ファイルを削除するということは
「ごみ箱」機能
近年のパソコン用のOS、たとえばWindowsやmac OSでは、ファイルの削除に「ごみ箱」機能が搭載されていることが多くなっています。
この機能は、ファイルを削除した際に即座に消去されずに、いったんごみ箱に保存されるものです。そのため、うっかり重要なファイルを消してしまった!といったようなミスに対する保護機能として働きます。
パソコンの内部においては、このごみ箱機能はファイルの消去処理は一切行いません。具体的には、それまで別のフォルダ内に存在していたファイルを、ごみ箱というフォルダに移しているだけです。そのため、そこからの復旧も非常に容易です。一般的にはごみ箱機能の利用は削除・消去としては扱いません。
「ごみ箱を空にする」とどうなる?
さて、ごみ箱の中身を実際に消去したい場合には、「ごみ箱を空にする」という手段が使えます。また、Windowsの場合だと、削除対象のファイルをShiftキーを押しながらDeleteキーを押すという操作をすることで、ごみ箱を経由することなくファイルを削除することができます。
また、ファイルサイズが極めて大きい場合や、外部の補助記憶装置を用いている場合も、ごみ箱機能は有効にならないことがあります。
こういった場合はどうでしょうか?
この場合は削除対象のファイルは、ごみ箱フォルダに移動することがなく、ファイルがパソコン上から削除されるように見えます。少なくとも、一般的なIT知識を持つ利用者の目にはそう映るはずです。
しかし、フォレンジック的な観点からはそうではありません。実はこの場合も特殊な方法を用いることで、データを復元することが可能であることを知っておかなくてはなりません。
そのため、パソコン上で重要な機密情報を扱っていたが、利用を終了することに伴いそれを削除した。(ごみ箱も空にした)という場合であっても、機密情報が残存していて、悪意のあるものに閲覧を許してしまうという事があり得るという事になります。この事実を認識しておくことは非常に重要です。
削除の裏側で何が起きているのか?
そういった誤解により情報路遺影などのインシデントが発生してしまうことも多く発生しています。そのため、パソコンやサーバー上で削除処理をOSが行っているときに、実際にどのような処理が行われているかを知っておく必要があります。
OSの内部ではファイルシステムと呼ばれる仕組みを用いてファイルの管理を行っています。ファイルシステムはOSによってもさまざまな種類のものが存在していますが、イメージとしては補助記憶装置を図書館の蔵書に例えたときには、「目録」と蔵書の双方を管理するための包括的な仕組みだと考えると分かり易いと思います。
ファイルシステムが存在しない場合、データだけが補助記憶装置内にひたすら残る形になり、名前を付けることもできませんし、整理することもできなくなります。また、どこにどういったファイルがどういう順番で置かれているかもわからなくなりますので、ファイルを取り出すこと自体が困難になります。そのため、ファイルシステムという概念は非常に利用者にとって重要なものであるといえます。
さて、このファイルシステム内では、ファイルは実際のデータそのものと「メタデータ」と呼ばれるものにわけて管理されています。メタデータとは分かりにくい言葉かもしれませんが、ファイルに関係する付随情報だと考えてみてください。
例を挙げると、ファイル名であったり、ファイルサイズであったり、作成日時といった情報です。Windowsであれば、ファイルのプロパティで確認できる情報だと考えていただいても構いません。
このメタデータの中の重要な情報として、ファイルの格納情報が保管されています。補助記憶装置のどの場所(セクタ)にファイルが保存されているかがこれを見ればわかる仕組みになっているということです。
逆の言い方をするならば、補助記憶装置の各セクタがどのファイルによって使用されているか、あるいは空き領域となっていて使われていないのか?ということはメタデータによって管理されているということになります。
さて、ここでファイルの削除の話に戻ります。OSはごみ箱が空になったときには、このメタデータの削除をおこなっっているだけで、実際のデータは削除していないのです。そのため、補助記憶装置内には残り続ける可能性がある、ということです。
なお、メタデータが消されたファイルが保存されている補助記憶装置の領域は、上書き可能な状態になります。そのため、新しくファイルを作成した場合などに使われる可能性が発生します。OSは起動しているだけでもログファイルのようなシステムで用いるファイルを自動生成しますので、利用者が意図せずともこの上書き行為が行われる可能性があります。
間違って必要なファイルを削除してしまったので復元したい、といったケースも良くあることだと思いますが、その場合はこのように上書きがされる前であれば復元が可能になる可能性が高いということになります。ファイル復元は時間との勝負であり、時間が経過すればするほど、復元することは困難になっていきます。
フォレンジック調査官にとっては、立場が逆転し、不正な行為の証拠を削除された場合に復元したいと思っても、時間が経ってしまうと戻せなくなる、といった形になります。そのため、速やかにフォレンジックを行う必要が出てくるのです。
まとめ
ファイルをごみ箱から削除しただけでは、ファイルシステム上でメタデータ、特にファイルが実際に保存されている場所の情報だけが消去され、実際のデータは新たに上書きされるまでは残存している可能性があるという事を解説しました。
この事実は、一般の利用者にとっても、意図しない機密情報の漏洩を防止するという観点から重要になりますし、フォレンジックを行う調査者にとっても、証拠保全ができるかという意味で大切なことになります。
なお、ファイル削除の具体的な手法は利用しているファイルシステムによっても変わりますし、近年では補助記憶装置としてハードディスクではなく、SSDが用いられることが多くなっています。SSDでは、Trim機能と呼ばれる機能が動作することにより、消去の動作が大きく変わっています。
この辺りは追って解説していきたいと思います。
