これまで紹介してきたフォレンジックの現場で、必ず行われる作業の1つにファイルの復元がある。削除されたファイルやデータを元に戻すのである。まずは、一般的なWindowsのファイルシステムから説明しよう。

NTFSの仕組み

まずは、Windowsで一般的に使われるファイルシステムNTFS(New Technology File System)ついて説明しよう。HDDをNTFSでフォーマットすると、図1のようになる。

  • HDDをNTFSでフォーマット

    図1 HDDをNTFSでフォーマット

先頭にはブートセクタが書き込まれる。ここには、Windowsの起動プログラムなどが書き込まれる。ここからPCが起動する。そして、その次にMFT(Master File Table)という管理領域が作成される。この領域で、このHDDのすべてのファイルのエントリを管理する。HDDの最後には、MFTのコピーが作成され、バックアップの役割をする(しかし、それほど冗長性の高いものではない)。

1つのファイル(フォルダも同じ扱いとなる)に対し、MFTでは管理情報として、必ず1つのレコードが作成される。レコードには、

  • ファイル名
  • ファイル識別子(拡張子)
  • 先頭クラスタ
  • ファイルサイズ

などが、記録される。他にも所有者やアクセス権情報、拡張属性などが記録される。多くの場合、実際の中身(データ)は、図1のデータ領域に保存される。ファイルサイズが小さい場合(データサイズが750Bytes以下)は、レコード内にデータとして保存される。 それを表したものが、図2である。

  • 図2 MFTのレコード

図2にあるように、実際のファイルの中身(データ)がどこにあるかを指し示している。MFTを例えるならば、本の目次(インデックス)のようなものと考えるとわかりやすいであろう。

ファイルの削除、復元とは

さて、Windowsでファイルやフォルダの削除を行うには、まずは、ごみ箱に移動する。その後、ゴミ箱のコンテキストメニューから[ごみ箱を空にする]を選ぶ。以上で、見かけ上は、ファイルやフォルダが削除される。しかし、ここでは、MFTからそのファイルやフォルダのレコードが削除されたにすぎない。つまり、データ領域に保存されたデータはそのまま残っているのである。

つまり、削除されたファイルの復元とは、データ領域に残されたデータを読み出せるようにする作業といえる。こう書くといかにも簡単なように見えるが、ツールなしで行うことはかなり難しい。そこで、復元ツールなどが、有償・無償を含め、数多く提供されている。

逆に、ファイルの完全な削除は可能だろうか。MFTからレコードが削除されたデータは、HDDに書き込みが行われると上書きされていく。こうして複数回の書き込みが行われていくと、徐々にデータが復元できない状態になっていく。近年では、HDDの記録密度が高くなり、1回の上書きで実質的に復元できない状態になってきている。

一方、完全削除が難しい、できないファイルも存在する。

  1. Microsoft WordやExcelなど編集のたびに自動バックアップや、一時ファイルを作成するアプリのファイル
  2. NTFS上のスパースファイル、暗号化ファイル、圧縮ファイル、MFTのレコードに保存される750Bytes以下のデータ
  3. クラウド(ネットワークドライブ)上に自動バックアップされるファイル

まず注意したいのが(1)である。仕事で利用する機会も多いものだが、どこかに痕跡を残してしまうと理解しておきたい。フォレンジックでは、こういったファイルの復元の対象となる(第1回のライブドア事件を参照)。(2)であるが、これらのファイルにデータを書き込む際に、Windowsはコピーを自動的に作成して、書き込む。目的は書き込みエラー対策であるが、同時に多くのコピーデータがHDDに作成されることになる。(3)は、わかりやすいだろう。

また、Windowsの機能でも復元を行うことが可能である。まずは、ファイルの履歴である。

  • 図3 ファイルの履歴を有効に

この機能を有効にすると、ドキュメント、ピクチャ、ビデオ、ミュージックなどの各フォルダに保存されているファイルを自動でバックアップする。

  • 図4 バックアップ対象となるファイル

また、システムの復元も同様なことが可能になる。

  • 図5 システムの復元を有効に

あとは、任意の時点のPCの状態に戻すことができる。

  • 図6 システムの復元

バックアップ専用ソフトほど使い勝手はよくないが、いずれの機能も削除されたファイルを元に戻すことや、その時点でのフォレンジック作業にも応用可能である。

覚えておいてほしいのは、最近のOSではさまざまなファイル保護や削除対策を行っている。そういった技術を応用することで、ファイルの復元もまた可能になっているといえるだろう(逆に、完全削除が難しくもなっている)。

