あの経済事件で東京地検特捜部が使った「フォレンジック調査」とは?“迷探偵”ハギ−のテクノロジー裏話(2/3 ページ)

» 2012年07月20日 08時00分 公開
[萩原栄幸,ITmedia]

完全削除の本当の意味

 それではフォレンジック調査とは、PCから完全消去ソフトで削除されたメールやファイルを復元できる「魔法の道具」なのだろうか。答えは違う。例えば、HDDに記録したデータ部の磁気情報を上書きされたら残留磁気などからの復元はできない。しかし、完全削除してもフォレンジック調査からその内容を特定できる可能性はある。

 これを理解するには、冒頭に挙げたようにまず「完全削除」の意味を正しく知る必要がある。完全削除とは、「完全にそのデータ(メールやファイル)がPC内部から消失し、しかも前後関係から“消去した”という事実をも隠ぺいできる」ということではない。あくまで「完全削除(完全消去ともいう)」とは、「そのデータが存在していた物理的な場所からその痕跡を消すことである。つまり、PCの“常識”では管理簿情報だけを消して「削除」としたことにしているのだが、データが実在する場所(HDDの円盤など)に対して上書き処理をして復元できないようにする」、というだけのことだ。

 それでも、「完全に上書きされてしまったものをどうやって復元できるの?」という疑問が残る。PC初心者の方には以下のように解説している。

 フォレンジック調査では通常、削除されたデータを、復元機能を使ってその内容を復元する作業がとても重要になる。よって、被疑者が証拠隠滅のために完全削除ソフトを使ってデータ部(データの本体)を破壊していれば、その後の調査は難しくなる。だが可能性はまだある。それは例えば、PCでデータAにさまざまな処理を行ったとする。すると、PCは処理の際に一時的にいろんな記憶場所(レジストリ領域やスワップ領域、キャッシュ領域など)に、データAの全体や断片(例えば物理的に入出力を行うブロック単位など)を置いている。その痕跡がいろんなところに残っているのである。

 つまり、本当の意味での「完全削除」とは、HDDやCPU、メモリなどの全ての部分でデータおよびその痕跡を完全にクリア(ユーザー領域外も含めて完全にという意味)しない限りほぼ不可能なのだ。繰り返しになるが、「完全削除=情報が完全に隠ぺい」という意味ではなく、あくまで、そのデータ部があったHDDの同じ場所を別の情報(16進数で「00」とか「FF」もしくはランダムな数字)で上書きする、ということである。

 完全削除ツールがPCでデータが保存される以外の場所、特に一時的に格納した場所までを全て認識して、全てのアドレス空間を「完全削除」しているわけではない。完全削除しても、データが完全に消失するかどうかは不定なのである。

 その他にフォレンジック調査によって、時系列に外部接続した外付けHDDの使用履歴やUSBメモリの利用状態、サーバとの組合せによる完全削除されたメール内容の復活、インターネットの利用履歴、有料サイトのURL、使用頻度、持ち出された特許データ、ダウンロードした画像やファイル、暗号化したファイルなどのパスワード解析など、初心者が驚くほどの調査ができてしまう。断片化したファイル、機密文書のかけら、画像ファイルの一部分だけを復活することもできるのだ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