スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

ハードディスクデータの完全消去その3、代替領域

前回、ハードディスクの上書き回数について書いていて、結論が出たくらいのところで突然俺は代替領域という言葉を出しました。代替領域、何なんでしょう?これはWikipediaのデータの完全消去のページのページにも突然何の前触れもなく登場する言葉です。

実はこれとデータの完全消去の問題について警告を発しているサイトがあったのです。そのサイトを読んだ奴が、きっとよくわかっていないくせにWikipediaに書き込んだのでしょう。俺もよくわかっていないくせにこれからいろいろ書きます。これは自分のブログだからね。好きにさせて。

そのサイト、今はもう消えています。消えてはいますが、俺には結構印象深い内容だったので覚えています。その記憶を頼りに書いてみましょう。

ハードディスクには不良セクタの発生に備えた代替領域というものが存在する。不良セクタが発生すると代替領域でカバーするため、少々不良セクタが出たくらいではハードディスクの見かけ容量が減ったりはしない。ただ、この内部処理は全てハードディスクの制御装置内で行われるので、パソコンからは直接制御できない。そのため、この領域に書かれた情報は削除できない。ゼロフィル (つまり全領域への0値の上書き) をしても、この領域に書かれた情報には及ばない。

こういう内容でした。ちなみに昔のNEC独自規格のパソコンPC98の中にはここへの直接アクセスができるものがあるそうで、それを使って直接代替領域に強制的に情報を書き込んだ後、PC/AT互換、つまり通常のパソコンに接続してゼロフィルし、PC98に接続しなおして代替領域を強制的に読み出し、データが変わっていないことを見せて代替領域にはゼロフィルが及ばないことの実証をなさっていました。

ただ、これには自分はちょっと納得いきませんでした。内部処理にはパソコンは直接干渉はできないいとしても、不良セクタの代替として実際に使われるようになった代替セクタについては、直接アクセスできるようになっているのではないでしょうか?つまり、パソコンから代替セクタに直接アクセスは不可能でも、内部的に代替処理されているならば、その不良セクタへの書き込み命令が代替セクタへの書き込みに内部処理され、実質的に代替領域へのアクセスは可能になっているのではないでしょうか。そうでなければ代替領域の意味がないはずです。

よって、ゼロフィルは代替 (のために確保されている) 領域全体には及ばなくても、代替「された」領域には及ぶはずです。そして、消去されるべきは前者ではなく後者でしょう。だから心配することは無いのでは?と。あの実験でも、例えば不良セクタが代替領域を使い切るほどに出たハードディスクで行ったら、強制的に書き込んだデータも消えていたのではないでしょうか。



残念ながら、これは俺の認識不足だったようです (あのサイトの説明も少なすぎたと思うけど) 。どうやら、ハードディスクの代替領域が使われるのはその場合だけではなさそうなのです。

不良セクタ , 不良ブロック とはなにか- ハードディスク 番長

こちらのサイトによると、一旦読み出し不良が生じたとしても直ちにそのセクタを諦めるわけではなく、データの読み出しを何度かリトライするのだとか。そしてなんとか読み出しに成功した場合、その情報を代替領域にコピーしておくのだそう。そしてその不良の疑いのあるセクタに再書込を行い、時間をおいて読み出し再試験をすると。読み出し再試験に失敗した場合そのセクタは不良セクタ扱いとなってコピーされた代替領域のセクタがそのセクタと取って代わり、成功した場合は何事もなかったとされる、のだそうな。

ここなんでしょうね問題は。この不良の疑いのあるセクタの回復ができた場合、不良セクタの代替セクタとして予約されたコピーセクタは放棄されるのだと思われます。不良の発生がなかったのは嬉しいことではありますが、消すことのできない情報の破片が、このとき発生してしまうのでしょう。

これはどうしたらいいんでしょうね…不良セクタとして確定し、代替処理がなされるとSMART情報で確認することができますが、不良セクタからの回復についてはSMART情報に載るものなのでしょうか。196 Reallocated_Event_Count がそれっぽく見えますが、でも残念ながら、ネットでSMART情報を曝してくれている人々の情報を読むに、5 Reallocated_Sector_Ct つまり確定した不良セクタよりもこの数値が低いことが低いものが見られるので、私の求めているものとは違うように思えます。

どうしましょうか。もしSMART情報からそれが行われていないと確認できれば安心なのですが、もしそれをSMART情報からは読み解くのが不可能な場合、あるいは読み解けて、情報待避からの回復が確認できた場合。

んー、まあそれが流出を防ぎたいデータにズバリ当たっている可能性は低い、当たっていたとしてもゼロフィルしてしまえば前後のない4KBのデータの残骸になってしまうわけで、危険は低いと考え無視するか、もう物理的に破壊するか、ですかね…。NSAは現在、ハードディスクの完全消去規格を消磁もしくは物理破壊に切り替えたようですが、本当に流出しちゃいけないデータを扱う場合にはもうそれしかないのかも知れません。ただ、前々回の話に戻りますが、どこまで物理的に破壊すれば復旧不能と言えるのか、まるでわかりません。

あるいは、最初から全体的に暗号化するべきなんでしょうね、絶対に流出させてはいけない情報を扱う予定のマシンは。



なんかよくわからない話になりましたね。まとめましょう。

・ハードディスクの完全消去は誰にでも必要。社会的立場に差し障る可能性があり、特にマシンを手放すときはやっておくべき
・ゴミ箱に入れ、空にするだけではデータは残る。一般に流通しているアプリケーションソフトで復旧可能
・フォーマットしてもデータは残る。これも一般レベルで復旧可能
・少々の物理的破壊ではプロの手にかかれば復旧可能。NASAが依頼するような業者に、一般人も依頼することが可能。どこまで破壊すれば彼らにも読めなくなるのかはわからない
・無意味なデータでディスクの全領域を上書きすることでデータは消せる
・かつては多重に上書きすることが推奨されていたが、一般人レベルでは一回全領域上書きをすれば復旧はまず不可能。現在はプロの手にかかっても一回の上書きでほぼ復旧不可能とされているようだ
・それでもデータ処理の残骸が、ハードディスクの一部に存在する可能性がある。これは通常の操作では消すことができない。

どうしたらいいか

・全領域の上書きのみ。代替領域の残骸の可能性は無視
・全領域の上書き+可能な限りの物理的破壊、特にプラッタを念入りに+数回に分けてゴミに出す
・最初から全領域を暗号化した上で使う

どれか好きなのを選んでください。

関連記事

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

ざっぱー

Author:ざっぱー
(この画像について)

当ブログについて
メール
(このメールアドレスへの特定電子メール (迷惑メール) の送信はお断りします)

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。