検証:ディスクシュレッダーの威力
~ データはほんとうに消えたのか? ~
- 以下の内容はディスクシュレッダー3について書かれたものですが、 ディスクシュレッダー7についても、そのままあてはまります。
はじめに
パソコン市場の成熟にともない、これまで使っていた古いパソコンを廃棄、リサイクルするケースが増えています。 しかし、廃棄あるいは中古市場に出そうというパソコンのハードディスクには、 これまでその組織 (官公庁や企業など) で管理していた重要顧客の個人情報や社員のメールのログなど、 いろいろな機密データが多数記録されていたはずです。 それらの情報を残したまま、このパソコンが他人の手に渡ると、 その組織の機密データが第三者に漏洩する可能性があります。 したがって、パソコンを他人に渡す時には、機密データを含むファイルはすべて消しておかなければなりません。
しかし、ここでいくつかの落し穴があり、消したつもりなのに実は消えていないという最悪の状況に陥る可能性が少なくありません。まずは、この点について詳細を説明します。
データ漏洩の危険
中古パソコンからのデータ漏洩事件は、今までに何度となく報道されてきたにもかかわらず、 一向に減る気配がありません。 ウェブで検索すると、いくつものデータ漏洩事件がヒットします。 しかし、このような事件は、企業などの信用問題に関わることであり、表沙汰にならないことも多いでしょうから、 報道されているのはおそらく氷山の一角に過ぎません。実際には、その何倍や何十倍の事件が起こっているかもしれません。
なぜこのような事件が起こるのか、消したつもりのデータが消えていないのはなぜか。以下、ファイルやデータの削除に関する誤解を列挙して説明します。
誤解1:「ごみ箱」に入れると消える。
Windowsでファイルを消す場合、削除したいファイルを「ごみ箱」のアイコンまでドラッグします。あるいは、削除したいファイルを選択して「ファイル」メニューの「削除」を選んだり、 Deleteキーを押すといった方法もありますが、結果的にはどちらでも同じです。
ところが、このような操作をしても、削除したいファイルは「ごみ箱」の中にそのまま残っており、「ごみ箱」のアイコンをダブルクリックすれば削除したはずのファイルが出てきます。 つまり、書類を部屋の隅に置かれたごみ箱に捨てたのと同じで、ごみ箱をひっくり返せば、一旦捨てたものがまた出てくるというわけです。
これは極めて初歩的な誤解で、直感的にもある程度明らかことですから、ここで引っかかるような人はさすがに少ないでしょう。 ただ、誤解1の存在が、より本質的な誤解2に陥る可能性を高くしているようにも思います。ごみ箱に捨てたのみならず、 「ごみ箱を空にする」という操作までやったのだから、という意識が、元のデータは完全に消えたはずだという思い込みを誘発しやすいのではないでしょうか。
誤解2: 「ごみ箱を空にする」と消える。
まずは、これが定番の誤解の一つです。
「ごみ箱を空にする」という操作は、OSの立場から見ると、ファイルを削除する操作に相当します。したがって、この操作により、OSの提供する通常のファイルアクセス機能では、そのファイルを読み書きできなくなります。また、削除されたファイルの入っていたハードディスク(以下HDDと呼びます)中の領域には、未使用であるというラベルが付けられ、後で新しいファイルを作った時に再利用されます。
この誤解を解くには、まず、OSの持つファイル管理機能の技術的な説明を行う必要があります。 WindowsなどのOSは、HDD上に多数のファイルを作って管理する機能を持っていますが、それぞれのファイルはサイズも不特定ですし、ファイルへの書き込みや追加により絶えず大きくなったり小さくなったりしています。また、各ファイルには、ファイル名やファイル更新日時などといった付帯情報も保持しておく必要があります。したがって、HDD上にファイル管理機能を実現するには、図1で示されるように、ファイルの中身(データ本体)を置く領域(C)だけではなく、ファイル名やファイル更新日時などの付帯情報を入れる領域(A)や、データ本体のHDD上の記録位置 (セクタ番号など) とファイル名との対応を記した対応表を入れる領域(B)なども必要になります。また、HDD上の未使用の領域(空き領域)を管理する情報(D)も必要です。
図1:HDD上のファイル管理情報の例
注意 : 実際のOSでは、(A)(B)(C)の領域をハードディスク上に固定的に割り当てるとは限りません。たとえば、大きなファイルが増えて(C)の領域が不足したら、 (A)や(B)の空き領域を(C)のために融通できるようになっています。さらに言えば、(A)(B)(C)の空き領域が共通に管理されている場合もあります。
