データの消去不足による情報漏洩事件と「正しい情報消去」 | reverse-eg-mal-memoのブログ
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

reverse-eg-mal-memoのブログ

サイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。
medium(英語):https://sachiel-archangel.medium.com/

データの消去不足による情報漏洩事件と「正しい情報消去」

2019年12月9~10日、東京都の市ヶ谷でデジタル・フォレンジック・コミュニティ 2019が開かれました。

講演や研究会(パネル)の内容は、講演内限りのため公式に出ている内容以上は書いたりできないのは残念ですが。

自分が主にやっているサイバー攻撃関連の現在の問題点や視点のほか、デジタルフォレンジック資格認定の今後の予定など、色々勉強になる2日間でした。

 

https://digitalforensic.jp/home/act/community/community-16-2019/

 

そうそう、2020年2月12日に東京で模試、2月22日に大阪で講座と模試があるそうです。

今回は受けれるのかなぁ・・・(受かるとはゆってない)。

https://digitalforensic.jp/df-lisence2020/

 

 

とまあ、デジタル・フォレンジック・コミュニティ 2019ではデジタルフォレンジックの論議がアツかったのですが、その直前からえらいやらかしな事件が報道されていました。

 

神奈川県庁サーバーに使用のハードディスク転売 納税記録など流出

https://mainichi.jp/articles/20191206/k00/00m/040/086000c

 

HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪 ずさんな管理体制明らかに

https://www.itmedia.co.jp/news/articles/1912/09/news129.html

 

 

神奈川県が使っていたリースのサーバのHDDが、消去されずに専門業者の社員に勝手に転売され、内容が漏洩したという、原因が最悪レベルの事件です。

せめて転売するならデータ消去くらいしろ!(・・・と、いや違う、そこじゃないw)

とはいえ、仮にもそれを専門とする業者とは思えないほどの杜撰さです。

(それやっとけば、今でもバレてなかったかもしれないけどなぁ・・・)

 

しかし、では「じゃあデータ消去ってどうするのが正しいの?」っていう話です。

これには、ちゃんと基準があるのですが、これも試行錯誤の上作られたものです。

データ復元と表裏一体であるがゆえに、フォレンジック分野でも実は知っておくべき知識で研究もされているので、ちょっと紐解いてみようかと思います。

 

 

現在推奨されているデータ消去法は?

 

私の駄文なんか読みたくない!というアナタ!

(いや毎回ダラダラ長くてマジでごめんなさい。しかも今回も長い。)

そのために結論から行きますよ!

 

今でも緒論がありますが、2019年12月現在で、私が把握している有効と言われる消去法は、

 

  • ディスク全体に1回データを上書き(0x00でもランダムでもよい)(要DCO、HPA解除)
  • HDDドライブ等のファームウェアに実装されているセキュアイレース機能を使う
  • 外部磁界による消去
  • 以上の方法では不安を感じるような、秘密性の高い情報を扱っていた場合は物理破壊

 

これらの根拠は、様々な機関から出されています。特に有名で引き合いに出されるのが米国のDoDでしょうか。何しろ、機密保持ではうるさい軍隊レベルですから。また、米国のNISTの研究結果もよく引き合いに出されます。

 

それを日本語で解説したのが、デジタルフォレンジック研究会のデータ消去分科会の報告書です。

 

「証拠保全先媒体のデータ抹消に関する報告書」

https://digitalforensic.jp/home/act/products/data_report/

 

 

まあ、これを読んで理解すれば、私の駄文って不要なんですけどね!内容からパクッて引用しているだけなので!

 

データの消去方法については、色々な研究機関が調査研究したり、実際にフォレンジック技術を使ってディスクを復元する上で実際にどの程度まで可能かという経験則など、様々なものが出ていると思います。

その中でも、よく研究され、まとめた上でアウトプットされているものとして有名なのはDoDNISTの文書で、よく引用されます。

 

NISTが2006年に「NIST Special Publication 800-88」で消去や破壊について記載しています。

IPAが日本語訳を出しています。

 

NIST Special Publication 800-88 
媒体のサニタイズに関するガイドライン 米国国立標準技術研究所による勧告

https://www.ipa.go.jp/files/000025355.pdf

 

1回のデータ上書きについては、「2 背景」の「2.4 サニタイズの種類」の「表 2-1. サニタイズの種類」の表内に、「消去」の中で以下のように記述されています。

 

研究の結果、こんにちの媒体のほとんどは 1 回上書きするだけで効果的に消去できることがわかっている。

 