AOS Fast Forensicsを使って、復元を試す

では、実際にAOSデータから販売されているAOS Fast Forensicsで、復元を行ってみよう。AOS Fast Forensicsの高速モードでの使い方は、こちらの記事を参照してほしい。

まず図7のように、各種ビジネスデータを用意する、

  • 図7 用意したビジネスデータ

これらのファイルをゴミ箱に移動し、[ゴミ箱を空にする]で削除する。

  • 図8 すべてのファイルを削除

その後、AOS Fast Forensicsで復元作業を試してみる。まずは、AOS Fast Forensicsを起動する。AOS Fast Forensicsは、USBメモリから直接、起動する。

  • 図9 AOS Fast Forensicsを起動

高速モードの[START]を選ぶと、システム分析が行われる。HDDの容量などによっては、時間がかかることもある。

  • 図10 システム分析

システム分析が終わると、事件情報の入力となる。復元作業では、それほど重要ではないので、適切なユーザー名やすべき内容を入力する。

  • 図11 高速モード

事件情報を入力すると、下にある各種メニューが使えるようになる。ここでは[ファイルタイプ]を選ぶ。ファイル一覧が表示されるが、タイプで絞り込みができる。ExcelやWordや画像、音楽、動画といった種類があるが、復元で使うのは「Deleted」がついた削除されたファイルで絞り込む。ここでは「Deleted MS Excel」を選んだ。

  • 図12 削除されたExcelファイル

先ほど削除したファイルが並ぶ。ここから2020年の顧客名簿を復元してみよう。このファイルのみ選択する。

  • 図13 復元したいファイルを選択

[保存]をクリックすると復元が行われる(この例では、復元先はAOS Fast ForensicsのUSBメモリにしている。もちろん、他の場所も可能である)。復元したファイルは、図14のようになる。

  • 図14 復元されたファイル

同じフォルダに「出力ファイル一覧」というPDFファイルが作成されている。中身は、図15のようになる。

  • 図15 出力ファイル一覧

復元されたファイルの情報が記載されている。

復元作業はとても簡単で、しかも多くのファイルが復元可能なことがわかる。こうして、フォレンジック調査では、意図的かどうかに関わらず、削除されたファイルの復元を行っているのである。

注意すべきなのは、より迅速に復元作業を行うことだ。時間経過すれば、するほど復元が困難になる。そして、この例では、1つのExcelファイルであったが、実際のフォレンジック調査では、大量のファイルを復元する必要がある。その作業時間も決して少ないものではない。こういったことも覚えておきたい。

AOS Fast Forensicsは、フォレンジックの専門家でなくても、すみやかに調査ができることを目標としている。情報漏えいなどが疑われる事例が発生した場合、とにかくすばやい初動調査が望まれる。そのためのツールといっていいだろう。上述した記事もぜひ参考にしてほしい。

今回の復元と削除にあたり、AOSデータ株式会社フォレジック調査官の小瀬聡幸氏から、コメントをいただいたので最後に紹介しよう。

PCの記録媒体として近年増えているSSDでは、Trimコマンドという仕組みによりデータ領域に保存されたデータ自体も随時削除されるものとなっています(SSDのモデルやPCの設定により例外もあります)。この場合には削除データの復元は困難であるため、フォレンジック調査ではMFTに残存している削除ファイルのファイル名やファイル閲覧履歴、USNジャーナルなどに記録されている情報(つまりファイル実態以外の情報)を手掛かりに調査を進めることとなりますが、HDDに比べて調査が難航することはいうまでもありません。SSDが多く採用されている環境では、対策としてIT資産管理ツールやEDRなどのセキュリティシステムを導入することが重要となってくるでしょう。