本にたとえるとすれば、(A)や(B)に相当するのが本の目次であり、 (C)に相当するのが目次や索引ということになります。ただし、本の場合は本文の記載順序にも意味があるため、目次がなくても、本文を最初から読んでいっても構わないわけですが、 HDD上の(C)の領域に置かれたデータ本体の位置に関しては、種々の理由から、ランダムに近いものになっています。また、1つのファイルが連続した領域に書かれているとも限らず、複数の領域に分割して記録されるケースもよくあります。そのため、(C)を最初から読んでいっても、一般にはファイル名との対応やデータの意味が分かりません。そのため、OSは必ず(A)や(B)を経由して(C)にアクセスします。
ここで、たとえば「見込み客リスト」のファイルを削除 (このファイルをごみ箱に入れてから、ごみ箱を空に) してみます。すると、 OSのファイル管理は、図1の(A)(B)の表の2行目にある「見込み客リスト」の行を削除します。具体的には、この行に「未使用」を表わす意味の無いデータ(ゼロなど)が埋められ、この表から「見込み客リスト」というファイルにアクセスすることはできなくなります。「未使用」となった削除行は、これ以降、新しいファイルが作られた時に、再度利用されます。一方、データ本体の入っていた(C)の#2654の領域は、使用済の領域から未使用の領域(空き領域)に戻りますので、 (D)に#2654の情報が追加されます。「見込み客リスト」のファイルを削除した後のHDDの状態を図2に示しますので、図1と見比べてみてください。
(C)の領域の #2654 の部分に「見込み客リスト」のデータ本体が残っている点に注意。
図2:「見込み客リスト」を削除した後の状態
注意 : 図1や図2は、OSのファイル管理機能を単純化して説明したものです。この説明は、概念的にはどのOSやファイル形式にも当てはまりますが、詳細はOS等によって異なります。
OSがファイルを削除した時に行う処理は、これだけです。ここで重要な点は、データ本体の入っていた(C)の#2654の領域に対しては何もしていないということです。すなわち、「見込み客リスト」というファイルのデータ本体は残ったままです。データ本体が残ったままであるにもかかわらず、 (A)(B)の「目次」からは消されているため、 OSのファイル管理機能を使ったアクセスはできません。 OSやその上で実行されるアプリケーションの立場から見れば、ファイル管理機能を使ってアクセスできないデータは存在しないことと同じですから、上記の処置にて、めでたくファイルが削除されたことになります。
それでは、「見込み客リスト」のデータ本体が残ったままの#2654の領域は、今後どうなるのでしょうか。 #2654の領域は、未使用領域として管理されていますから、その後新しいファイルが作られた際には、新ファイルのデータ本体を入れる領域として利用される可能性があります。その時になって初めて、 #2654に残っていた「見込み客リスト」のデータ本体が新ファイルのデータにより上書きされ、古いデータが本当に消えるわけです。これがいつのことになるかは、 HDDの空き容量や新ファイル作成の頻度、作成されたファイルのサイズなど、多くの要因が絡みますし、ファイル管理のアルゴリズムによる違いもありますので、一概には言えません。ただ、昨今では特にHDDの大容量化が進んでいるため、古いファイルのデータ本体が新しいファイルにより上書きされる可能性はかなり低くなっています。また、「こういうファイルを作れば必ず古いファイルに上書きされる」と保証された手順が存在するわけでもないので、この方法で元のデータが抹消されるかどうかは、まったく運次第です。
結局、「ごみ箱を空にする」などの操作によりファイルを削除しても、データ格納領域の目次にあたる部分が削除されるだけで、データの本体は残ったままだということです。通常の利用ではこれで問題ありませんが、機密データを含んだファイルを削除した後に、そのパソコンが第三者に渡るとすれば、削除したつもりのデータを意図的に復元される可能性があり、極めて危険です。しかも、削除されたファイルを復元するユーティリティソフトウェアが一般市販されていますので、これを使えば、OSやファイル管理の細かい知識がなくても、容易に過去のデータを復元できます。このようなソフトは、本来、誤操作によるファイル削除を救済する目的で販売されているわけですが、中古パソコンからのデータ復元という目的に悪用される可能性もあるのです。何度も繰り返しますが、パソコンを廃棄あるいは中古市場に出す場合には、十分な注意が必要です。
誤解3: ディスクをフォーマットすると消える。
OSのファイル管理の原理は分かっていて、誤解2に陥ることはない人でも、次に陥りやすいのがこの誤解です。
