Outlookのメールデータを他業者では1通も復元できなかったPCから当社は10万通を超えるメッセージを復元しました。このページでは、専門業者でさえも復元できなかったOutlookの消失メールを、当社がどのように復元したのかについて、実例とあわせてご説明します。
MS OutlookのメールデータであるPSTファイルにまつわるデータ消失トラブルは、機器トラブルだけでなく、データ移行業務中の作業ミス、バックアップ操作の失敗といった不慮の事故であったり、社内不正の証拠隠滅のような悪意のある意図的なファイル削除など、ビジネスにおける様々な場面で生じています。スムーズにデータが復元できれば問題は深刻にならずに済みます。しかし、OutlookのメールデータはJPG画像やワード・エクセルとは異なるデータ特性があるため、本来はメッセージ情報が残存している状況であっても、一般的なデータ復旧方法では復元できないことが比較的多くあります。そのため、復元できるはずなのにできないと判断されてしまうことも多いデータです。
MS Outlookの純正機能やWindows OSの機能を活用したり、データ復旧ソフトの使い方などについてはこのページでは触れていません。それらについてはおそらくネット検索でも多くのヒントが見つかると思います。そうではなく、何を試してもメールを復元できなかった、あるいは余計な処理をして失敗する前にメールを復元しなければならない、というどうしてもOutlookのメール復元が必要な方向けの内容です。
これまでにあったOutlookメールのデータトラブル相談事例
- うっかり誤ってOutlookのPSTファイルを消去してしまった
- 証拠隠滅のため意図的にOutlookのPSTファイルが消された
- 同名ファイルでOutookのPSTファイルを上書きしてしまった
- OutlookのPSTをバックアップせずにOSを再インストールした
- PCのリプレイス時にOutlookのPSTデータを移行し忘れた
- OutlookのPSTを含むユーザプロファイルを削除した
消失(削除)メールを復元したい理由
- 保守メンテナンス・パソコンサポート・IT部門のデータ作業ミス・勘違い
- 退職した社員による情報漏洩・データ持ち出しの社内不正・犯罪行為の証拠集め
- 不正競争防止法違反で裁判をするための資料探し
- 刑事告訴・被害届提出のためのデジタル証拠として使用したい
- 民事訴訟・損害賠償請求のための被害状況(金額)の根拠・証拠の収集
当社へのご相談前に試されたデータ復旧
- データ復旧ソフトを試したがOutlookメールを復元できず失敗
- データ復旧会社のサービスを利用したがPSTファイルを復旧・修復できなかった
- デジタルフォレンジック調査会社に依頼したがメールメッセージを復元できなかった
Outlook PSTファイルの状態と解析手法による復元見込みの違い
次の表は、データ復旧時に一般的な2つの解析法と、Outlook PSTファイルの断片化有無の場合における復元結果の見込みをまとめたものです。ファイルシステム解析とファイルカービング解析については次項でご説明しています。
まずファイルシステム解析を適用できる消失状況のときは、断片化の有無によらず復元を見込むことができます。しかし、そうでない場合にはファイルカービング解析に頼らざるを得ず、断片化の有無は復元結果に大きく影響を及ぼすことになります。
| PSTファイル断片化なし | PSTファイル断片化あり | |
| ファイルシステム解析 | 〇有効 | 〇有効 |
| ファイルカービング解析 | 〇有効 | ×不可 or △限定的 |
そのため、一般的なデータ復旧方法で削除メールを復元できないときには、根本的に異なるアプローチでデータを解析する必要があります。
ファイルシステム解析(データ復旧方法)
ファイルシステム(File System)機能のうちファイル本体記録位置を示すポインタ情報(ファイルレコード、ディレクトリエントリ、iノード等)を検出することで、消失ファイルを復元するデータ解析手法です。断片化したファイルの復元にも有効。ファイル名やフォルダ構造を元通りにできることも多くあります。但し、ポインタ情報が消滅している場合には、データがたとえ残存していてもファイルを復元することはできません。データ復旧ソフトでスキャンした結果、ファイル名やフォルダ名が再現されている場合は概ねこのファイルシステム解析技術が適用されています。
