デジタル・フォレンジックにおけるデータの完全消去と復元の「微妙な関係」：“迷探偵”ハギーのテクノロジー裏話（1/2 ページ）

サイバー事件捜査に使われる「デジタル・フォレンジック」を解説する3回目は、データの消去と復元を取り巻く現実について取り上げてみたい。後半では企業でのHDD廃棄の問題についても触れる。

[萩原栄幸，ITmedia]

　サイバー事件の捜査で使われる「デジタル・フォレンジック」について、引き続き解説したい。差支えなければ、前々回と前回をお読みいただいて、理解を深めてから本稿をお読みいただければ幸いだ。今回初めて読むという方にも極力理解しやすいよう心掛けたが、ある程度の予備知識が必要かもしれない点はご容赦いただきたい。

調査依頼企業の満足度は「8割程度」

　フォレンジック調査は、いったいどういう部分まで調べることができるのだろうか。この素朴な問いに簡単にお答えすることは難しく、調査員が誠実であればあるほど困難な質問に聞こえてしまう。案件ごとにその調査環境はまさしく千差万別である。理科系の人間や研究肌の人間であればあるほど、例外的な要素（つまりパターン化していない）について考え込んでしまい、適切な回答ができなくなってしまう。

　「被疑者が何も妨害や隠ぺいの工作をしておらず、調査員が保全措置をする数日前まで通常使用されていたコンピュータを調べる」という条件でお答えするなら、依頼者である企業側の弁護士や役員の8割程度の方には満足してもらえる回答を提示できるだろう。今まで現場を幾つも見てきた筆者の実感である。

　依頼者が「この部分まで調べたい」というケースは、次のようなものだ。

• 帳簿を改ざんした証拠がほしい
• 重要情報が外部に漏れた経緯を時系列で知りたい。USBメモリを使ったのなら、どのメーカーの機種か？　いつから会社の重要ファイルをコピーしたのか？　そのファイル名は？
• ライバル企業の設計部長のX氏と被疑者のやり取りを知りたい。どういう情報をいつ、どうやって渡したのかも知りたい
• 従業員Aの就業時間中にインターネットで行っていたFX取引の内容をできる限り把握したい

　こういった依頼に対して、まずはその行為の有無、次にどういう行為をいつから、どんな情報を先方に渡したのかなどを調べていく。“スッピン”のPCなら判明できる。だが、フォレンジック調査は万能ではない。幾つかの不運――被疑者にとっては幸運――が重なると意外なほどに難しくなってしまう。

結局、何が分かる？　分からない？

　突き詰めて言えば、フォレンジック調査とはPCのHDDやメモリにあるビット列を解析しているに過ぎない（クラウドやネットワークのフォレンジックなどの例外もある）。また、WindowsやMacなどのOSが認識するビット列だけを解析するわけでもない。以前にもお伝えしたが、ファイルの削除とは単純にOSが「消えた」と認識するだけで、データ本体が消えたわけでない。PC内部に残ったデータ本体や物理的に削除されたデータの残骸、データ処理の際に使われる別の領域（データ本体が置かれた以外の領域）に残された痕跡など、デジタル情報の断片をトレースし、時系列に重ね合わせていく。調査員の技術力が高ければ高いほど、事実に近付いていける。まさしく職人技の世界である。

　具体的な調査内容や解析手法は非常に専門的なので本稿での説明は割愛するが、分かりやすく言えば、フォレンジック調査は「HDDやメモリ、SSDなどのデジタル情報の解析」である（とは言っても、驚くほど丸裸にするくらい徹底的に解析していくことが可能である）。

　原則として、一度でもビット列が別の内容に上書きされてしまうと復元が不可能になる。フォレンジック調査の難しい面である。「原則」としたのは、当然ながらデータ自体がまだ存在しているならば復元できるが、もしデータ自体を上書きしたらどうなるか。その場合、ある幾つかの条件であれば復元できる。

　例えば、データ本体の一部だけが再利用や上書きされているのであれば、その部分の前後にある有効なデータから修復できるだろう。富士山の画像データで、仮に画像の中心付近あるデータの3分の1が破壊されても、周囲のデータから破壊された部分をある程度は修復できる。ところが、以前にあるセミナーでこうお伝えした際に、理系の大学院生からこういう質問を受けた。

　「グートマン論文（ピーター・グートマン博士が1996年に発表したデジタルデータの消去方法に関する論文）では元のビット列が分からないようにするために、35回とか、36回とかデータを上書きしないといけないわけですよね。それなら、数回くらいの上書きならフォレンジック調査で復元できるのではないですか？　上書きされたものは復元をしないのですか？」

　筆者は「復元はしません。と言うよりできません」と答えている。結論を言うと、今のHDDは材質や磁気の記録方式、その他ありとあらゆる部分において、一度でも上書きしてしまうと復元はほぼ不可能になっている。しかし、昔のものであればある程度は可能だった。

　この10年ほどの間に製造されたほとんどのHDD製品、最近なら記録容量が2テラバイトや3テラバイトもあるHDDでは絶対に不可能である。最新のHDDの外観は昔のHDDとたいして変わらないが、筆者が初めて自費購入したPCのHDDの記録容量は170Mバイトだった。つまりは見た目が同じでも、最新のHDDは昔のHDDの何万倍という記録密度を実現している。前述の通り、材質も記憶方式も、ファームウェアもソフトウェアもハードウェアもそれらの全てがとても復元可能な状態にないのだ。

　なお非常にまれではあるが、1回の上書きでは正確にデータが上書きされないケースがあった。ビット列を精査すると分かるのだが、ビット列が指定通りに上書きされないのだ。だが、そのことがHDDの同じ場所で起きる確率を考慮しても、現実的には2回の上書きで復元は不可能だと断言してもいい。もし企業で完全消去ソフトをお使いの場合、上書き回数を3回以上に設定されているならそれは意味が無い。1回でも通常は十分なのだ。国家機密レベルのデータでも2回で十分と考えて差し支えない。