AOSリーガルテックは、ストレージ内のデータ復旧やフォレンジック(PCやスマホに保存されたデータを収集・分析し、その法的な証拠を保全する手段や技術)といったサービスを提供している。2016年12月、データ復旧作業を行う「データ復旧ラボ」がリニューアル。その後、新しくなったデータ復旧ラボと、そこで行われる復旧作業がプレス向けに公開された。
故障のメインはHDD、スマホも急増
データ復旧ラボでは、HDDを中心とした記憶媒体(図1参照)からデータの復旧を行っている。室内に入るとまず現れるのはコールセンター。ここで、データ復旧の依頼を受ける。日によって異なるが、平均すると1日70~80件くらいの問い合わせがあるという。
依頼の内訳は、4割がPCのHDD、3割が外付けHDD、1割がスマートフォン、2割がその他でサーバやSDカード、USBメモリなどだ。スマートフォンはこの数年でかなり増加しており、SDカードやUSBメモリなども増加傾向にあるとのこと。最近では監視カメラレコーダの復旧依頼があり、今後は、損保会社などからドライブレコーダからの復旧などが予想されている(事故の検証が目的)。
次いで、復旧をする現物(HDD)を受け取る部門だ。
ここでは筐体とHDDとの管理を徹底する。コールセンターと異なり、このエリアになると2重の指紋認証システムをクリアしないと入れない。ユーザーから送られたデータには、機密情報もある。監視カメラなども含め、万全のセキュリティ体制が施されていた。
HDDの故障は2種類、論理障害と物理障害
復旧では、まず、初期診断が行われる。この段階で、ほぼHDDなどの故障具合が診断される。それに基づき見積もり額が提示される。ここまでは無料だ。
ここでの大きなポイントは、論理障害と物理障害のどちらに不具合が発生しているかの診断だ。論理障害は、MFT(Master File Table、NTFS形式ファイルシステムのインデックス)などの損傷で正しくデータを読み出せない状態や、誤って削除・フォーマットしてしまった場合が該当する。
物理障害は、まさに部品が正常に動作しない状態となる。ハードディスクは、プラッタと呼ばれるデータ記録用の円盤を複数内蔵し、プラッタを回転させるモーターやプラッタへデータを読み書きする磁気ヘッドなど、物理的に動くパーツから成り立っている。これら部品のどれかが正しく動作しない、これが物理障害だ。
なお、スマートフォンなどに組み込まれているSSDでは、物理的に動くパーツは存在しない。SSDのデータ復旧は、データの読み書きを制御するチップが正常動作するかどうかにかかっている。
図4の写真はDDのデータに欠陥(不良セクタ)がないかチェックし、正常なデータをコピーしているところ。赤い部分が不良セクタであり、その前後のセクタは黄色で示され、コピーをしていない。緑色で表示される安全な部分がコピーされた後、黄色や赤色の危険セクタのコピーを試みる。下の図5の写真はHDDを検査し、不良セクタを確認している。
クリーンルームでHDDを分解
論理障害ならば、このレベルの作業でかなりのデータを復旧できる。しかし、物理障害ではHDDを分解し、部品単位での交換も行われる。その作業に使われるのがクリーンルームだ。
作業者は非常に的確に、しかもすばやくHDDを分解していく。最終的にプラッタを取り出す。こうして部品単位で交換や修理が行われ、データの復旧を行う。まさに職人芸といった感想である。
iPhoneでパスワード忘れ……復旧できないケースも
AOSリーガルテックでも、100%データ復旧は達成されていない(現状では、持ち込まれた90%以上がデータ復旧されている)。具体的には、以下のような事例だ。
- HDD内の全プラッタに傷がある場合
- iPhoneでパスコードを喪失したりデータを削除してしまった場合
- SSDなどで、データが保存されているメモリチップの損傷
データを保存するプラッタが、物理的に損傷してしまった場合、残念ながら同社でもデータの復旧は難しいとのことであった。iPhoneに関しては、2016年に米国において、捜査当局とApple社でデータ提供に関する法的な論争があったことを記憶されている読者もおられると思う。実際に、パスコードがわからないと、データ復旧ラボでも復旧は不可能とのことであった。
また、最近、普及が進むSSDといったフラッシュメモリを使った記憶媒体だが、データが保存されているメモリチップや、制御するコントローラが破損すると、復旧が難しいとのことであった。
復旧に必要なこと、やってはいけないこと
一般的なHDDの故障(特にMFTの破損による論理障害など)では、エクスプローラによるファイルコピーが遅くなるといった兆候が発生する。また、物理障害の場合は電源投入すると、異音が発生するなどといったことがある。
このような症状が出た場合、まず、HDDの障害を疑ってもよいだろう。そこで、最初に行うべき対策はバックアップだ。故障前の多くの場合にこういった兆候があるので、そこを見逃さないことが重要となる。これに対し、SSDやUSBメモリといったフラッシュメモリは、故障の兆候を見つけることは難しい。また、注意をしていても、HDDやSSDに障害が発生し、データを読み出せない状態となることがある(もしくは、事故、自然災害のように避けられない事態もある)。
AOSリーガルテックのデータ復旧サービスに、HDDを持ち込む際のアドバイスを聞いたところ、大事なことは、むやみに電源を再投入しないことだという。
この理由だが、たとえば、アームやヘッドなどに物理的障害が発生していた場合、プラッタを傷つけることになりかねない。前述したように、プラッタの傷や腐食はほぼデータ復旧不可能となる。電源を入れて無理にプラッタを回転させ、傷をつけてしまっては、被害を拡大させるだけだ。
水没した場合などでも、電源を投入すると回路にショートが発生し、障害のレベルを上げてしまうこともある。また、水没してしまった場合は無理に乾燥させるのもいけない。特に、海水に水没した場合、乾燥すると塩分の結晶ができ、プラッタに付着する。これが、データの読み出しを困難にすることがある。
また、Windowsでは、ディスクを検査しファイルを復旧させる「chkdsk」コマンドが実装されている。しかし、状況によっては、このコマンドの実行が、HDDを完全に破たんさせてしまうこともある。本当に重要なデータやファイルが読み出せない場合は、下手な対処は行わず専門家に任せるほうがよいだろう。