2024年10月22日から25日まで開催された、コンピュータセキュリティシンポジウム2024にて、「データ消去済みSMR方式HDDからのデジタル証拠復元を主眼としたデジタルフォレンジック調査の有用性」と題した研究発表を行いました。この研究は弊社内で独自に行ってきたものであり、データ消失トラブルや、パソコンやサーバのデータを証拠隠滅目的で消去された場合などにおいて、従来は復元することが不可能であったデータを復元できる技術です。不正や犯罪の被害に悩まされる企業や組織は多くありますが、今後この技術が適切に活用され少しでも多くのデジタル証拠が検出されることにより、救われるべき方々が救われるようになることを期待しています。なお、悪用される危険性も考慮しながら慎重に情報開示と研究を継続しています。(by 下垣内 太)
| タイトル | データ消去済みSMR方式HDDからのデジタル証拠復元を主眼としたデジタルフォレンジック調査の有用性 |
| Title | Usefulness of digital forensic investigation focusing on digital evidence recovery from wiped SMR HDDs |
| 概要 | 企業や組織における営業秘密の不正持出しや背任などの事件において,証拠隠滅目的でデータが消されたPCやサーバを対象にデジタルフォレンジック調査を行うことがある.しかし,デジタル証拠が復元される率は近年低くなりつつある.その要因として削除データの復元が困難なSSDの普及が挙げられる.こうした特性を持つデバイスが増えるほど,消されたデータの復元は困難になる.それでも被害企業は,不正や犯罪の証拠を集めるしかない.それが無理ならば泣き寝入りすることになってしまう.そこで被害者救済の観点から,データの消去処理済みであっても,デジタル証拠の収集が期待できる媒体としてSMR方式のHDDに着目した.SMR方式のHDDならば論理アドレスのないデータ記録領域があるはずで,被害や損害の立証に有用なデジタル証拠を復元できる可能性が残されていると考えられたからである.本稿では,そうしたデータ記録領域の容量を推定すべく,SMR方式HDDついて物理セクタ数を調査した結果をまとめ,さらに日本及び米国で購入したデータ消去済みのSMR方式HDDから,機密ファイルが復元された実証実験についても報告する. |
| Abstract | Digital forensic investigations are sometimes conducted on PCs that have been wiped to destroy evidence in cases of data theft or other crimes. However, the recovery rate of digital evidence has declined recently due to the widespread use of SSDs, which make it difficult to recover deleted data. In contrast, SMR HDDs could be a medium of interest for forensic investigations because they may contain data areas without LBAs, potentially allowing the recovery of digital evidence even after erasure. This paper investigates the number of physical sectors on SMR HDDs to estimate the capacity of these data areas. It also reports on a demonstration experiment where confidential files were recovered from wiped drives purchased in Japan and the U.S., highlighting the potential of SMR HDDs for supporting victims in digital forensic cases. |
| キーワード | デジタル証拠,フォレンジック,データ消去,SMR,HDD |
| Keywords | Digital Evidence, Forensics, Data Erasure, SMR, HDD |
| 論文利用上の注意事項 | ここに掲載した著作物の利用に関する注意 本著作物の著作権は情報処理学会に帰属します。本著作物は著作権者である情報処理学会の許可のもとに掲載するものです。ご利用に当たっては「著作権法」ならびに「情報処理学会倫理綱領」に従うことをお願いいたします。 |
| Notice for the use of this material | The copyright of this material is retained by the Information Processing Society of Japan (IPSJ). This material is published on this web site with the agreement of the author (s) and the IPSJ. Please be complied with Copyright Law of Japan and the Code of Ethics of the IPSJ if any users wish to reproduce, make derivative work, distribute or make available to the public any part or whole thereof. All Rights Reserved, Copyright (C) Information Processing Society of Japan. Comments are welcome. Mail to address editj@ipsj.or.jp, please. |
| Download the paper |  |