本ページには広告・プロモーションが含まれています。
データリカバリーの解説
データリカバリーとは、失われたり破損してしまって通常の方法でアクセスできないデータやフォーマットされたデータを回収し復元することを指します。 パソコン、スマートフォン、タブレット、各種サーバーなどのコンピューターに保存されたデータを元に戻すことです。
データは内蔵または外付けハードディスクドライブ(HDD)、ソリッド ステートドライブ(SSD)、USBフラッシュドライブ、磁気テープ、CD、DVD、RAIDサブシステム、SDカード、スマートフォンに搭載の eMMC(組み込み向けの内蔵ストレージ) 、その他多くの電子機器に搭載されたストレージメディアから回収されます。
ストレージ デバイスの物理的損傷またはファイルシステムの論理的損傷は、オペレーティングシステム(OS)によるマウントが妨げられるため回復が必要になります。
比較的安易な回復方法としては、誤って消してしまったファイルを外部のバックアップメディアや Google ドライブなどのクラウド ストレージからコピー/ダウンロードして回復する方法が考えられます。
最も一般的なデータ復旧シナリオには、(通常、シングルドライブ、シングルパーティション、シングルOSシステムにおける)オペレーティングシステムの障害、ストレージデバイスの誤動作、ストレージデバイスの論理的な障害、偶発的な損傷または削除などが含まれます。
最終的な目標は、損傷したメディアから別の新しいドライブにすべての重要なファイルをコピーすることです。 LiveCD または LiveDVD を使用すれば、破損したドライブの代わりに ROM から直接起動することで簡単に実行できます。 多くの LiveCD/DVD は、システムドライブとバックアップドライブまたはリムーバブルメディアをマウントし、ファイルマネージャーまたはDVD/CDの書き込みソフトウェアを使用してシステムドライブからバックアップメディアにファイルを移動する手段を提供します。 このようなケースは、事前にディスクをパーティション分割して、OSのシステムファイルとは異なるパーティションに貴重なデータファイルを保存(またはそれらをコピー)することで軽減できることがよくあります。
ふたつめのシナリオには、ファイルシステムやドライブパーティションの障害などのドライブレベルの障害、またはハードディスクドライブの障害が含まれます。 いずれの場合でも、データをメディアデバイスから簡単に読み取ることはできません。 解決策は状況に応じて、論理ファイルシステム、パーティションテーブル、またはマスターブートレコードの修復、または破損したデータのソフトウェアベースのリカバリ、あるいはハードディスクドライブの「ファームウェア」の更新によるリカバリを行います。
物理的に損傷したドライブのハードウェアを交換して、新しいドライブにデータを抽出できるようにします。
ドライブのリカバリが必要な場合、通常ドライブ自体は永続的に故障しており、読み取り可能なデータをすべて回収する1回限りのリカバリに重点が置かれています。
3番目のシナリオは、ファイルがユーザーによって誤ってストレージメディアから「削除」される場合です。 通常、削除されたファイルの内容は物理ドライブからすぐには削除されません。 代わりに、ディレクトリ構造内の該当ファイルの参照が削除され、その後、削除されたデータが占めるスペースが、後でデータを上書きできるようになります。 削除されたファイルは Windows エクスプローラーなどの標準のファイルマネージャーでは検出できませんが、削除されたデータは技術的には物理ドライブに存在します。 元のファイルの内容は断片化された状態であるにせよ多くの場合残っているので、削除済みとマークされた領域が他のデータによって上書きされない場合は回復できる可能性があります。
「データリカバリー」という用語は、フォレンジック アプリケーションまたはスパイ活動の文脈でも使用されます。この場合、破損からの回復ではなく、暗号化または非表示にされたデータを回復することを意味します。 ウイルス攻撃などの理由により、コンピュータに存在するデータが暗号化または非表示にされることがあり、このような場合には高度な技術を有する一部のコンピュータ フォレンジックの専門家が回復を行います。
目次
物理的損傷
さまざまな障害がストレージメディアに物理的な損傷を引き起こす可能性があり、ヒューマンエラーや自然災害が原因である可能性があります。 CD-ROM/DVD は、基板や保護層が傷つくことで障害が起こります。 ハードディスクは、ヘッドクラッシュ、PCB(プリント基板)障害、モーターの障害など、多数の機械的障害に悩まされる可能性があります。 テープは単に切れてしまうことがあります。
ヘッドクラッシュが発生したハードディスクドライブの物理的な損傷は、必ずしもデータが永久に失われることを意味するわけではありません。 データ復旧会社 で採用されている専門的な復旧手法は、障害が発生したときに失われたデータのすべてではないにしても、ほとんどを救済することができます。
もちろん、ハードディスクドライブのプラッターに深刻な損傷が発生した可能性がある場合など、例外もあります。 通常はハードディスクを修復して論理ファイル構造を再構築できれば、完全なイメージまたはクローンを作成できます。