「フォーマット」とは、HDDを初期化して、 OSからファイルの読み書きをできる状態にすることです。新品のHDDには、まったく意味のあるデータが書き込まれておらず、領域全体が特定の値で埋められているだけですが、 OSがこの上にファイルを作るには、図1の(A)(B)(C)(D)などに相当する領域を決め、 OSのサポートするファイル形式に合った適当な値を埋めておく必要があります。この処理がフォーマットであり、フォーマット後はファイルが1つも無い状態 (ファイル形式によっては、ルートファイルなど特殊なファイルのみが存在する状態) になります。たとえ話としては、まだ手の付いていない荒野である新品のHDDに、道路や水道を引いて土地の区画整理を行い、ファイルという家を建てられるように準備する作業がフォーマットであると言えるでしょう。
しかし、一口に「フォーマット」と言っても、作業の具体的な内容は、 OSの種類やバージョン、フォーマットのコマンド種類、ファイル形式、対象となるメディア(HDDかフロッピーディスクか)などによって多くのバリエーションがあります。たとえば、Windows XPの場合、「通常フォーマット」と「クイックフォーマット」の2種類のフォーマットが可能です。ところが、このうちの「通常フォーマット」を行っても、図1の(A)(B)に相当する領域を空にし、残りすべての空き領域を(D)につなぐだけで、 (C)の領域に何かの値を書き込むということはありません。したがって、過去に作成されたファイルのデータ本体は、ほぼそのまま残ります。正確に言えば、過去に(C)として利用された領域が(A)(B)に転用される可能性は考えられ、その場合はデータ本体の一部が上書きされて消されることになりますが、その可能性はごくわずかです。結局、Windows XPで「通常フォーマット」を行っても、過去に作成されたファイルのデータ本体の大部分は消えないのです。この状況は、「クイックフォーマット」でももちろん同じです。
たとえ話の続きで言えば、土地の区画整理をしたからといって、各区画の整地や草むしりまでやっているとは限らない、ということです。整地や草むしりの作業をするのは、土地の区画整理を行う開発業者なのか、そこに家を建てる大工なのか。Windows XPにおけるHDDのフォーマットに関して言えば、各区画の整地や草むしりをするのはフォーマットを行う開発業者ではなく、ファイルという家を建てる大工の方なのです。さらに言えば、前の家(つまり古いファイルのデータ本体)が残ったままの場合でも、フォーマットを行う開発業者がそれを取り壊すことはなく、古い家を壊す作業は新しい家を建てる大工に任されているということです。フォーマットしたHDDというと、きれいに整地された分譲地を想像しがちですが、実際には、廃虚となった古い家が多数残っているゴーストタウンのようなものを想像する方が、実態に合っています。
ところで、この誤解は、ある程度パソコン経験のある人の方が陥りやすいという点でちょっと厄介かもしれません。たしかに、初期のパソコンでは、フォーマットによりデータの本体まで消えてしまい、決して復活できないというのが常識でした。その頃の感覚や知識に囚われていると、フォーマットすれば消えるという誤解が出てくるのは当然のことです。しかし、Windows XPでの実際の動作は上記の通りで、過去の知識はいつのまにか通用しなくなっています。
注意 : Windows Vista の場合、「クイックフォーマット」でない方の通常の「フォーマット」では、実際のデータ本体も消えるようになった模様です(手元のPCで実験して確認)。ただし、かなりの処理時間がかかります。 Windows Vista の「クイックフォーマット」では、Windows XPと同様に、データ本体の大部分は消えません。
ここまでのまとめとして、新品のパソコンに架空の名簿データを大量に書きこみ、「ごみ箱に入れる」、「ごみ箱を空にする」、ハードディスクの「フォーマット」を順に行った後、市販のデータ復元ソフトでどの程度のデータを復元できるかを実験してみました。具体的な手順や詳細については、「個人情報復元実験レポート」をご覧ください。
誤解4: OSを再インストールすると消える。
WindowsなどのOSをインストールしたパソコンを購入すると、たいていの場合、 OSを再インストールして工場出荷時の状態に戻すためのリカバリー用のCD-ROM (またはDVD) が付いています。これを使ってOSを再インストールすれば、工場出荷時の状態に戻るわけですから、以前にHDD中に記録された機密データも完全に抹消されるのではないかという思う人もいます。しかし、これもまた完全な誤解です。
