スラック領域って何だろう？

Table of Contents

フォレンジックでの削除への対応

コンピューター・フォレンジック（以下フォレンジック）では、削除されたデータの取り扱いが非常に重要になります。
例えば、外部からサイバー攻撃によりシステム内に侵入した攻撃者は、当然ながら自分の不正行為が発覚するのを避けたく考えるのが普通です。そのため、痕跡を消去することを行います。具体的には、アクセスした記録（ログ）や、持ち込んで利用していたツール類を削除します。また、作業のため一時的にファイルを作成することもよくあるため、それも削除します。
別のケースで、今度は内部不正の場合を考えてみましょう。こちらも状況は同じです。社員が所属している会社で横領などを外部の事業者と結託して行った場合などに、連絡手段としてメールを使ったのなら、いざ怪しまれた場合にその該当メールを削除して証拠の隠滅を図るのは当然の成り行きでしょう。
このように、フォレンジックが必要となるインシデント対応においては、削除されたデータをどうにかして解析する、ということが求められます。

スラック領域とは？

そこでクローズアップされるのがスラック領域と呼ばれるものです。スラック領域は別名ファイルスラックとも言われます。
デジタルデータは補助記憶装置に保存されます。ハードディスクに代表されるものです。そのハードディスクで管理される最小の物理的な記録の単位をセクタと呼びます。
ファイルは、OSの機能のひとつである「ファイルシステム」によって管理されますが、ファイルシステムが管理する最小単位はクラスタと呼ばれます。
セクタのサイズは512バイトが旧来用いられていましたが、近年はより大きいサイズで4kセクタとも呼ばれる、4096バイトのサイズが利用されます。
一方でクラスタのサイズはフォーマット時などに指定することができます。4096バイト、8192バイトやそれ以上のサイズが指定できますが、セクタより大きなサイズを通常用います。
スラック領域をひとことで説明すると、クラスタの中で使用されていない領域のことです。
例えばクラスタのサイズが4096バイトであり、そこに2000バイトのファイルを保存した場合は、クラスタ内に未使用の領域が2096バイト分発生します。そこがスラック領域になります。
ファイルのサイズがクラスタサイズの整数倍になっていないとスラック領域が発生することになりますので、スラック領域は頻繁に出現します。

スラック領域の重要さ

スラック領域がフォレンジックにとって重要なのは、過去に保存していたデータがこの領域の中に残されている可能性が高いということがあるためです。
冒頭で述べた、削除済みのファイルの痕跡が残存しているかもしれない、というのは大事なポイントです。ただし、ある程度は新たに生成されたファイルによってクラスタは使用されますので、断片しか残りません。ただその断片も貴重な証拠になり得ます。
大きなファイルが削除されて、そこに小さなファイルが新たに作成されて部分的に上書きされると、残ったスラック領域にはかなりの情報が残存します。
こういった断片情報では、それ単独では決定的な証拠になることは少ないですが、他の証拠と矛盾がない場合、例えばメールサーバーのログにメールを送信した記録が残っていたが、該当するメールが（証拠隠滅のため削除され）存在しない場合に、断片的ににでもスラック領域からその痕跡が拾えれば、その行動がかなりの信憑性を持って疑うことができます。
そのため、スラック領域はフォレンジックにおいて重要な要素となっているのです。

具体的なスラック領域の分析方法

スラック領域は人間が手動で分析するのは現実的ではありません。そのため、一般的にはフォレンジックツールを用いて行います。
フォレンジックツールには商用のものと、フリーのものがありますが、商用だとEnCaseというものが有名です。多様なファイルシステムにおいて、削除されたデータを分析することが可能です。
また、フリーのオープンソースのものだと、The Sleuth Kit(スルースキットと読まれます)が有名です。また、これにグラフィカルでわかりやすいインターフェースを提供するAutopsyもよく用いられます。