セキュアイレース機能による消去は、同文書の同表の「除去」で以下のように記述されています。

 

ファームウェアの Secure Erase(完全消去)コマンドの実行(ATA ドライブのみ)や消磁などが、除去の方法として容認できる。

 

外部磁界による消去も、同じく「除去」で以下のように記述されています。

 

消磁は、破損した媒体の除去、格納容量がきわめて大きい媒体の除去、フロッピーディスクの高速除去などに有効な方法である。消磁は、光学媒体(CD や DVD)などの非磁気媒体の除去には効果がない(SP 800-36『Guide to Selecting Information Security Products』を参照)。

 

物理破壊は、同文書の同表の「破壊」で以下のように記述されています。

 

媒体の破壊は、究極のサニタイズ方法である。媒体を破壊すると、本来の目的でその媒体を再利用することができなくなる。物理的な破壊は、分解、焼却、粉砕、細断、溶解など、さまざまな方法を使って行われる。

 

DoDについては、少なくとも1995年2月の「DoD 5220.22-M-Sup 1 NATIONAL INDUSTRIAL SECURITY PROGRAM OPERATING MANUAL SUPPLEMENT」には、「Chapter 8 Automated Information Systems (AIS)」のSection 5内の「d.Overwriting, Degaussing, Sanitizing, and Destroying Media」で上書き、消磁、破壊について記載されていました。

しかし、これは2006年2月に改訂されており、こちらには上書きの規定が削除されています。また、消磁、破壊についても、具体的な記述が見つけれていません(探し中)。

なお、デジタルフォレンジック研究会のデータ消去分科会の沼田氏のドキュメントには、DoDについての解説が書かれています(後述)。

 

有名になっている「3回上書きによる消去」は?

 

ところで、「データの消去のために3回上書きする」という方法が広く普及していると思います。

今回は、これは不要として取り上げていません。

理由として、「データの消去のために3回上書きする」としていた根拠文書が、今は無いことが理由です。

 

「3回上書きして消去する」という根拠になっているのは、1995年2月に発行された、「DoD 5220.22-M-Sup 1 NATIONAL INDUSTRIAL SECURITY PROGRAM OPERATING MANUAL SUPPLEMENT」です。その後、多くの規格がこの基準に則って広まりました。

 

DoD 5220.22-M-Sup 1 NATIONAL INDUSTRIAL SECURITY PROGRAM OPERATING MANUAL SUPPLEMENT

https://fas.org/sgp/library/nispom_sup.pdf

 

この中で、「Chapter 8 Automated Information Systems (AIS)」の「Section 5. Software and Data Files」の「8-501. Data Storage Media」の「d. Overwriting, Degaussing, Sanitizing, and Destroying Media.」に、メディアの消去について具体的に記述されています。

そして、3回消去の根拠になっているのが、「(1) Overwriting Media. 」です(P 8-5-2)。

この中に、以下のような一節があります。

 

To clear magnetic disks, overwrite all locations three (3) times (first time with a character, second time with its complement, and the third time with a random character). 
Items which have been cleared must remain at the previous level of classification and remain in a secure, controlled environment.

 

1回目は文字、2回目はその補数、3回目はランダムな値と書かれています。

非常に具体的でわかりやすく、かつDoDが出したということで、ディスクの消去方法として広まったのではないでしょうか。

 

しかし、これはもう根拠として使えません

なぜなら、このマニュアルは2006年2月に改訂されているからです。

 

DoD 5220.22-M NATIONAL INDUSTRIAL SECURITY PROGRAM OPERATING MANUAL

https://www.esd.whs.mil/Portals/54/Documents/DD/issuances/dodm/522022M.pdf

 

頑張って関係しそうなところを読んでみましたが、破棄の手順を具体的に書いている部分を見つけられませんでした。

それっぽい記述は、「CHAPTER 8 IS Security」の「Section 3. Security Controls」の「8-302. Operational Controls」の「g. Media Protection 」に以下の通り書かれていました。

 

(3) Sanitize or destroy ISs media before disposal or release for reuse in accordance with procedures established by the CSA. 

