消したはずの情報が復元される？データの完全削除とは

SHIFT SECURITY セキュリティの学び場ニュース解説消したはずの情報が復元される？データの完全削除とは

消したはずの情報が復元される？データの完全削除とは

2022.01.26 ニュース解説

今回の解説ニュース
USBデバイス、利便性が高いがゆえに悪用される可能性も
初期化やフォーマットを行ってもデータの復元は可能？

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

ビジネス文書含む HDD がフリーマーケットで販売、LAC 元社員私的にバックアップし、売却

株式会社ラックは1月14日、フリーマーケットで販売されていたハードディスクに同社内のビジネス文書が含まれていたことが判明したと発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

ファイルを削除したハードディスクをフリーマーケットで販売した結果、データが復元できる状態であったということです。データの持ち出し対策と、データを削除する際に気を付けるべきポイントについて説明します。

今回のインシデントは、フリーマーケットで購入されたハードディスクにビジネス文書が入っていたという通報があり発覚しました。原因として、業務データの複製を防止するための技術的対策が不十分で、元社員が業務用PCの入れ替え時に業務データのバックアップを個人所有PCのハードディスク上に保存してしまったことが挙げられています。その後、データ消去が不完全であったことから、情報流出に至ったということです。

対策として、通報者からハードディスクを回収し、復元時に発生した流出情報のデータをすべて削除し、元社員の所有する他の機器に流出情報が残っていないことを確認しています。また、回収したハードディスクと記録されていた情報について、当事案に関わる対応が完了した後に記録情報含め完全に破壊する予定です。再発防止策として、今後は業務データの複製の制限と、監視の技術的対策の強化と、社員の異動や退職時等の機器の回収や情報廃棄など社内プロセスを強化するということです。

USBデバイス、利便性が高いがゆえに悪用される可能性も

パソコンから不正にデータを持ち出させないための対策として、USBデバイスの制限が挙げられます。具体的な内容について説明します。

USBはデバイスをつなぐだけで使うことができるその利便性から、安易に使われることが少なくありません。例えば、USBのフラッシュメモリにデータをコピーして、その後に媒体の行方が分からなくなってしまったというインシデントを、今も時々耳にします。このような状況から、USBデバイスでも特に外部記憶媒体の利用制限を行う組織が増えてきています。

技術的対策として、Windowsの場合はグループポリシーで外部記憶媒体の利用を制限することができます。具体的には、Windows 10の場合、グループポリシーエディターで「リムーバブルディスク：読み取りアクセス権の拒否」と「リムーバブルディスク：書き込みアクセス権の拒否」が設定できます。USBデバイスの利用制限をサポートしていないOSの場合は、サードパーティ製のソフトウェアを導入することを検討しましょう。

また、これは極端な対策かもしれませんが、USBのインターフェースを物理的につぶしてしまう組織も存在しています。OSなどのソフトウェアによる対策は迂回できてしまう可能性があるため、USBを物理的に使えなくしてしまうことが手堅い対策であると判断したのではないかと考えられます。

初期化やフォーマットを行ってもデータの復元は可能？

結論から言うと、初期化やフォーマットをしても、ファイルが復元できてしまう場合があります。具体的な例を挙げて説明します。

ファイルの削除は「読もうと思えばなんとか読める」状態: まず、記憶媒体からファイルを完全に削除するためには、別のデータで上書きする必要があります。例えば、ファイルを削除しただけでは文字を二重線で取り消したのと同じ状態で、文字を読もうと思えば読めてしまいます。別のデータで上書きするのは文字を黒塗りでつぶすのと同じ状態で、書かれていた文字は読めなくなります。
通常フォーマットで「ゼロのデータを上書き」: Windowsの場合、クイックフォーマットと通常フォーマットがあります。クイックフォーマットの場合、ファイルシステムの管理情報を変更するだけで、他のデータで上書きされるまでファイル自体は残ったままです。よって、フォーマットされた直後であれば、簡単に復元できてしまう可能性があります。通常フォーマットの場合、Windowsのバージョンによって結果が異なります。Windows XP以前の場合、クイックフォーマットに加えて不良セクタのチェックが行われますが、データ自体はクイックフォーマットと同様に上書きされず、残ったままです。Windows Vista以降の場合、ゼロですべてのデータが上書きされますので、現在サポートされているWindowsの通常フォーマットではデータが完全に削除されることになります。
最も確実な削除は「物理的な破壊」: ただし、デジタル的にゼロで上書きしても、アナログ的に0.01のような記憶媒体の磁気などを読み出すことができれば、理論的にはゼロで上書きしてもデータが復元可能であると言えます。よって、完全にデータを削除するために、繰り返しゼロで上書きする事が行われる場合もありますが、一度ゼロで上書きすれば一般的に復元は困難であると考えられます。最も確実なデータの削除方法は、物理的に破壊することです。

今回は、USBデバイスの制限とデータの完全削除についてお届けしました。何よりも、人は弱い生き物である性弱説に基づき、インシデントで悲しむ人を生まないためにも、属人性を排除したセキュリティ対策の仕組化を心がけましょう。

Voicyでニュース解説ラジオ配信中！

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください！

今日の10分セキュリティラジオはこちら

この記事の著者セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。