リカバリーCD-ROMを使ってOSを再インストールするといっても、 HDDに対する具体的な処理内容は、 HDDのフォーマットと、OSを構成する多数のファイルをHDDに書き込むだけです。前項で述べた理由により、HDDのフォーマットにより過去のデータが抹消されるわけではありませんし、新しいファイルの書き込みにより過去のデータに上書きされるとも限りません。特に、最近のようにHDDの容量が大きくなっていると、その中でOS関連のファイルが占める割合は相対的に低下しますので、過去のデータを上書きで抹消できる可能性はますます少なくなります。たとえば、250GBのHDDに、関連ファイルを含めて5GBのOSを再インストールする場合、過去のデータが上書きされて消される確率は、単純計算で50分の1、つまり2%です(注4)。
注意 : 実際にはいろいろな要因が絡むので、ここは単純な確率論で論じるべき話ではありません。2%という数字は一例に過ぎません。
確率が2%なら、リカバリーCD-ROMを使ったOSの再インストールを50回繰り返せば良いのかというと、それもほとんど無意味です。何度インストールを行っても、OSや関連ファイルを置くために利用されるHDDの領域は、おそらく同じ領域であり、1回目で上書きされた部分が2回目以降も再度上書きされるだけです。インストール方法やインストール時のオプションなどにも依存しますが、一般論として、 1回目で上書きされなかった部分が2回目以降のインストールで上書きされる可能性はほとんどありません。時間がかかる割には、技術的にみてもほとんど意味のない方法だと言えます。
誤解5: HDDを物理的に破壊すると消える。
完全なデータを抹消を狙うとすれば、パソコンからHDDを取り出して叩き壊せばよいという考え方もあります。 HDDを物理的に壊してしまえば、通常のOSやプログラムからそのHDDの内部のデータを読むことはできなくなりますので、これはある意味で妥当な方法と言えます。
しかし、HDDを物理的に壊すというのは、それなりの道具があればともかく、通常のオフィスでは大変で面倒な作業です。壊し方にもいろいろと工夫の余地はあると思いますが、簡単に修復できないような壊し方をする必要がありますから、 HDDの磁気面(メディア)を取り出して傷を付けたり、それを割って粉々にするくらいの処置は必要でしょう。その際、破片が飛び散ったりするでしょうから、専用の作業室を用意する方がよいかもしれません。
こうしてHDDの磁気面を破壊すれば、通常のパソコン経由で読まれることはなくなりますので、通常の機密管理という意味では、これで十分かもしれません。しかし、機密データ自体は、粉々に分解されながらも、まだ磁気面の上に記録されたままであることにご注意ください。記録されていたデータが非常にレベルの高い機密情報であり、それを復元するためのコストを惜しまないとすれば、磁気面の破片を実験室で分析して、そこに記録されたデータの一部は復元できる可能性が残されています。
最近の数百GBクラスのHDDでは、ディスク磁気面のトラック上のデータの記録密度(線記録密度)が50万BPI(Bits Per Inch)以上に達しています。 1インチは25.4mmですから、磁気面1mm当たり約2万ビット、すなわち約2000バイトのデータが詰まっていることになります。このHDDの磁気面を粉砕して、 1ミリメートル四方の破片にしたとしても、その中には約2000バイトの連続したデータが含まれているわけです。削除したファイルのデータ本体がそこに残っていれば、それを2000バイト単位で復元できることになります。これだけでも10人分以上の顧客名簿が入る可能性はありますから、機密データが丸ごと漏洩することは無いにしても、その断片を与えることにはなるでしょう。
つまり、HDDの磁気面を1ミリメートル程度の大きさに粉砕しても、 HDD上のデータを "シュレッド(断片化)" する単位としては、まだまだ大きすぎるということです。データ漏洩を完全に防ぐには、数バイト以上の連続情報が残らないようにしなければなりませんが、そのためには、上記の200分の1から500分の1の大きさ、すなわち2ミクロンから5ミクロンまでシュレッドの単位を細かくする必要があります。これは、専用の装置でもない限り不可能です。
結局、HDDを物理的に壊す方法は、悪用を防ぐための大きな歯止めにはなりますが、手間の割には不完全さの残る方法であると言えます。あくまでも安全性を追求するのであれば、HDDの磁気面を削り取ってしまうとか、薬品で溶かすといった化学的な方法で対処する必要があるでしょう。そうなると、化学実験用の十分な知識と技術に加えて、薬品や換気装置など、やはり大がかりな設備が必要になります。素人が簡単にできるような作業ではありません。
データ漏洩を防ぐディスクシュレッダー
