デジタル・フォレンジックにおけるデータの完全消去と復元の「微妙な関係」：“迷探偵”ハギーのテクノロジー裏話（2/2 ページ）

[萩原栄幸，ITmedia]

データ消去に関する現実

　ここでフォレンジック調査の話からやや外れるが、大事なことなのでデータの完全消去について述べたい。「完全消去ソフトでファイルを完全消去すれば復元はできない」と説明したが、フォレンジック調査ではデータの本体部分が一部断片化していても、断片化しているデータの中の有効なビット列からある程度は修復できるとも説明した（富士山画像の例）。それなら、データの本体を専用ツールで完全消去したものなら、フォレンジックでは復元不可能と思われるかもしれない。しかし、実は違うのだ。

　これを解説する前に、まず市販されている「完全消去ソフト」の挙動をみてみよう。ここで使われる機能は、「ファイルの完全消去」であって、「HDD全体の消去機能」ではないという事実である。なぜなら、実際に毎日動かしているPCのHDD全体を消去して再度使える状態にしようしたら何時間もかかってしまう。通常は「ファイルの完全消去」機能を使って、HDD上のファイルが存在しているアドレス領域に対して上書きを行い、その場所からは復元できないようにする。

　ここまで解説してご理解した読者もいると思うが、完全削除したいファイルの情報は、その本体が格納された領域だけに存在しているとは限らない。前述したように、メモリ領域をはじめ一時的にファイルの全体もしくは一部が全く別の場所に格納されることが多々ある。フォレンジック調査では調査員が予想もしない場所に見つかることもあり得る。つまり、市販ソフトにおける「完全消去」とは指定されたファイルのアドレス領域における完全消去であって、HDD全体の完全消去ではない。「完全消去」といっても対象が異なり、ファイルの場合はあくまでその支配している領域しかみていない場合が多く、HDD全体の場合は「いかに美しく、早く論理的にデータを完全消去」するかという視点の違いがある。

　また、調査員の中にはフォレンジックツールの復元機能に頼ってメール、画像、文書ファイルなどの復元を行っている方もいる（決して否定はしない）。だが、ツールの復元機能は万能ではないし、高度な専用ツールに比べ復元機能は下がる（ツールによってはオマケ程度のものもある）のも事実である。調査員は複数のフォレンジックツールにおける復元機能の性能評価をしていることが望ましい。

　なぜなら、日本ではここのニーズが他国に比べ強いのだ。しかも法執行機関だけが使えるバージョンと市販（それがどんなに高額でも）のものとは、製品名が同じでも内容や機能がかなり違うのだから、話はさらにややこしくなる。

この辺の解説は難しい。例外を話していくと、どこまでも深くなってしまう恐れがあり、それでは物事の本質がぼやけてしまう。続きは次回もしくは次々回でお話したいと思う。

　ここで企業の読者に役立つ点もお伝えしたい。前述の上書き回数に関連するが、最近ではPCやHDDの廃棄が問題になるケースも多い。筆者が某銀行にてサーバ管理をしていたときのことだ。カスタマーエンジニアが、UNIXのHDDを「S.M.A.R.T.（Self-Monitoring Analysis and Reporting Technology）」のようなツールを用いて調べ、「このHDDはそろそろ故障しますので、予防措置として交換します。契約によって古いHDDは弊社の所有物になるので持ち帰ります」と筆者に話し、持ち帰ろうとした。筆者は「契約の問題でない」と言い張り、深夜にカスタマーエンジニアの上司を呼び出して、その目の前でHDDを金づちで完全に破壊し、それからお持ち帰りいただいた。もう10年以上前の出来事だ。

　HDDの破壊については、ネットでさまざまな方法が紹介されている。消磁装置を使って一発で磁性的に破壊（再利用不可となる）するもの（今では垂直磁気対応型もある）、物理的に粉々に粉砕したり、分解して円盤を破壊したりするもの、完全消去ソフトでHDD全体を完全消去してから転売するもの――どれも一長一短がある。筆者は次の2つの条件であるなら（企業ならこの条件である場合が多い）、次の破壊方法を推薦したい。

1. トレーサビリティが必要なもの（粉砕は「×」、製造番号まで粉砕するので証拠が残らない）
2. 見て直感的に復元が無理と判断できるもの（消磁装置では見た目が同じなので「×」。内容確認が必須）

　費用対効果では（対象の数などにもよるのだが）、「油圧式の金属棒でHDDを貫く専用装置（見た目は大きな穴が幾つか空くので物理的には復元不可能、製造番号などはそのままなので台帳管理もできる）」が良いだろうと思っている。

　以上はフォレンジック調査と直接関係はないが、HDDの完全消去後の廃棄という企業では重要なテーマなので補足した。次回はこの続きを解説したい。

（編集部より：次回は11月30日の掲載予定です。）

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。