ニュース

データ復旧業者が直面するSSDのデータ救出の難しさ。近年のスマホはまず不可能、悪徳業者に注意を

 一般社団法人日本データ復旧協会(DRAJ)は6月21日、データ復旧事業の取り組みに関する発表会を開催した。

 DRAJは2017年に一般社団法人化してから、PC Watchでも馴染み深いアイ・オー・データ機器やバッファローなど、合計12企業が参画しており、データ復旧に対する正しい知識を広げるとともに、データ復旧における依頼者への適切な対応などを取り決めている。

 たとえば、DRAJでは依頼者が望んでいるデータが取り出せなかった場合は診断料以外の料金を取らないなど、データ復旧事業者としてのあるべき姿を体現すべく務めており、近年は広告等で「データ復旧率90%以上」など根拠のない宣伝を行なったり、データが復旧できなかったにもかかわらず、法外な料金を請求する悪質な業者が増えたりと、DRAJとしてはデータ復旧事業の信頼失墜につながる問題として、危機感を持って取り組んでいる。

 DRAJの理念などに関しては昨年(2018年)に開催された通常総会レポート(日本データ復旧協会、データ復旧の模範を示し業界の健全化を図る)に詳しい内容が書かれているので、そちらをご覧いただきたい。

 ここでは近年の記憶媒体としてHDDを席巻しつつあるSSDといったフラッシュメモリデバイスが、データ復旧事業者にとっていかに困難な存在であるかが語られた基調講演の内容について紹介する。なお、この講演は会員間の意識向上のために設けられたものであり、メディア向けに実施されたものではない。

SSDの出荷台数が大幅増にともないデータ復旧依頼も増える

 基調講演には、DRAJ加入事業者である株式会社くまなんピーシーネットの浦口康也氏と、大阪データ復旧(アイフォレンセ日本データ復旧研究所株式会社)の下垣内太氏が登壇。「データ復旧市場の変化に備える ~ストレージ技術の進歩と通用しない従来手法」と題した内容が語られた。

 基調講演では浦口氏が司会進行するかたちで進められ、同氏はまず2015年には8千万台にも満たなかったSSDの世界出荷台数が、2018年(推定)には1億6,715万台へと急激に伸び、HDDの3億7,929万台の半分近くまで増えつつあることを示唆。逆にHDDは2015年の時点で4億6,883万台であり、SSDが増えた分だけ出荷台数が急速に落ちつつあることがわかる。

HDDとSSDの出荷台数関連スライド

 浦口氏はそんな状況下にあり、データ復旧の依頼にHDDだけでなく、フラッシュメモリを搭載したなんらかのデバイスが持ち込まれることが増えつつあるという。実際に、下垣内氏の大阪データ復旧には最近ドライブレコーダーの内容を復元してほしいとの依頼が来たとのこと。この依頼者は交通事故直後に証拠として事後前後の内容を収めたSDカードを抜き、念のためPCで内容を確認して安心したあと、バックアップを取らずにドライブレコーダーに戻したらデータが初期化されてしまったというものだった。ドライブレコーダーはSDカードの容量などにもよるが、割と頻繁に書き換えも起きるため、扱いに気を付ける必要があるデバイスの1つと言える。

データ復旧を依頼される想定デバイス
ドライブレコーダーはデータの保存期間が短い

 フラッシュメモリはHDDとまったく仕組みが異なっており、HDDでは通常セクタ上に順番にデータが書き込まれるが、フラッシュメモリではその都度コントローラが記録する場所を判断して飛び飛びにデータが記録される。

 以下のバイナリエディタでワードラインを見たスライドからもわかるとおり、データエリアにはコントローラが位置を把握するためのサービスエリアがあり、このサービスエリアをSSD全体で1つ1つ解読して並べ替えていけば、HDDのように数珠つなぎのデータが得られるが、当然それは天文学的な数をこなす必要がある。また、最近のフラッシュメモリにはサービスエリアに工夫を設けて場所を特定できないようにしているものもあるという。

HDDとフラッシュメモリの記録の仕方の違い
ワードラインをバイナリエディタで見た例
NAND型フラッシュメモリでは、メモリセルアレイのワードライン上にデータが溜め込まれ、ビットラインがワードラインの数を把握してコントローラに情報を返している。そしてワードラインを束ねたものがブロックとなり、データの消去などはブロック単位で行なわれる。ワードラインにはMOSFETが1つ1つあり、電子の有無でデータの記録を判断できる
NAND型フラッシュメモリではP型半導体とN型半導体から構成される浮遊ゲート上に電子を溜めて情報を記録。電圧を与えることでトンネル酸化膜を超えて電子が浮遊ゲートに入る仕組み
3D NANDでは層が増え、さらに複雑な構造に

 フラッシュメモリではHDDのように、特定のデータ位置だけを書き換えるということが行なえず、ページ単位で書き込みが行なわれるが、これは記録する箇所が偏ってフラッシュメモリの劣化を防ぐための制御手段として必要とされている。そのため、1つのページで使うデータ量が少なかったとしても、余り部分でもデータの書き換えが行なわれる。つまり、たとえすべてのデータを“0”として入力しても、コントローラを経由して書き込まれる内容は0ではあるが、コントローラの擬似乱数によってフラッシュメモリの内部的には0ではない箇所が生まれている。