ここでWindows OSで使用されるNTFSにおけるポインタ情報についてご説明します。上図はファイルレコードと呼ばれるファイル名、タイムスタンプ、ポインタ情報が格納される情報のうちポインタ部分を抜粋したものです。以下は上図のポインタの意味を表にしたものです。尚、このファイルは約500MBであり、ファイルが4つに断片化されています。
| 開始クラスタ (16進) | 開始クラスタ (10進) | 使用クラスタ数 (16進) | 使用クラスタ数 (10進) | |
| ファイル断片1 | E6 A6 52 04 | 72,525,542 | BE 9D 00 | 40,382 |
| ファイル断片2 | C6 65 FB | 72,223,916 | 00 8F 00 | 36,608 |
| ファイル断片3 | 20 7F F9 01 | 105,352,140 | EE 8E 00 | 36,590 |
| ファイル断片4 | EC EF 16 FC | 39,746,488 | DB 2E | 11,995 |
このように500MBのファイルでさえも4断片化していますので、これよりサイズが大きくて、なおかつファイル更新頻度も高いOutlookのメールデータであるPSTファイルの場合には、やはり断片化の考慮は避けがたいものと考えられます。そのためファイルシステム解析によって上図のポインタに該当する情報が検出されない場合には、その時点でデータの復元を見込み難いと判断せざるを得ません。
ファイルカービング解析(データ復旧方法)
ファイルカービング(File Carving)とは、ファイルタイプに特有のファイルヘッダやファイルフッタを手がかりに、ファイルシステム情報に依存することなく消失ファイルを復元するデータ解析手法です。例えばJPG画像ファイルはファイルヘッダが「xFF xD8」かつファイルフッタが「xFF xD9」という特性があります。OutlookのPSTファイル形式では「x21 x42 x44 x4E」がファイルヘッダです。下図のうす紫色でマークされた領域です。
データ復旧ソフトでスキャンした結果、ファイル名が元通りではなく連番になっていたり、拡張子別に分類されてい場合には概ねこのファイルカービング解析技術が適用されているはずです。注意が必要なのはファイルヘッダさえ一致していれば、実体の異なるデータであっても「Outook PST」として誤検出されてしまう点です。復元されたはずのPSTファイルをOutlookから開くことができない場合は、誤検出か断片化したPSTファイルの第一フラグメントのみが検出されている可能性が高いでしょう。
前項でみたとおり、Outlook PSTファイルに関してはそのファイル特性から断片化が起こりやすいものと考えられます。そのためデフラグ直後のようなタイミングでない限り、ファイルカービング解析によってOutlookのメールデータを復元することは見込み難く、できた場合であったとしても追加処理としてファイル修復や高度なパース解析が必要になります。
このページを読み下さっている方が、もしも既にデータ復旧ソフトをお試し済みだったり、データ復旧サービスをご利用済みで、それでもPSTファイルが復元できなかったとしたら、比較的多くの場合、この状況が該当する可能性があるといえます。但し、正確なことはやはり解析してみなければわかりません。あくまでファイル特性に基づく復元見込みです。
クラスタスキャン及びセクタスキャンについて(補足的な技術情報)
データ復旧ソフトがPSTファイルを復元するためのスキャン時間が数時間以上、あるいは数日以上かかることがあります。当社にも長い時間をかけて調べたけれども結局PSTは検出されず、お問い合わせのときに「クラスタスキャンまで実施したのにOutlookのメールは全く復元できませんでしたが、まだ復元の見込みはありますか?」とお尋ねになられることがあります。回答は「まだ可能性はあります」です。クラスタスキャンは当社では調査初期段階のざっくりとした調査レベルに該当します。クラスタスキャンは「徹底的にデータを調べる方法」とご理解されているお客様とお話しすることもしばしばございますが、例えばWindowsパソコンでは512バイトから成る「セクタ」が8つ連続した4096バイトの領域が「クラスタ」です(※4K仕様等ではセクタサイズとクラスタサイズがともに4096バイトになることもあります。)。つまりクラスタスキャンは4096バイトずつ読み飛ばしながら検索するようなしくみです。ご参考までに当社では、「バイト」レベルでの解析や「ビット」レベルでの解析も可能です。そこまで掘り下げると、ほぼ別次元の調査になります。
なぜデータ復旧ソフトではOutlookのメールを修復できなかった?
