フォレンジック調査ユースケース 番外編⑥
記事一覧
デジタルフォレンジックに関する記事の一覧はこちらから
先日ある弁護士から「フォレンジック調査において削除データの復元はどれくらい可能なのか」という質問をもらいました。今回はパソコン上でデータを削除した場合にどのような処理が行われていて、削除データの復元はどのように行うのかということを解説したいと思います。
関連記事
【コラム】デジタル・フォレンジック作業の解説④「調査・解析」
デジタル・フォレンジックでは様々な種類の調査や解析を行いますが、今回は一般的な調査内容について説明していきます…..続きを読む
Windowsのパソコンにおいての削除の流れとしては、まずファイルやフォルダの削除を行うと「ごみ箱」に移動します。ゴミ箱に移動した後に、「ごみ箱を空にする」を実行するとPC上ではファイルやフォルダが削除されるので、ユーザーからはそのファイルやフォルダは見えなくなります。
しかし、HDD内ではどのような処理が行われているのかというと、そのファイルやフォルダのレコード(目次情報のようなもの)が削除されただけであり、実際のデータそのものはHDD内にはそのまま残っています。(分かりやすく解説すると、膨大な荷物を保管している巨大な倉庫の中で、どのフロアの、どこの棚に、どんな荷物が保管されているかという目次情報だけが消えてしまい、実際に荷物は存在しているのだが目的の荷物を見つけに行けないという状態のようなものです。)
削除データの復元作業とは、上記のようなレコード情報は無くなってしまったがデータだけが残っているものを探しに行き、データとして読み出せるようにする作業といえます。
ただし、上記はHDDの場合の話となり、最近多くのパソコンで利用されているSSDの場合はデータの記録方式がHDDとは異なるため、削除データ復元のやり方も異なってきます。
さらにSSDにはTrim機能というものがあり、削除を行うとデータそのものが消えてしまうため、削除データを復元できる可能性はHDDよりも低くなっています。
またよくあるケースとして、以前のコラムお話した、退職時のパソコンデータ削除です。
関連記事
最近「退職者による営業秘密情報の持ち出し事案」がニュースになることが多くあります……続きを読む
退職する従業員が使用していた会社貸与PC内のデータを完全削除(アンインストール)して、新たにOSをインストールして他の従業員へパソコンを使いまわすということを行っている企業が多いと思いますが、このようにソフトウェア等で完全削除をしてしまうと削除データの復元は不可能となります。
退職時にパソコンデータを削除してしまっていたからフォレンジック調査ができないという事態を防ぐためにも、パソコンのデータ保全だけでも行っておくことをおススメしています。
他にも突然パソコンが動かなくなったなど、物理的な故障が原因でデータを読み込めなくなるというケースもあります。
その場合は何度も電源を入れ直したりするとHDDは動き続けてしまいさらに物理的な障害が発生してしまう危険性もありますので、むやみやたらにPCを動かすことはせずに、すぐにフォレンジック業者へデータ復元の依頼をすることが望ましいです。物理的な故障の場合にはHDDを解体して、可能な限りデータの復元を試みることもできます。
以上のように、削除の方法と削除データの復元の方法には様々な方式があり、削除の方法により復元できる可能性も変わってきます。
削除データの復元は実際に行ってみないとどれくらいのデータが復元できるか分からないということもありますが、何もせずにあきらめるのではなく一度TMIP&Sフォレンジックへご相談いただければと思います。
関連記事
皆さんは「デジタル・フォレンジック」という言葉を聞いたことがありますでしょうか….続きを読む
記事一覧
フォレンジックに関する記事の一覧は、こちらから
TMIプライバシー&セキュリティコンサルティング
首席フォレンジック・エンジニア
デジタルフォレンジックとeDiscoveryサービスを提供する日系ベンダーにて約12年間勤務し、第三者調査委員会対応、コンプライアンス事案における社内調査対応、米国当局調査におけるeDiscovery対応など、多くの日本企業を支援してきた。その後、国内弁護士事務所にてフォレンジックチーム立上げに携わり、第三者調査委員会や内部通報事案においてフォレンジック調査を担当した。常に高いプレッシャーのかかるフォレンジック調査の現場においても、持ち前の冷静さとポーカーフェイスを崩すことなく淡々と仕事を進め、クライアントの要求に120%の対応をすることを信条とする。