おがわの音♪　第938版の配信★

ファイルを削除したUSBメモリーから情報が漏れるワケ

　あなたはUSBメモリーを置き忘れたとき、「ファイルはすべて削除していたから大丈夫」と思っていないだろうか？

USBメモリーでファイルを削除しても、初期化をしてもデータは意外に残っていると聞いたことはないだろうか？

パソコンのディスクやメモリーカードでも同じように、ファイルを削除した後にそのデータが残っている場合がある。
　これはいったいどういうことか？

また、USBメモリーなどから情報が漏洩しないようデータを余さず削除するにはどうしたらいいのか？

情報セキュリティーの専門企業ラックで、セキュリティー被害の緊急対応・原因追及などを専門にする関宏介氏（サイバーセキュリティ事業部 サイバー救急センター 担当部長）に教えていただいた。

ファイルの完全削除ではデータが残る場合がある

　「フォレンジック」という言葉をご存知だろうか。

英語で「法廷の」「科学捜査の」といった意味を持つ形容詞だ。

IT関係では、パソコンのディスクや、USBメモリー並びにメモリーカードといった外部記憶媒体などを調べて、サイバー攻撃や情報漏洩事件に関する証拠を集めることを意味する。

証拠集めには、通常は見えないデータを特別な方法で見る専用ツールが使われる。
　「たとえば、パソコンに侵入したサイバー攻撃やウイルスのプログラムは、外部へ送信するデータをまとめたファイルを一時的に作成することがあります。送信後にそれを削除して、攻撃の痕跡を消しますが、そうして削除した一時ファイルもかなりの確率で発見できます」と関氏は話す。証拠がないように見える場合も専門家が見れば出てくることがあるのだ。
　一方、消したつもりのデータが残るという現象のため、意図せず情報が漏洩する場合もある。

個人情報や機密情報のファイルを保存したUSBメモリーやパソコンでは、利用しなくなったファイルを削除しているだろうが、その方法によっては情報の一部または全部が残っている場合があるという。

USBメモリー、メモリーカードなどの外部記憶装置、パソコンなどを廃棄するとき、あるいはレンタルパソコンを返却するときなどはよくよく注意する必要がある。
　ここでお断りしておくが、本記事でいう「ファイルの削除」は、ファイルをウインドウズの「ごみ箱」へ入れることではない。

「ごみ箱」を空にする、あるいはウインドウズのエクスプローラーなどでファイルを選択したのち、シフトキーとデリート（削除）キーを同時に押してファイルを削除することを指す。

こうした、一見すると復活できないファイルの削除方法をここでは「ファイルの完全削除」と呼ぼう（ウインドウズでごみ箱を空にするとき「...を完全に削除しますか？」というメッセージが実際に出る）。

しかし、これが「本当の完全削除」ではないところが、今回のポイントだ。
　パソコンに関する知識が豊富な方は、「本当の完全削除」を実行する場合、ウインドウズの「サイファー（cipher）」というコマンドを実行すればよいと聞いたことがあるかもしれない。

実はそれでもデータの断片が残ることがある点についても今回は説明してもらった。

*ウインドウズのサイファーコマンドでも残るデータ

　ウインドウズに詳しい人なら、「サイファー（cipher）コマンド」をご存知かもしれない。

サイファーとは暗号化のことであり、ファイルを暗号化してくれるコマンドだ。

このサイファーコマンドは、指定したドライブの空き領域に、でたらめなデータを書き込み、本当の完全削除を支援する機能も備える。「ただし、サイファーコマンドのその機能でも本当の完全削除ができない領域があるのです」と関氏。

*より根本的な対策は完全なフォーマットや物理的な破壊

　以上、見てきたように、「ファイルの完全削除」では、ファイルの中にあったデータは、ウインドウズの標準機能から見えないだけで、けっこう残っている場合があることが分かる。
　それでは、パソコンやUSBメモリーなどを廃棄するとき、中古販売業者に売るとき、あるいはレンタルやリースしたパソコンを返却するときにはどうしたらいいだろう。パソコンなどを引き取る業者側でデータを消去することが基本だが、重要なデータの場合、自分で確実にデータを削除してから引き渡したいものだ。以下に方法を挙げる。

（1）基本ソフトで完全なフォーマットや本当の完全削除コマンドを実行する

・ウインドウズでは「クイック」ではない「完全なフォーマット」を実行することで、データが本当に完全削除できる。ウインドウズが入っているパソコンのCドライブに対しては「完全なフォーマット」ができないが、それ以外のディスク、USBメモリーや外部接続のハードディスクなどについては有効だ。
・リナックスなどのユニックス系の基本ソフトでは「ddコマンド」で全記憶領域を消去することができる。これもUSBメモリーや外部接続のハードディスクなどに限られるが有効である。
・なお、ウインドウズが入っているCドライブのデータを本当に完全削除するには、USBメモリーなどの外部記憶装置からウインドウズやリナックスを起動し、上記の処理を実行しよう。

（2）完全削除ソフトウエアで消去する

・市販あるいはフリーのソフトウエアで「本当の完全削除」ができるとされるものを利用する。これは、削除対象のファイルが使っている領域（クラスター）をすべて洗い出して、その領域に対して乱数などで上書きする処理を実行するもの。ただし、データが本当に全部消えているかどうかは自分で検証しておいたほうがよい。
・なお、ウインドウズが入っているCドライブのデータを本当に完全削除するには、USBメモリーなどから起動するタイプの完全削除ソフトウエアなどを利用しよう。

（3）暗号化で実質的に漏洩しないようにする

・暗号化ツールでデータを暗号化することで実質的にデータが漏洩しないようにできる。暗号化したUSBメモリーやディスクを廃棄する場合は、暗号キーを削除して、復号化できなくすることで、実質的にデータを読み出せなくすることが可能だ。もちろん、暗号キーについては本当の完全削除を実行しなければならない。
・ただし、暗号化では暗号キーという「鍵」に相当するデータの管理はきちんと行う必要がある。これを誤って消したり、システム障害で読み出せなくなったりすると、データが利用できなくなる。また、ログインと連動させて暗号キーを使い、ファイルの中身を見ることができる暗号化ツールの場合、ログインに使うパスワードなどの管理もきちんとしておかなければならない。

（4）物理的に破壊する

・わずかでも絶対に漏洩してはいけないデータを一度でも入れたことがあるUSBメモリーやパソコンを廃棄する場合は、物理的に破壊するのが最も確実である。USBメモリーなどであれば金づち、ペンチなどで粉砕する。パソコンのディスクであればドリルで穴を開けるなどを行う。

　物理破壊を勧めるのは、記憶装置に発生した不良セクターから情報が漏洩する可能性があるためだ。

不良セクターには、データの書き込みはできないが、データの読み出しが可能なタイプがあり、その場合は不良セクターになる前に書き込まれたデータが読み出せてしまう。

不良セクターは「完全なフォーマット」の際に、処理対象から外されるので、完全なフォーマットでも削除することができない。

　とにかく、ウインドウズで消したと思ったデータは、我々が思っている以上に残っているものだ。

「個人情報や機密情報などを本当に完全削除するには、物理的な破壊のような徹底した方法が必要です」と関氏は話す。

※ メール・BLOG の転送厳禁です!!  よろしくお願いします。