更新頻度が高く、しかもファイルサイズが1GBを超えることも珍しくない「Outlook PSTファイル」は、断片化を避けて通ることは期待しずらいものです。また、消失事案が重大なトラブルである場合ほど、当社にご相談いただくまでに様々なデータ復元をお試しになられていることが多く、時間の経過とファイル更新の処理数が進むことによってファイル削除時に残存していたPSTファイルへのポインタ情報が消滅していることがほとんどです。つまり、先述の表における右下の欄が該当しているケースが多いということになります。これがデータ復旧ソフト等では期待通りにデータを復元できない理由です。すなわち、PSTデータの実体は残存していても、PSTファイルの特性として見つけにくい状況に陥りやすいため「復元できない」と判断されてしまうのです。
でも、ここであきらめないでください。たしかに一般的な調査解析法ですとファイルシステム解析とファイルカービング解析によってOutlookのメールデータが復元されなければ、ファイル復元は不可能と診断されます。しかし先述したとおり、Outlookのメッセージ情報は一般的な調査解析法では復元されにくい傾向にあります。このことは逆に捉えると、消えたOutlookのメールは復元方法次第で見つかる可能性も充分あるということになります。
他社「メール復元不可」が当社で「10万通以上のメール復元」事例
これは当社が調査を承った実例です。お客様は従業員数万人の企業様でした。情報システム部署の技術担当者様がPCのリプレイス業務中にユーザのOutlookメールを移行し忘れたまま、ユーザデータを丸ごと消してしまったという事案です。お客様社内で数十名規模の対策委員会が設置されるほどの重大インシデントだったそうです。発覚後はお客様でも復元を試みたり、他のデータ復旧業者にも調査を依頼されていましたが、メールは1通も復元されなかったとのことでした。当社がそれまでの調査経緯や解析結果等をヒアリングすると、実施されていたのは、ファイルシステム解析とファイルカービング解析のみであったとの判断に至りましたので、パソコン本体をお預かりしてデータ消失後の状況を直接確認したところ、ポインタ情報が完全に消滅していたことが判明しました。これによって「一般的な調査解析法ではOutlookのメールを復元できない」ことが決定的になりました。しかし、当社の解析はここからさらに深く掘り下げます。さすがにITの専門家が調べてきたデータですので、簡単には見つかりませんでしたが、最終的には当社の調査で10万通を超える数年分のメールデータが復元されました。10通ではありません。10万通以上、です。
他社で復元できないOutlookをどうして復元できたのか?
一般的なデータ復旧サービスやデジタルフォレンジック調査サービスでは、市販品ソフトや専門エンジニア用の解析ソフトウェアが利用されることがほとんどです。それに対し、当社では復元したいファイルの構造に合わせ、かつデータ喪失後の媒体状況にも適した専用プログラムを個別に開発しながらデータ復旧に取り組むことができます。これが当社の一番の強みです。OutlookのPST形式にはどのファイルにも共通するファイルヘッダもありますが、個々のお客様のデータは中身がそれぞれ異なります。消える前のデータも違えば、消え具合もファイルサイズも異なります。断片化の数やパーティション区画内での配置(アロケーション)状況が完全一致するようなデータ消失事案が2つ以上存在することはあり得ません。やはり個々のデータ消失状況を正確に分析し、それぞれに適した専用の復旧プログラムを作って復元する、このような取り組みを行うことで、お客様のトラブル解決を目指しています。
具体的なメールデータの復元・解析過程もご説明します
基本的には法人様限定となりますが、秘密保持契約の締結を条件とし、当社でのデータ復旧作業過程を開示することも承ります。データ復旧率のような不確かな数字に惑わされることなく、ぜひ正確な現状把握と、根拠のあるデータ復旧見込み、そしてOutlookデータの復元へ向けた取り組みをご検討ください。