前章では、データ消去や抹消に関するいくつかの誤解を説明し、なかなかうまい方法がないことを説明しました。結局、過去にHDDに記録したデータを完全に抹消するには、そのような機能を持った専用のソフトウェア(データ消去ソフト)を利用するのが最も簡単で確実です。市販のデータ消去ソフトのうち、代表的なものがパーソナルメディアの「ディスクシュレッダー」です。
「ディスクシュレッダー」は、 HDDに記録されたデータを完全に抹消するユーティリティソフトです。ディスクシュレッダーの原理は単純で、 HDD全体にわたって無意味なデータを上書きすることにより、過去に記録されたデータの痕跡を完全に消してしまうというものです。もちろん、図1の(C)で示されるようなデータ本体の格納領域も抹消の対象となります。
ディスクシュレッダーは純日本製のソフトウェアであり、操作や表示画面も日本語で分かりやすいという特長があります。ディスクシュレッダーなどのデータ消去ソフトは、 HDD内データの完全抹消という非常に怖い機能を持っているわけですから、利用の際の間違いや不安は少しでも避ける必要があり、日本人が母国語で操作できるメリットは重要です。また、利用回数の制限がないため、使えば使うほど単価が下がっておトクになりますし、利用回数を管理する手間もありません。
ディスクシュレッダーの操作は極めて簡単です。フロッピーディスクから起動すると、図3のような確認画面が出ますので、Enterキーを押します。次に、図4の消去方式選択画面で消去方式を選択し、図5のような処理時間の見積りが出た後に再度Enterキーを押すと、実際のデータ消去処理が始まります。データ消去の処理が終わると、最後にもう一度キーを押すことにより、図6のような消去証明画面が表示されます。なお、消去方式の選択については、次章で説明します。
図3 起動時の確認画面
図4 消去方式選択画面
図5 処理時間見積り画面
図6 消去証明画面
個人情報復元実験レポート
データ消去ソフトの必要性を実感していただくため、 Windows Vistaを搭載した新品のパソコンに約1600万人分の架空の名簿データを書きこみ、「ごみ箱に入れる」、「ごみ箱を空にする」、ハードディスクの「フォーマット」の操作を順に行った後、市販のデータ復元ソフトでどの程度のデータを復元できるかを実験してみました。以下に、この実験の具体的な手順や詳細をレポートします。
- 実験に使用したパソコン
- Panasonic Let's note CF-R7
2008年6月購入
Windows Vista Business SP1
Intel Core 2 Duo U7600(1.2GHz)
メモリ2GB(増設済み)
HDD120GB(SATA)
実験用に4.88GBのNTFSパーティションを作ってフォーマットし、E:ボリューム(E:ドライブ)とした。 - 実験に使用したデータ復元ソフト
- 株式会社ジャングル「完全データ復元PRO2008」
1. 架空の名簿データを準備する。
データ復元の実験に使う個人情報として、以下の表のような架空名簿データを準備しました。名簿データのファイル形式としては、テキストファイル(*.txt)、 Wordファイル(*.doc)、 Excelファイル(*.xls) の3種類がありますが、 WordファイルとExcelファイルは、テキストファイルの一部を変換して成したものであり、記載されている名簿の内容はテキストファイルと同じです。名簿データには、個人番号、氏名(漢字)、氏名(よみ)、性別、生年月日、郵便番号、住所が含まれており、名簿1名あたりのデータ量は、テキストファイルの場合で約100バイトです ( 500名分の名簿データのサンプル x3007.txt ) 。
| テキストファイル | Excel ファイル | Word ファイル | |
|---|---|---|---|
| 5名分の 名簿データ |
x1001.txt ~ x1010.txt y1001.txt ~ y1010.txt z1001.txt ~ z1010.txt |
x1001.xls ~ x1010.xls y1001.xls ~ y1010.xls z1001.xls ~ z1010.xls |
x1001.doc ~ x1010.doc |
| 計 30 ファイル | 計 30 ファイル | 計 10 ファイル | |
| 50名分の 名簿データ |
x2001.txt ~ x2010.txt y2001.txt ~ y2010.txt z2001.txt ~ z2010.txt |
x2001.xls ~ x2010.xls y2001.xls ~ y2010.xls z2001.xls ~ z2010.xls |