 

ただ、何処にその手順が書いてあるのかを見つけることができませんでした。これは、宿題としてもうちょっと探しておきます。

(誰か知ってたら教えてください (^^; )

先に例示したデジタルフォレンジック研究会のドキュメントのうち、沼田氏の「データ抹消に関する米国文書(規格)及び HDD、SSD の技術解説」には、「2006 年 2 月に改訂された同文書では、最高機密の保護を目的とした方法としては「上書き抹消」は取り消され、「外部磁界による減磁(消去)」、または「物理的な破壊」のみが最高機密に対する漏洩防止手段とされた。」とあるので、どこかに記載があるのだとは思います。

また、別の背景としては、1回の消去では物理的に磁気が残存している可能性はあるものの、それを現実的に読む方法が確立されていない、またディスクの高密度化によりトラックの幅に残存している磁気を読み取ることも現実的ではない、セキュアイレース機能が搭載されるようになった、といった研究の進展や時代による技術の変化も関係していると思われます。

 

どちらにしても、少なくとも3回上書きといった方法は既に記載されておらず、現在のDoDでは規定されていない古い方法、ということです。

 

 

ディスクのデータ消去に関する必要な基礎知識

 

ディスクの消去に関する知識として、物理的特性やファーム含めたシステム的な知識などもあったほうがいいです。

ただ、このあたりはかなり深い話になるうえ、私の知識も若干アヤシイところがあります(汗)。

このため、「実用的なレベルでデータ消去をするとしても知っておくべきこと」くらいをピックアップします。

 

ディスクの消去では、DCOHPAについては知っておく必要があります。

これを知らずに消去した場合、DCOで設定された隠し領域にあるデータが、フォレンジックツールのカービング機能等で復元が可能になる可能性があります。

 

DCOは「Device Configuration Overlay」の略です。Wikiに大まかな仕組みが解説されています。

 

Device configuration overlay

https://en.wikipedia.org/wiki/Device_configuration_overlay

 

基本的には、設定を変更しない限りOSやBIOSから直接アクセスできなくなります

これの基本的な目的は、例えばRAIDを構成する際、同じサイズのディスクが必要だが、サイズが異なるディスクしか用意できなかった場合に、ディスクのサイズを小さくするよう設定を変える場合などで用いられます。

使用済みのディスクを再利用する際、データを消去せずにDCOで見た目の領域を小さくしてしまうと、隠し領域になった領域にデータが残存する可能性がある、というわけです。

 

HPAは「Host Protected Area」の略です。こちらもWikiに大まかな仕組みが解説されています。

 

Host protected area

https://en.wikipedia.org/wiki/Host_protected_area

 

こちらは、ある程度ソフトウェアで制御できるようで、HPAの設定、解除を駆使することで実現している機能があるようです。

ただし、コントロールにはやはりディスクにコマンドを発行する必要があります。

バックアップやリカバリ領域に利用されるケースがあります。また、やはりOSが通常はアクセスできないことから、領域サイズにコントロールにも用いられることがあります。

こちらも、知らずに消去対象外にしていると、データが残存している可能性が生じてしまいます。

 

DCOやHPAは、実はインフラ技術者も詳しく知らなかったりします。以前話したことのあるインフラ技術者も、RAIDを構成するときにディスクのサイズが違った場合、ディスクのサイズを小さい方に合わせられることは知っていましたが、具体的にどういう仕組みになっていたかは知らなかったそうです。

それでも、実務や運用に影響はなかったそうですが、セキュリティやフォレンジックをやって行く上では、こういった知識も正確に知っておく必要があるということでしょう。

 

 

また、最近HDDの代わりに採用されることが増えてきたSSDは、その仕様ゆえの問題があります。

HDDとは異なる挙動の部分があり、これに伴う情報の残存やその抽出の可能性について、まだ色々研究されている段階のようです。

特に、データの書き込みや消去は、使っているユーザの目線では同じように見えますが、内部の仕組みは全く異なります

HDDとは違って、特定の領域にデータの上書きは単純にはできない仕組みになっており、ブロック単位でまとめて読み込んで該当部分を編集し、まとめて書き出すといった処理を行っています。

しかも、この過程で、書き出し先が元とは違う空き領域に書き出される仕組みになっていることが多いとのことです。

このことにより、予想外の断片化されたデータが残される可能性が生じます。

一方、「空き領域」を作るため、未使用となった領域は「トリム機能」でデータがクリアされます。

こちらは、逆にデータの復元を難しくしますが、OSからのトリム命令に対し、どのように動作するかはデバイス側に依存しています。

 

SSDに関する問題を指摘した記事があったので、メモしておきます。

 

SSDのせいで現代の犯罪捜査が極めて困難になっている状況が判明、その原因をSSDの仕組みから解説

https://gigazine.net/news/20140620-ssd-destroy-courtevidence/

 

コラム vol.005 Trim命令の功罪
https://www.logitec.co.jp/data_recovery/column/vol_005/

 

このように、「たかがデータを消すだけ」でも、本当は色々な知識や問題点を知っている必要があります。

この記事も拾い書きみたいなものなので、詳しくはデジタルフォレンジック研究会の報告書や、各研究機関の研究成果に目を通したほうが良いでしょう。

 

 

データ消去できるツールの要件は?