ほとんどの物理的損傷は、エンドユーザーが修復することはできません。 たとえば、自宅などの環境でハードディスクドライブを開封すると、空気中のほこりがプラッターに付着し、プラッターと読み取り/書き込みヘッドの間に挟まれる可能性があります。 正常な動作では、読み/書きするヘッドはプラッター表面から3〜6ナノメートル上に浮いています。通常の環境で見られる平均的なほこりの粒子は直径が約30,000ナノメートルです。
これらのほこりの粒子がヘッドとプラッターの間に挟まれると、ヘッドクラッシュが発生し、プラッターがさらに損傷して、修復が不能になる可能性があります。 さらに、エンドユーザーはこうした修理を行うために必要なハードウェアまたは技術的な専門知識を持っていません。 データ復旧会社はこうした問題を回避し重要なデータを回収するために、クラス100の無塵および無静電気のクリーンルームを使用します。
リカバリー技術
物理的に損傷したハードウェアからデータを回復するには、複数の手法が必要になる場合があります。 一部の損傷は、ハードディスクの部品を交換することで修復できます。 これだけでディスクが使用可能になる可能性がありますが、それでも論理的な損傷がある可能性があります。 特殊なディスクイメージング手順を使用して、表面から読み取り可能なすべてのビットを回復します。 このディスクイメージを取得して信頼できるメディアに保存すると、論理的な損傷を安全に分析でき、元のファイルシステムの多くを再構築できる可能性があります。
ハードウェアの修理
壊滅的な電子部品の故障に見舞われたメディアは、その内容を回収するためにデータ復旧を必要とします。
よくある誤解は、損傷したプリント回路基板(PCB)を正常なドライブの同一のPCBに交換するだけで復旧できるというものです。 これは、2003年以前に製造されたハードディスクドライブではまれに機能する可能性がありますが最近のドライブでは機能しません。
現代のドライブの電子ボードには、ドライブ固有のデータ(通常は不良セクタとチューニングパラメータのマップ)およびドライブ上のデータに適切にアクセスするために必要なその他の情報が含まれています。 交換する新しいPCBボードには、すべてのデータを効果的に回復するためにこうした情報が必要になることがあります。さらに交換用ボードの再プログラムが必要になる場合があります。 一部のメーカー(Seagateなど)は、この情報をシリアル EEPROM チップに保存しており、取り外して交換用ボードに転送できます。
ハードディスクドライブには、システムエリアあるいはサービスエリアと呼ばれる領域があります。 エンドユーザーが直接アクセスできないこの部分には、ドライブのファームウェアと、ドライブが正常に動作することを助けるデータが含まれています。 システムエリアの機能の1つは、ドライブ内の欠陥のあるセクターをログに記録することです。 この機能は基本的に、データを書き込むことができる場所とできない場所をドライブに通知します。
セクターリストは、PCBに接続されたさまざまなチップにも保存され、ハードディスクドライブに固有の情報です。 PCB上のデータがプラッターに保存されているものと一致しなければドライブを適切に調整することができません。 このようなケースでは、ドライブヘッドがPCBに保存されているものと一致するデータを見つけることができないためカタカタと音がします。
論理的損傷
「論理的損傷」という用語は、エラーがハードウェアの問題ではなく、ソフトウェアレベルの解決を必要とする状況を指します。
破損したパーティションとファイルシステム、メディアエラー
場合によっては、パーティションテーブルやファイルシステムの損傷、または(断続的な)メディアエラーが原因で、ハードディスクドライブ上のデータが読み取れなくなることがあります。 これらのケースの大部分では、TestDisk などの専用のデータ復旧ソフトウェアを使用して損傷したパーティションテーブルまたはファイルシステムを修復することにより、元のデータの少なくとも一部を復旧できます。 ddrescue のようなソフトウェアは断続的なエラーであってもメディアをイメージにし、パーティションテーブルやファイルシステムに損傷がある場合は生データをイメージにすることができます。 このタイプのデータ復旧は、特別な物理的機器やプラッターへのアクセスを必要としないため、ハードウェアの専門知識がない人でも実行できます。
比較的単純な方法とツールを使用してデータを回復できる場合もあります。 特にファイルの一部が回復不能な場合、より深刻なケースでは専門家の介入が必要になることがあります。 データカービングとは、破損したファイルの構造に関する知識を使用して、その一部を回復することです。
上書きされたデータ
データがハードディスクドライブに物理的に上書きされたら、以前のデータは回復できなくなったと一般に理解されています。 1996年、コンピューター科学者の Peter Gutmann (ピーター・グートマン)は、磁気力顕微鏡を使用して上書きされたデータを復元できることを示唆する論文を発表しました。 2001年に、彼は同様のトピックに関する別の論文を発表しました。 このタイプのデータ回復を防ぐために、Gutmann (グートマン) と Colin Plumb (コリン・プラム) は、データを不可逆的に除去するGutmann (グートマン) 方式と呼ばれるアルゴリズムを設計しました。この方式はデータ消去を目的としたソフトウェアで採用されています。