x2001.doc ~ x2010.doc |
| 計 30 ファイル | 計 30 ファイル | 計 10 ファイル | |
| 500名分の 名簿データ |
x3001.txt ~ x3010.txt y3001.txt ~ y3010.txt z3001.txt ~ z3010.txt |
x3001.xls ~ x3010.xls y3001.xls ~ y3010.xls z3001.xls ~ z3010.xls |
x3001.doc ~ x3010.doc |
| 計 30 ファイル | 計 30 ファイル | 計 10 ファイル | |
| 5,000名分の 名簿データ |
x4001.txt ~ x4010.txt y4001.txt ~ y4010.txt z4001.txt ~ z4010.txt |
x4001.xls ~ x4010.xls y4001.xls ~ y4010.xls z4001.xls ~ z4010.xls |
x4001.doc ~ x4010.doc |
| 計 30 ファイル | 計 30 ファイル | 計 10 ファイル | |
| 50,000名分の 名簿データ |
x5001.txt ~ x5010.txt y5001.txt ~ y5010.txt z5001.txt ~ z5010.txt |
x5001.xls ~ x5010.xls y5001.xls ~ y5010.xls z5001.xls ~ z5010.xls |
x5001.doc ~ x5010.doc |
| 計 30 ファイル | 計 30 ファイル | 計 10 ファイル | |
| 500,000名分の 名簿データ |
x6001.txt ~ x6010.txt y6001.txt ~ y6010.txt z6001.txt ~ z6010.txt |
なし | なし |
| 計 30 ファイル | 計 30 ファイル | 計 10 ファイル | |
| 名簿データの合計 | 16,666,650名分 | 1,666,650名分 | 555,550名分 |
図7:名簿データの内容 ( テキストファイルの例 )
2. 名簿データをハードディスクにコピーする。
約1600万人分の個人情報を含む名簿データのファイル380個を、 E:ドライブ内の「会員名簿」のフォルダにコピーします。
3. 名簿データをごみ箱に入れる。
名簿データを含むフォルダに対して「ごみ箱に入れる」の操作を行い、見かけ上の削除を行います。削除されたデータは、一般には「ごみ箱」の中に残っていますが、今回の名簿データのうち全部で約1600万人分の個人情報を含むテキストファイル(*.txt)のデータについては、サイズが大きすぎるため、ごみ箱に入らないという警告が出ます。
図8:txt フォルダは大きすぎるので警告が出る
4. ごみ箱を空にする
「ごみ箱を空にする」の操作を行い、ごみ箱に残っていたWordファイル(*.doc)、Excelファイル(*.xls)の名簿データを本当に削除します。この中には、合わせて約220万人分の個人情報が含まれていましたが、この操作により、ファイルとしては見えなくなります。
5. ディスクをフォーマットする。
さらに、Windows Vistaの機能によりE:ボリュームをフォーマットします。通常フォーマットは時間がかかるので、クイックフォーマットを選択します。これにて、先ほどの約1600万人分の個人情報は完全に削除されたはずです。
図9:E:ドライブをクイックフォーマットする
6. データ復元ソフトを起動する。
あらかじめインストールしておいたデータ復元ソフトを起動します。なお、今回の実験では復元対象となるファイルが別ドライブ上ですので、システムディスク内にインストールされているOSや復元ソフトの動作が、データ復元に悪影響を与えることはありません。もし、OSを含むシステムディスクがデータ復元対象となっていた場合には、 CDから起動した復元ソフトを使用する必要があります。
図10:データ復元ソフトの起動
7. 復元対象のディスクをスキャンする
復元ソフトがディスク上に残されたデータの本体を探して、名簿データの復元を試みます。
図11:Office Fileの検索進行中
8. 復元ソフトにより名簿データが復元される
ファイル名、名簿データ本体とも完全に復元できたもの、名簿データ本体は完全に復元できたがファイル名が不明のままのもの、名簿データの一部が欠落したものなど、復元の程度はいろいろありますが、多くの個人情報が復元されました。
図12:Excelファイル x4003.xls が復元された
図13:ファイル名は不明だが、Excel形式の多くの名簿ファイルが復元された
