データ消去済みSMR方式HDDからのデジタル証拠復元を主眼としたデジタルフォレンジック調査の有用性

企業や組織における営業秘密の不正持出しや背任などの事件において，証拠隠滅目的でデータが消されたPCやサーバを対象にデジタルフォレンジック調査を行うことがある．しかし，デジタル証拠が復元される率は近年低くなりつつある．その要因として削除データの復元が困難なSSDの普及が挙げられる．こうした特性を持つデバイスが増えるほど，消されたデータの復元は困難になる．それでも被害企業は，不正や犯罪の証拠を集めるしかない．それが無理ならば泣き寝入りすることになってしまう．そこで被害者救済の観点から，データの消去処理済みであっても，デジタル証拠の収集が期待できる媒体としてSMR方式のHDDに着目した．SMR方式のHDDならば論理アドレスのないデータ記録領域があるはずで，被害や損害の立証に有用なデジタル証拠を復元できる可能性が残されていると考えられたからである．本稿では，そうしたデータ記録領域の容量を推定すべく，SMR方式HDDついて物理セクタ数を調査した結果をまとめ，さらに日本及び米国で購入したデータ消去済みのSMR方式HDDから，機密ファイルが復元された実証実験についても報告する．

Digital forensic investigations are sometimes conducted on PCs that have been wiped to destroy evidence in cases of data theft or other crimes. However, the recovery rate of digital evidence has declined recently due to the widespread use of SSDs, which make it difficult to recover deleted data. In contrast, SMR HDDs could be a medium of interest for forensic investigations because they may contain data areas without LBAs, potentially allowing the recovery of digital evidence even after erasure. This paper investigates the number of physical sectors on SMR HDDs to estimate the capacity of these data areas. It also reports on a demonstration experiment where confidential files were recovered from wiped drives purchased in Japan and the U.S., highlighting the potential of SMR HDDs for supporting victims in digital forensic cases.