 

では、具体的にデータを消去できるツールは何があるか?という話なのですが。

方法としては色々あり、フリーツールでも要件を満たしていれば問題ありません。

というか、今回はツールの検証までできていないです(ゴメンナサイ)。

 

データ削除に関しては、技術的には以下の文書は目を通しておくことをおススメします。

沼田氏のドキュメントは主に物理的な原理での解説、下垣内氏のドキュメントはハード(ファーム)の実装に関する視点からの解説になっています。いわゆる、ロジカルにデバイスを見るときとは違ったディスクの状態が分かるのではないかと思います。

 

データ抹消に関する米国文書(規格)及び HDD、SSD の技術解説(再掲)(特に2章)

https://digitalforensic.jp/wp-content/uploads/2016/02/technical-aspect.pdf

 

消去アクセス難易度別にみるHDDのデータ領域3分類

https://digitalforensic.jp/wp-content/uploads/2016/04/3-categories-of-hdd-data.pdf

 

読めば読むほど、ディスクからのデータの「完全」な消去は難しいことが分かります。

もっとも、断片的に読めるものが、果たして意味のあるデータとして収集できるのか、はまた別の問題でもあります。

 

また、SSDの消去に関しては、以下が詳しく解説しています。

 

SSDのデータ消去をする際の基本的な仕組みについて解説

https://www.diskdeleter.jp/ssd-process/

 

 

ディスクを再利用する場合、データを消去する方法をとることになります。

最初に述べたとおり、現在ではデータのクリア自体は1回のデータ上書きで十分と言われています。

Windowsの場合、以前のフォーマットはディスクの管理情報しか書き換えていませんでしたが、Windows7の頃から、完全フォーマットなら対象領域を0クリアするようになりました。

簡易な方法としてはこれでも良いのですが、先に述べたDCO、HPAの領域は参照自体できないため、フォーマットできません。DCOやHPAの機能を使っておらず、そこまで厳密な消去までは必要していないディスクを破棄する程度です。一般のユーザなら、消去もせずに消すよりは全然マシ、程度です(冒頭の事件では、業者に出すということで、自身ではこういったこともやってなかったのではないか、と邪推してみる。業者に出すにしても保険程度でやっておいたほうがいいのかもしれない)

 

ツールを選定する場合、必要な要件としては、DCO、HPAの解除をする機能があるかは確認すべきでしょう。

デュプリケータでデータ消去機能があるものは、DCO、HPAの解除機能はあると思います。というか、付いてないなら付いている機械を買った方がいいような気もします。

 

また、ツールでセキュアイレースに対応している場合は、そちらを利用したほうが良いでしょう。

単純に上書きする以上の機能をそれぞれ実装しているはずです。ただし、これはディスクのメーカー依存になるため、メーカーを信用できるかが重要になってきます。

 

 

消磁、物理破壊をする場合、再利用はしない前提となります。

消磁の場合は物理的に壊れないとは思いますが、恐らくファームウェアも壊れると思いますので、それを後から修復できるのであれば再利用可能かもしれません(でも、そっちのほうが大変で、そこまでするくらいなら新品買った方が早くて安いのではなかろうか・・・)

物理破壊は、そもそも破壊して読めなくするので、再利用できるわけがないですね。素材をリサイクルして新たなディスクをつくらないと再利用できないレベルです。

これらは、基本的には業者に頼むことになります。

いや、確かに分解して金づちで粉々に砕いても読めなくなるとは思いますけど、そのあたりは自己責任でお願いします。

 

 

というわけで、専門業者の社員がデータをハードディスクを消去せずに転売したために情報が流出というあまりにアレな事件があったので、これを期にデータの消去について見直してみたのですが。

私も、用済みのディスクを消去する場合は、DCO、HPAの解除をする設定をしたうえで消去が現実的な回答と思ってやっていましたが、今回改めて復習してみると、説明できるほどはちゃんと理解していなかったなということで、集めた情報をまとめた次第です。

現実的な消去をするか、破壊を伴う手法を選ぶかは、消去したい情報にもよるでしょう。

データの消去法の選択の参考になれば幸いです。