由で接続し、データを読み取る必要があります)
上記のトレースのログを削除しようとした人はいますか (これは、誰かが攻撃の証拠を隠そうとしたことを示唆しています)