 なお、擬似乱数はコントローラによって異なっているとともに、コントローラがきちんと書き込みの消耗管理を行なうことで、品質の悪いフラッシュメモリであっても長持ちして使えるようになっている。そして劣化を防ぐために不要データの消去もページでまとめて消される。この不要データとしてフラグが立てられたページの置き換えに、フラッシュメモリに均等な書き込みを行なうためのウェアレベリングが行なわれるが、これもデータの復旧が難しくなる一因と言える。

 下垣内氏は最近ではOSのSSD管理が優れてきたことなどから、Trimがすぐに発行されてしまい、体感的に1時間くらいで不要箇所の置き換えが起こってしまっているという。

フラッシュメモリでは劣化を防ぐために、規定サイズで書き込みが行なわれる
書き換える必要がなかった箇所も実際には書き換えが実行されている。なお、コントローラが書き込みで使う擬似乱数はそのコントローラによって異なっている
データの消去も特定の位置だけ消すということができない

 さらに、最近のノートPCなどでは薄型化のためなどで、基板上に直接フラッシュメモリをはんだ付け実装してしまうものが増えており、データ復旧業者だけでなくシステム管理者などにとっても悩みの種になっているようだ。液晶が割れてしまい、ディスプレイが映らなくなり、データの救出が困難になった例もある。

 また、フラッシュメモリだけでなく、BIOSがUEFIに移行したことでの弊害もあるという。BIOSではHDDのMBR(マスターブートレーコード)を読み、どれくらいの論理ボリュームを使うかを決めていったんカーネルを起動し、それからブートローダがOSのカーネルを読み込んで、マザーボードのドライバが決まり、OSが起動するといった手順だった。

 一方でUEFIでは、UEFIがEFIのパーティションを見つければ起動できるようになっており、BIOS時代はMBRがHDDの先頭にある必要があったが、UEFIはそうはなっておらず、EFIパーティションが後ろのほうにあったとしてもUEFIが見つけられるならどこからでも起動できるようになった。そのため、以前のMBRの復旧とはまた勝手が違ってきている。

 それに加え、AppleのT2セキュリティチップを搭載する最近のMacなどについては、これを有効化している場合に、以前はFirewireやUSBポートからブートが行なえたが、セキュリティチップによってポートがふさがれてしまうため、アクセスできなくなり復旧手段を失ってしまう。これについてはSurfaceついても同様とのことだ。

BIOSとUEFIの同左の違い
UEFIでセキュリティチップを使われてしまうと、外部からのアクセス手段がなくなってしまう

 HDDに関しては、SMR(Shingled Magnetic Recording)技術が使われているものがあり、ガベージコレクション(SSDで言うところのウェアレベリング)のあとに不要なデータが削除されてしまうことから、データが復元できなくなり、復旧の難易度が高くなっている。

SMRのHDD

 このほかにも、コントローラの負荷を減らすために4Kネイティブのフォーマットを持つSSDがあり、1セクターあたり512バイトの8セクターからなる4,096バイトの物理セクターサイズを持つのではなく、最初から4,096バイトで1セクターとなっている。問題点としては、OSが8セクターで4,096バイトを見ようとする場合と、1セクターで見る場合との間にギャップが生じて、データの読み取りに不具合が出てしまうことが挙げられる。

4Kネイティブのドライブでは1セクターで4,096バイトを持てる

スマートフォンのデータ復旧は不可能

 データ復旧業者ではPCにかぎらず、スマートフォンの持ち込みが多いとされるが、iPhoneやAndroid 7以降ではファイルタイプ暗号が使われており、復旧は不可能である。というのも、ファイルタイプ暗号では100個のデータを作れば、100個分の暗号化されたデータが生成され、1つ1つの暗号を解かないとデータとして成立しないようになっている。

 そのため、近年のiPhone本体から削除したデータの復旧を謳っているところがあったとすれば、まず疑うべきとのこと。ファクトリーリセットをかけた時点で暗号鍵もなくなってしまうという点も含め、スマートフォンのデータ復旧は商売として成り立たないそうだ。

ファイルタイプ暗号が使われているスマートフォンではデータ復旧はまず不可能

 下垣内氏はデータ復旧業者としては、スマートフォンについてはまったく手も足も出ない状態であると認めた上で、これを悪用して調査費で儲けようとする悪質な業者がいることを指摘し、復旧ができないとわかっていて、できるかもしれないなどとうそぶき手数料をせしめているという。真っ当なデータ復旧業者としては許しがたい行為であり、ぜひとも注意してほしいと強く訴えた。


 浦口氏らは最後に、データ復旧業者として、ストレージがフラッシュメモリに移行していくなかで、HDDでは実際に動作していることを物理的に確認できたものの、フラッシュメモリでは見た目で電気が通っているのかすらわからないという大きな違いがあり、業者はフラッシュメモリの中身を知るために、波形やプロトコルについて知識や技術を磨いていく必要があることなどを訴えた。

データ復旧業者の課題
データ復旧業者にこれから必要になること

【お詫びと訂正】初出時からタイトルを変更しました。本文中でSMRに関してブートレコードが動いてしまうと記載していましたが誤りです。また、4KネイティブのSSDについて、HDDと記載しておりましたのでそれらの箇所を修正いたしました。お詫びして訂正させていただきます。