【ファイル完全削除】ゴミ箱の中身は焼却されるまで復元可能です【お手軽アンチフォレンジック】
はじめに
皆さんは普段、写真撮影やドキュメント作成の際に保管場所としてPC端末を利用していると思います。
筆者自身も、作成した記事の素材等はすべてローカルPC上に入ってます。
平時は特に問題となることはありませんが、新しいPC端末に買い替えたり、引越しの際にPC端末を売却/破棄することとなった際、単純にデータをゴミ箱へ破棄して終了...なんてことになっていませんか?
「ないない。ちゃんとゴミ箱へ破棄した後に、ゴミ箱からも完全削除ボタンを押下しているよ♪」という貴方、素晴らしいですが、あともう一息です。
その状態でPC端末を売却/破棄してしまうと、悪意ある第三者にデータを復元されてしまう可能性があります。
今回はそんな話をしていきます。
環境
- OS:Windows10
ゴミ箱の仕組み
今回焦点を当てる対象はこれです。ゴミ箱です。
さて、唐突な自語りですが、私のゴミ箱には機密情報が沢山あります。
ですが、このPC端末を売却してよりスペックの高いPC端末に買い替えたいので、機密情報は削除しておこうと思います。
ヨシ!これで一安心!!
ではありません...
現実のゴミ箱でもそうですが、ただゴミ箱に物を破棄するだけではゴミ箱を漁った悪意ある第三者が破棄したものを取り出してしまうように、デジタルでもゴミ箱の中身を削除しただけでは似たような要領で復元されてしまいます。
つまるところ、しっかりと回収業者に受け渡して焼却してしまわなければならないのです。
誰でも簡単に復元できる方法は以下のURLで記事化しています。
さて、技術的な話に戻りますが、ゴミ箱からデータを削除した際、ストレージの残容量数値が目視で増えていることが確認できるため、データが完全に削除されたと思い込んでしまいます。
以下のような感じですね。
実はこれ、結果的にストレージの容量は増えていますが、容量が増えた = データが完全に削除されて空き領域が増えたということではないらしいんですね...。
それなら、1GBから1.1GBに残容量が増えた際の0.1GBはなんなんだ?ということになりますが、これはデータが削除されたことにより増えたのではなく、削除対象となったデータに対して他のデータでの上書きが可能となったということです。
なにを言っているんだこの人は...。ということになりそうなので、1分くらいで作成した図で解説します。
一般的な感覚だと、ゴミ箱からデータを削除したことによりストレージの残容量の数値が増えたため、削除対象のデータが完全に削除されたことで空き容量が増えたと認識してしまいます。
筆者も学生時代はそう思ってました。
実際の仕組みは、以下の図のようになっていました。
つまるところ、利用者自身がゴミ箱の中にあるデータを削除した際、データ自体は端末上に残っていますが、他のデータでの上書き処理が許可されるため容量が増えたことにされます。
言い換えると、他のデータで中身を上書きしない限り、データが残り続けるため復元可能となります。
こんなのわかるわけないだろ!(憤怒)
じゃあどうすればいいのか
他のデータで削除対象となったデータを上書きすれば良いのですが、いつ上書きされるかは誰にもわかりません。
とどのつまり、利用者側で意図的に削除されたデータを上書きしてしまえばいいのです。
ここでよく使用される方法が「コマンドプロンプトによるcipherコマンドでのデータ上書き」です。
これは上書き可能な領域も含め、データが入っていない空き領域に適当なデータで意図的に上書きするというものです。
まず、キーボードの左下くらいにあるWindowsロゴマークを押してメニューを開き、検索フォームに「cmd」と入力してコマンドプロンプトを管理者権限で起動します。
※管理者権限で実行することにより、システム全体の空き領域にデータ上書きができるようになり、思わぬ消去漏れを防ぐことができます。
次に、コマンドプロンプト上で以下のようにcipherコマンドを実行します。
C:\WINDOWS\system32>cipher /w:c:
/wオプションで対象となるディレクトリの空き領域に対して3回データの上書きを行います。
:c: で削除対象のディレクトリを指定しています。
なぜcなのかというと、私のストレージはCドライブだからです。
ということで、実際に実行して空き領域のデータに別のデータを上書きして復元できないようにしちゃいましょう。
ここで注意していただきたいことがあります。
ストレージの総容量次第ですが、完了まで結構な時間を費やします。(10時間以上20時間未満程度)
また、下の画像にも表示されている通り、実行中は他のアプリケーションは起動しないほうが良いらしいです。
※筆者自身も実行中にYoutubeを起動していたのですが、いつの間にか上書きのメーターが止まっていることに気がつきました。
また、cipherコマンドの実行中は未使用領域にデータを上書きする都合上、一時的に使用容量がMAXになりますが、仕様のため慌てる必要はありません。
※完了時にもとに戻ります。
cipherコマンドの実行が完了後、ゴミ箱から削除したデータの復旧が困難になります。
まとめ
今回は削除したいデータが復元されないようにデータの破棄方法を解説しました。
しかしながら、ここまでデータの完全削除方法を記載したものの、データの完全削除処理を実行すれば如何なるデータ復元行為にも対処できるというわけではないことを覚えておいてください。
データ復元の分野、いわゆるデジタルフォレンジック界隈の技術は日々進歩しており、様々なアーティファクト(データの痕跡)を組み合わせて、かつ有償のツールや専門的な技術により別の経路でデータを復旧されることがあります。
※有償ツールは高価ですし専門的な技術を会得するにはフォレンジックエンジニアとしての実務経験が必要なので、復元できる方々は限られますが...。
ですので、なんだかんだでデータを復元されない最も有効かつ安心な方法はストレージ機器の物理的破壊にこしたことはありません。
秋葉原ではストレージ機器破壊サービスを提供している店舗もあるそうで、利用してみるのも良いかもしれませんね。
Discussion