データ復旧 データ復元・管理について -3ページ目

トロイの木馬(Trojan horse)

トロイの木馬とは、コンピュータの安全上の脅威となるソフトウェアの一つで、2010年に発覚したイカタコウイルス がこれにあたります。 

有用なソフトのように見せかけて、裏では悪さをするというのが特徴で、自己増殖機能は無い為、コンピュータウイルス と区別されていますが、一般的にはウイルスと認知されています。


トロイの木馬には様々な種類があり、感染されたパソコンの遠隔操作を行うバックドア型、オークションや電子メールなどのアカウント情報を収集するパスワード窃盗型、ブラウザの設定を変更し特定のウェブサイトへ接続させるクリッカー型、特定のウェブサイトへ接続し、悪意あるプログラムをダウンロードし実行するダウンローダ型、元から内包された悪意あるプログラムを秘密裏にインストールするいつくかのプログラムによって構成されるドロッパー型、被害者のルータヤDSNを無許可で改変し、被害者のマシン上にプロキシサーバを構築するプロキシ型があります。


トロイの木馬は、性質上、被害者にファイルを起動させる必要がある為、ファイル共有ソフトからの感染が多いです。



トロイの木馬に感染してしまった場合、感染されたパソコンの遠隔操作を行うバックドア型など、(友人など)他のユーザーに悪意あるメールを送ったりする可能性もありますので、インターネットの接続をすぐに切り(モデムをの電源を切る)その後、その後、アンチウイルスソフトなどのご使用をお勧めします。

リビルド(rebuild)

リビルドとは、「再建する」という意味の英単語で、RAID 構成されたハードディスクにおいては、故障したハードディスクを新しいものに入れ替え、残りの正常なハードディスクからデータを再構築する作業のことをいいます。


RAID1 RAID5 で構成されている場合は、故障したハードディスク1台、RAID6で構成されている場合は、故障したハードディスク2台までを入れ替える再構築を行うことで、ハードディスクが故障する前の信頼性を取り戻すことが出来ます。


ただし、(RAID5において)ハードディスク1台を入れ替え再構築を行ったところ、もう1台ハードディスクに障害が生じていた。 誤ったハードディスクを入れ替えてしまった。など、リビルドを行ったことによりデータの救出が難しくなるケースもありますので、重要なデータが保存されている場合の機器の扱いには注意が必要になります

Operating System not foundと表示されパソコンが起動しない

Windowsパソコンのトラブル症状の1つに、


[Operating System not foundというメッセージが出てOSが立ち上がらない]という症状があります。


このような症状は、OS(windows)が入っている記憶メディア(通常はハードディスク )が見つからない場合に発生します。



OS(windows)が入っている記憶メディアが見つからない理由としては、



・ハードディスクにWindowsがインストールされていない。

トラブル前に使用出来ていたのであれば、あまり考えられません。 


・フロッピーディスクなど、BOOTする順番がハードディスクより先のメディアが入っている。

パソコンを立ち上げる際、BOOTする順番がHDDより先のメディアが入っている場合、先にそのメディアを読みに行くため、このような症状が発生する場合があります。


・接触不良などにより、ハードディスクが認識されていない。

接触不良により、ハードディスクが認識されていない場合、ハードディスクに保存されているOS(Windows)も認識されません。


・ハードディスクに論理的障害が生じている。

コンピュータウイルス など論理障害 によりブートストラップローダが壊れている場合、Windowsを正しく起動できません。

回復コンソールを使用することで回復する可能性があります。


・ハードディスクに物理的障害が生じている。

PCB の損傷や、磁気ヘッド の不良など、ハードディスクに物理障害 が生じた場合、ハードディスクが認識されず、OS(Windows)も認識されません。



このような症状が発生した場合で、パソコン内のデータが重要な場合、

まずは、パソコンからハードディスクを取り出し、他のパソコンに接続することで、HDDにデータ障害が生じていなければ、データを取り出すことが出来ます。(但し、ウイルス感染が疑われる場合は他のパソコンにも感染する恐れがあるので注意が必要です。)


他のパソコンに接続した際、ハードディスクが動かない場合や、異音がする場合は、ハードディスクに物理障害が生じている可能性が高いです。


物理障害が生じているハードディスクからデータを救出する場合、データ復旧会社 に依頼する必要があります。

デジタルフォレンジック(digital forensics)

デジタルフォレンジックとは、パソコンやサーバー、携帯電話など、デジタルデータに関するログや記録、状態を詳細に調査することで、法的な証拠性を明らかにする手段や技術のことをいいます。


例えば、サーバのログファイルから不正アクセスの記録を割り出したり、容疑者のパソコンから証拠となるデータを探し出します。


また、破壊されたハードディスク からデータを救出する。 削除されたデータを復元する。ことで証拠となるデータを探し出すなど、データ復旧 の技術を用いる場合もあります。(データ復旧が重要なデータを救出するのを目的にするのに対し、デジタルフォレンジックでは、重要なデータが消えた経緯を探るのが目的となるケースもあります。)


デジタル・フォレンジックの市場は、アメリカでは確立しておりますが、日本においては、まだまだ市場は確立しておりません。


しかし現在でも、退職した社員が会社のデータを削除してしまった。 などのケースは多く、また、携帯電話の削除したメールや携帯電話のIPアドレスが証拠として使用された事件もあり、デジタルフォレンジックの認知度は高まっています。


また、デジタル・フォレンジックは訴訟する側だけでなく、自社に過失がなかったと証明する、訴訟される側のデジタル・フォレンジックも必要になり、海外(アメリカなどフォレンジックの市場が確立している国)との取引がある企業に関しては、特に重要になります。

削除したデータが救出出来る仕組み

パソコンで削除(ゴミ箱に入れ空に)したりデジカメで削除したデータは、見ることが出来なくなり、通常の方法ではデータを取り戻すことが出来なくなります。


ただし、ほとんどの記録メディアの場合、削除した時点では、削除したデータは残っております。


記憶メディアに保存されるデータは、ファイルシステム により管理されています。


例えば、FATファイルシステム の場合、


データ復旧 データ復元・管理について


新しくファイルを作成すると、まず、FAT1に実データが保存される位置情報とファイル名を記録し、その後その位置にファイルのデータが保存されます。

その後、例えばパソコン上でファイルの削除を実行すると、FATに保存されているインデックス情報は削除されますが、DATAに保存されている実データの部分は削除されません。


削除したデータは、ファイル名や位置情報が消されている為、パソコン上ではデータを見る事が出来ませんが、

復旧ソフトや、データ復旧会社により救出することが可能ということになります。


但し、削除されたファイルの実データが保存されていた、DATAの領域は、位置情報が削除されたことにより、書込み可能領域となりますので、削除後に新たにデータを保存したりすることで、Overwrite(上書き保存) してしまう可能性があります。


他の記憶メディアや、ファイルシステムにおいても、同じようにインデックス情報を削除するのがほとんどですが、ファイルシステムにより、対応出来る復旧ソフト(ツール)が無かったり、難しいケースなどもあります。


データ削除によるデータ障害