しかしながら、かなりの量の上書きされたデータが回復されているという具体的な例がないことを主に扱って、かなりの批判が続いています。 Gutmann の理論は正しいかもしれませんが、上書きされたデータを復元できるという実際的な証拠はありません。その他の調査によると、上書きされたデータは復元できないことが示されています。
ソリッド ステート ドライブ(SSD)は、ハード ディスク ドライブ(HDD)とは異なる方法でデータを上書きするため、少なくとも一部データは復元しやすくなっています。 ほとんどの SSD は、フラッシュ変換層 (FTL) によって管理されている論理ブロック アドレス (LBA) が参照するページとブロックにデータを格納します。 FTLがセクタを変更すると、新しいデータを別の場所に書き込み、新しいデータがターゲットLBAに表示されるようにマップを更新します。 これにより、変更前のデータがそのまま残り、場合によっては何世代にもわたって、データ復旧ソフトウェアで回復できます。
失われた、削除された、フォーマットされたデータ
ウイルス攻撃、誤った削除、または 「SHIFT + DELETE」の誤った使用などの状況により、物理ドライブ(内蔵/外付けハードディスク、USBメモリなど)に存在するデータが失われたり、削除されたり、フォーマットされたりすることがあります。 このような場合 データ復旧ソフトウェア を使用してデータファイルを回復/復元します。
論理的な不良セクタ
ハードディスクの論理障害のなかでは、ドライブの特定のセクタからデータファイルを取得できない論理不良セクタが最も一般的です。 これを解決するために、ソフトウェアを使用してメディアドライブの論理セクタを修正します。 これだけで不十分な場合は、論理不良セクタを含むハードウェアを交換する必要があります。
リモートデータ復旧
復旧の専門家は、損傷したハードウェアに物理的にアクセスできる必要はありません。 失われたデータをソフトウェア技術で回復できる場合、インターネット、LAN、または損傷したメディアの物理的な場所へ他の接続を介したリモートアクセスソフトウェアを使用して回復を実行できることがあります。 このプロセスは、エンドユーザーが自分で実行できるプロセスと本質的に同じです。
リモートリカバリには、適切な帯域幅での安定した接続が必要です。物理的な損傷の場合のようにハードウェアへのアクセスが必要な場合は当てはまりません。
データ復旧の4つの段階
通常、データリカバリを成功させるには4つのフェーズがあります。データの破損と必要なリカバリの種類によって異なります。
第1段階: ハード ディスク ドライブを修復する
ハードディスクは、何らかの形で、または少なくともドライブからデータを読み取るのに適した状態で実行するために修復されます。 たとえば、ヘッドが悪い場合は交換する必要があります。 PCB(プリント基板)に障害がある場合は、修理または交換する必要があります。 スピンドルモーターが不良の場合は、プラッターとヘッドを新しいドライブに移動する必要があります。
第2段階: ドライブのクローン/イメージ作成
ドライブを新しいドライブにする、またはディスク イメージ ファイルにします。
ハードディスクドライブに障害が発生した場合、ドライブからデータを取得することの重要性が最優先事項です。 障害のあるドライブが長く使用されるほど、データ損失がさらに発生する可能性が高くなります。 ドライブのイメージを作成すると、別のデバイスにデータのセカンダリコピーが確実に存在し、ソースに害を与えることなくテストとリカバリの手順を安全に実行できます。
第3段階: 論理復旧
ファイル、パーティション、MBRおよびファイルシステム構造を ソフトウェアで復旧 することです。
ドライブが新しいドライブにクローン化された後、失われたデータの復元を試みます。 ドライブに論理的な障害が発生した場合、その理由はいくつかあります。 クローンを使用して、パーティションテーブルまたはマスターブートレコード(MBR)を修復することで、ファイルシステムのデータ構造を読み取り保存されたデータを取り出すことができるかもしれません。
第4段階: 復旧したファイルの修復
データの損傷は、例えば、損傷したドライブのセクターにファイルが書き込まれた場合に発生する可能性があります。 これはドライブの障害の最も一般的な原因であり、データを読み取り可能にするには、データを再構築する必要があります。 破損したドキュメントは、いくつかのソフトウェアを使用する方法と、16進エディタを使用して手動でドキュメントを再構築する方法があります。
データリカバリー ソフトと業者
論理的な損傷を修復するためのソフトウェアがあります。
物理的に損傷したハードウェアからのデータ救出や高度な技術が必要とされるファイル復元のサービスを提供する専門の会社があります。
最終更新日: 2021年04月10日(土) / カテゴリー: パソコン