setodaNote

忘れる用のメモ書き for Cybersecurity

Webカメラやマイクへのアクセス日時が記録されるレジストリ

🦉フォレンジック 📑メモ

Windows 10 ではプロセスが Web カメラやマイクにアクセスすると、レジストリにその開始と終了の時刻が記録されるという記事があったので、実際に確認してみました。

Web カメラやマイクにアクセスしたプロセスが記録されるレジストリ
付録
- 設定にあるカメラやマイクにアクセスしたプロセス一覧
- Windows 10 のデスクトップアプリとプライバシー
更新履歴

Web カメラやマイクにアクセスしたプロセスが記録されるレジストリ

以下のレジストリに記録されるそうです。

Can You Track Processes Accessing the Camera and Microphone on Windows 10? · DFIR Review
https://dfir.pubpub.org/pub/nm5b39ae/release/1

Web カメラ：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\webcam\

マイク：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\microphone\

実際に手元のある環境で確認してみたところ、ずらっと記録されていました。 *1 *2

確認した環境
- Windows 10 Home Build 19042.746 (20H2)

f:id:soji256:20210121220259p:plain:w520 — Web カメラ：レジストリに記録されたカメラにアクセスしたプロセス一覧

f:id:soji256:20210121220610p:plain:w520 — マイク：レジストリに記録されたマイクにアクセスしたプロセス一覧

中身は以下のような感じで、16進数で日時情報が記録されていました。

f:id:soji256:20210127211338p:plain:w468 — 開始と終了の日時情報

w32tm コマンドで人が読める日時形式に変換する

まずレジストリに記録されている16進数を電卓などで10進数に直します。 *3

f:id:soji256:20210127211446p:plain:w322 — 世界的に有名な電卓さん

これで NT エポックタイム値が得られるので、Windows の標準コマンドを使って人が読める日時形式に変換します。

w32tm /ntte 132223232963141592

f:id:soji256:20210127211639p:plain:w460 — w32tm コマンドで NT タイムエポック値を日時に変換

記録されるのは最終利用日時のみ

レジストリに記録されているのは最終利用日時のみで、利用する度に上書きされていくようです。元記事では Sysmon を使ってモニタリングするアイディアが提示されていました。

Microsoft Store アプリの履歴は記録されない

例えばマイクのプライバシー設定には「マイクにアクセスできる Microsoft Store アプリを選ぶ」と「デスクトップアプリがマイクにアクセスできるようにする」という2つの項目があり、それぞれについて最終利用日時が確認できるのですが、検証した範囲では今回のレジストリは後者のデスクトップアプリのみが記録される場所のようでした。 *4

設定でアクセスを許可していない状態での記録有無

アクセスしようすること自体が記録されるのか、何も記録されないのかが少し気になりますが未検証です。また、一部のアプリはアクセス制御をバイパスする場合もあるようですが検証できていません。 *5

設定でアクセスを許可しないに変更しても記録は消えない

プライバシーの設定からカメラやマイクへのアクセスを禁止する設定にしても、レジストリに記載の情報や設定の一覧に記載の情報も消えずに閲覧可能でした。

レジストリから削除すると設定からも表示が消える

プロセス単位でキーをレジストリから削除すると、設定の履歴一覧からも表示が消えました。表示の不整合もありませんでした。

レジストリを追加すると設定の表示も増える

レジストリに所定の様式に従いプロセス単位でキーを追加すると、設定の履歴一覧にも表示されるようになりました。

付録

設定にあるカメラやマイクにアクセスしたプロセス一覧

設定のプライバシーにはカメラにアクセスしたプロセス一覧を表示する項目があります。前述のレジストリに記録されていないプロセスもいくつか表示されていました。 *6

f:id:soji256:20210121220224p:plain:w520 — カメラにアクセスしたプロセス一覧

f:id:soji256:20210121215910p:plain:w520 — マイクにアクセスしたアプリの一覧

Windows 10 のデスクトップアプリとプライバシー

Windows 10 のデスクトップアプリとプライバシー
https://support.microsoft.com/ja-jp/windows/windows-10-%E3%81%AE%E3%83%87%E3%82%B9%E3%82%AF%E3%83%88%E3%83%83%E3%83%97-%E3%82%A2%E3%83%97%E3%83%AA%E3%81%A8%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC-8b3b13bc-d8ff-5460-8423-7d5d5c1f6665

一部のデスクトップアプリは、これらのプライバシー設定を無効にしても影響を受けないことがあります。たとえば、ドライバーと共にインストールされるアプリでは、Windows によるアクセス制御の機能をバイパスして、カメラやマイクのハードウェアと直接やり取りしている可能性があります。

更新履歴

2021/01/28 新規作成
2021/01/31 意味が明確になるように一部追記

*1:元記事によると遅くとも 1903 以降からは記録されているようだとのこと。

*2:マイクのレジストリの最下部にある「windows.immersivecontrolpanel_cw5n1h2txyewy」というキーはコントロールパネルらしく、この中にも日時情報が記録されていました。

*3:レジストリを閲覧する専用ツールを使えないとき向けの手順です。

*4:例えば Windows 標準の「ボイスレコーダー」で試すと設定には採取利用日時が表示されますが、レジストリに記録されていませんでした。

*5:付録の「Windows 10 のデスクトップアプリとプライバシー」を参照。

*6:Windows 組み込みのツールだけでなく、サードパーティーの製品でもそういったものがありました。詳細は未検証です。