デジタル・フォレンジック(※)の現場から見れば、デジタルデータはどんなに完璧に消去したつもりでも、多くの場合、なんらかの痕跡が残っている。
(※)コンピュータなどから有用な情報を抽出し、法的手続きのために証拠化する技術のこと
昨年発生した、神奈川県庁で使用されていたHDDが不正に転売され個人情報を含む多くのデータが漏洩した事件は、HDDを物理的に破壊するなど、廃棄作業の確実性をしっかり確認することの重要性を教えてくれた。
当該事件では、購入者がHDD使用前に中身を確認してデータに気づいたため、復元ソフトを使用してファイルを復元させたことで発覚した。県庁職員はリース会社に機器を返却する際、HDDをフォーマットしたということだが、フォーマットされただけのHDDであれば、このようにいとも簡単に復元が可能なのである。
●ファイルシステムにおける削除の仕組
ファイルは「管理情報」と「データ本体」に分けて記録される。「管理情報」とは、作成者や更新日、保存場所などのメタデータと呼ばれるもの、「データ本体」とはファイルの内容である。
デスクトップ上に保存されているXというファイルをごみ箱に移動したとする。このとき、ファイルシステム上では、Xの「管理情報」の中の保存場所がデスクトップからごみ箱へと書き換えられる。この時点では、ごみ箱から「元に戻す」ことでいつでも復元可能である。
次に「ごみ箱を空にする」を実行する。画面からXは消え、どこからもアクセスできなくなる。その際ファイルシステム上、Xに生じる変化は以下のとおり。
(1) Xの「管理情報」に「削除フラグ」が付加される。
(2) Xの「データ本体」はそのまま残る。
(3) Xの「管理情報」「データ本体」は新たに作成されるファイルによって
上書き可能な領域となる。
つまり、「ごみ箱を空にする」実行直後は、画面から見ることができないだけで、HDD上には「管理情報」も「データ本体」も残っている。これらは管理情報の「削除フラグ」を取り除くだけで完璧に復元できるし、管理情報やデータ本体の領域が新たなファイルで上書きされなければ復元可能である。そしてこの上書きされる場所というのは偶然に左右されるものであり、新しいデータが多く上書きされるほど復元の可能性は低くなる。そう、データは上書きによって消えていくのだ。いわゆるデータ消去プログラムが、ディスクの全領域のデータを別データで上書きすることを目的とするのはこの仕組による。
●フォーマットはデータを見えなくしているだけ
削除の仕組を理解した上で、ではHDDのフォーマットでは何が行われているかを見てみよう。フォーマットをすればデータは全て消え、まっさらの状態になったかのように錯覚しがちだが、Windows標準のフォーマットは論理フォーマットであり、データを書き込む形式(NTFSやFAT32など)を決める処理に過ぎず、データを消去もしくは0で上書きしているわけではない。
●デジタル・フォレンジックにおける復元作業
削除やフォーマットの仕組がわかれば、デジタル・フォレンジックにおけるデータ復元作業について、グンと理解しやすくなると思う。復元作業は、ファイルの「管理情報」に記載されている「削除フラグ」をツールによって検知し、保存場所などを基にデータの復元を行う。すでに「データ本体」の領域が別のファイルで上書きされているような場合は、データ内容の復元は難しいが、管理情報でファイル名や時間情報(タイムスタンプ)が復元できるだけでも貴重な証拠となることが少なくない。
データ復元の基本は管理情報からデータ本体を検知することだが、先の例とは逆に「データ本体」は存在するが「管理情報」が別の新たなファイルによって上書きされているケースもある。この場合、データカービングと呼ばれる、「データ本体」のシグネチャ情報(ヘッダやフッタの情報)を利用し、記憶媒体上の全ての領域から直接サーチし復元する方法がある。しかし途中で断片化されている場合など不完全なデータになるケースも多いのが実情だ。ただし、画像系データは、部分的であっても画像が確認できるので、画像系データが重要な証拠となる場合には重要な復元方法となる。
冒頭で、デジタルデータはどんなに完璧に消去したつもりでも、多くの場合、なんらかの痕跡が残っていると述べた。目的とするファイルが、対象となるHDD内になかったとしても、どこかに送信されていれば、経由したサーバに残っている可能性もあるし、受信側のPCにデータが残っていたり、残骸や痕跡を見つけ出せたりするかもしれない。近年、HDDも大容量化しているため、上書きされずにデータの断片が残っていることも多い。また物理的にもHDDは強化されていて破壊が難しい場合もある。
とにかく、データはそう簡単に消滅するものではない、ということがお判りいただけたと思う。重要情報を含むHDDの廃棄時には、くれぐれも慎重に!
参考図書など:
・「基礎から学ぶデジタル・フォレンジック」、特定非営利活動法人デジタル・フォレンジック研究会
・「デジタル・フォレンジックの基礎と実践」、佐々木良一
■執筆者プロフィール
岡崎敦子
ITコーディネータ、情報セキュリティ監査人、ソーシャルメディアオフィサー、ISO9001審査員、ISO27001審査員
株式会社アキュレートアドバイザーズ http://www.accurate-adv.com
◇コンサルティング事業
◇保険調査事業
◇IT事業
・システムコンサルティング・システム開発・セキュリティコンサルティング・デジタルフォレンジック・システム監査
コメントをお書きください