図14:Word形式の多くの名簿ファイルが復元され、x4001.doc の名簿がそっくり残っていた
9. 名簿データを含むフォルダ全体も復元される。
同様に復元作業を進めて、他のフォルダも調べてみたところ、削除したはずのtxtフォルダと、その下の多くのファイルが丸ごと残っているのが見つかりました。
図15:多くのtxtファイルを含むフォルダが復元された
図16:多くのtxtファイルを含むフォルダが復元された
10. 復元された個人情報を集計
今回の実験における環境や状況では、テキストファイル(*.txt)のうち、5万人までの名簿データを含むファイルはほぼ完全に復元できました。この範囲の名簿データの復元状況を以下の表に示します。約160万人分の名簿データのうち、復元できなかったのは55人分のみでした。
| 100%復元できたもの | 100%復元できなかったもの (カッコ内は復元できなかった人数) | |
|---|---|---|
| 5名分の 名簿データ (全30ファイル) |
x1009, x1010 y1001.txt ~ y1010.txt z1001.txt ~ z1010.txt |
x1001.txt (5名), x1002.txt (5名) x1003.txt (5名), x1004.txt (5名) x1005.txt (5名), x1006.txt (5名) x1007.txt (5名), x1008.txt (5名) |
| 22ファイル | 8 ファイル (40名) | |
| 50名分の 名簿データ (全30ファイル) |
x2001.txt ~ x2010.txt y2001.txt ~ y2010.txt z2001.txt ~ z2010.txt | なし (0名) |
| 30ファイル | 0 ファイル (0名) | |
| 500名分の 名簿データ (全30ファイル中) |
x3001.txt ~ x3004.txt x3006.txt ~ x3010.txt y3001.txt ~ y3010.txt z3001.txt ~ z3010.txt |
x3005.txt (1名) |
| 29ファイル | 1 ファイル (1名) | |
| 5,000名分の 名簿データ (全30ファイル) |
x4001.txt ~ x4010.txt y4002.txt ~ y4010.txt z4001.txt ~ z4005.txt z4007.txt ~ z4010.txt |
y4001.txt (1名), x4006.txt (1名) |
| 28ファイル | 2 ファイル (2名) | |
| 50,000名分の 名簿データ (全30ファイル) |
x5001.txt ~ x5007.txt x5009.txt, x5010.txt y5001.txt ~ 5005.txt y5008.txt, y5009.txt z5001.txt, z5002.txt z5004.txt ~ z5010.txt |
x5001.txt (1名), x5003.txt (1名) x5004.txt (2名), x5005.txt (1名) x5006.txt (2名), x5008.txt (1名) y5006.txt (1名), y5007.txt (1名) y5010.txt (1名), z5003.txt (1名) |
| 20ファイル | 10 ファイル (12名) | |
| 名簿データの合計 | 1,666,595名 | 55名 |
注意 : この数字は、状況により大きく変化するはずです。あくまでも一つの参考例であり、普遍性のあるデータではありませんので、ご承知おきください。
一方、50万人の名簿データを含む47MB程度のファイルについては、いずれも最初の約15万人分の名簿データ (ファイルサイズとして約15MB程度)のみが復元され、それ以降は復元されませんでした。これは、データ復元ソフトの使い方や性質によるものと思われます。データ復元ソフトの操作やオプション設定によっては、このくらい大きなファイルでも、うまく復元できる方法があるのかもしれません。
この実験では、5万人(ファイルサイズとして5MB程度)までの名簿データに対して、 99.99%以上という極めて高い復元率を確認できましたが、これは、名簿データの削除とフォーマットを行った直後にデータの復元を試みたためです。削除やフォーマットの後に、このドライブ(E:ボリューム)内でファイルの書き込み等を行うと、データの復元率は少しずつ下がってくるはずです。とはいえ、この実験と同じ条件で、わずか10%のデータが復元されただけでも、 16万人分の個人情報が漏洩、流失する結果となります。やはりデータ消去は必須です。
- Home
- ディスクシュレッダー再入門
