SSDのせいで現代の犯罪捜査が極めて困難になっている状況が判明、その原因をSSDの仕組みから解説てんさい（い）

SSDのせいで現代の犯罪捜査が極めて困難になっている状況が判明、その原因をSSDの仕組みから解説
http://www.asyura2.com/09/it11/msg/901.html
投稿者てんさい（い）日時 2014 年 6 月 21 日 14:34:56: KqrEdYmDwf7cM

http://gigazine.net/news/20140620-ssd-destroy-courtevidence/

高速なデータ処理が可能なソリッドステートドライブ(SSD)の高性能化・低価格化・大容量化の勢いはとどまるところを知らず、2014年中にもIntelは2TBの高速SSDをリリースする予定です。身近なストレージとして普及しつつあるSSDですが、犯罪捜査におけるデータ解析を困難にさせる存在であると指摘されています。

Belkasoft: Digital Evidence Extraction Software for Computer Forensic Investigations
http://forensic.belkasoft.com/en/why-ssd-destroy-court-evidence

Modern SSDs self-destroy court evidence
http://www.ssdfreaks.com/content/612/modern-ssds-self-destroy-court-evidence

犯罪捜査において、PCやスマートフォンからデータを取り出し解析し、証拠とするための技術はデジタルフォレンジックと呼ばれ、現代社会における犯罪捜査に不可欠な存在となっています。犯罪に関係するデータは捜査を察知した犯罪者が消去し隠滅したり、PC自体を物理的に破壊したりすることがあるため、失われたデータを復元する作業はデジタルフォレンジックにおいて重要な技術とされています。

しかし、従来のハードディスク(HDD)において可能であったデータ復元が、SSDの場合、非常に難しいことがデジタルフォレンジックを困難にしているとして問題視されています。これは、どうやらSSDのデータ記録の構造に原因があるようです。

By Andrew Sardone

消去したい古いデータを新しいデータに上書きする場合、HDDでは旧データに新データを直接上書きすることが可能です。しかし、SSDはデータを直接上書きすることはできません。データを上書きするメカニズムは、SSDの場合、古いデータが含まれた「ブロック」というデータを束ねる1つのまとまりを、バッファ(作業用メモリ)領域にすべてコピーした後、バッファメモリ上で旧データを新データに置き換え、コピーしたブロックを一括で消去してからバッファメモリ上のブロックを書き戻すという複数の工程(通称、ブロックコピー)を経ます。

ブロックコピーの仕組みについてはLogitecのサイトで分かりやすく解説されています。

つまり、SSDではデータを書き換える場合に空きブロックがなくバッファにデータをコピーしブロックを消去する必要がある場合、単純に空きブロックにデータを書き加えるのに比べて時間がかかるため、空き領域が少ないとデータの書き換えがスムーズにいかずに処理速度が落ちるというわけです。これが、「SSDはなるべく大容量の方が良い」「空き容量が少なくなるとSSDの速度が落ちる」と言われる理由です。

なお、HDDでもSSDでもOS上で「データを削除する」という作業を行った場合であっても、実際にそのデータが消失するのは新しいデータが上書きされたときであり、それまでは削除したデータにアクセスできなくなるだけでデータ自体は消去されていません。データが失われる瞬間、つまりデータが上書きされる瞬間のメカニズムが、HDDに比べてSSDでは複雑な手続きが必要というだけです。

そこで、このようなSSDの構造上の欠点を補うために、Trimコマンドというシステムが導入されています。これは、OS上で削除されたデータに「いつでも消去してもOK」というトリップを付けることでSSDのコントローラに消去をうながすというもので、トリップの付いたブロックは、バックグラウンドで順次消去されるという仕組みです。トリップが付けられた消去OKのブロックが実際にいつ消去されるかはSSDのコントローラに委ねられていますが、いざデータの上書きが必要な場合に備えて、Trimコマンドのおかげでユーザーが気付かないうちにせっせと「お掃除」されているというわけです。

By nate bolt

このようなゴミを消去しデータをいつでも書き込みできる状態にしておく処理はガーベジコレクションと呼ばれ、SSDの速度低下を防ぐために不可欠な技術であり、Trimコマンドなどを駆使することでいかに「ゴミを掃除しておくか」が、SSDの性能を決めると言っても過言ではありません。つまり、SSDの性能アップはいかに早くデータを完全に消去するかにかかっているということです。

この事実は、SSDが進化すればするほどデータを復元することが困難になるということを意味しており、必然的にデジタルフォレンジックが困難になっていることをも意味しています。ガーベジコレクションで消去されたブロックを復元することは不可能であるため、デジタルフォレンジックが成果を上げるかどうかは、Trimコマンドを実行するSSDコントローラのさじ加減に大きく左右されるというわけです。

なお、以下のいずれかの条件を満たす場合、Trimコマンドが機能しないため、デジタルフォレンジックを行う技術者にとっては福音となり得ます。
1.SSDが古いモデルでそもそもTrimコマンドをサポートしていないとき
2.Trimコマンドに対応していないWindows XPをサポート切れ後も使い続ける強者が相手だったとき
3.Trimコマンドに対応していないMac OS Xのバージョン10.6.8以前のOSを使っているとき
4.SSDがNTFS以外のファイルシステムでフォーマットされているとき
5.USB接続の外付けSSDだったとき
6.PCI-Express接続の超高速SSDのとき（注：PCI-ExpressではTrimコマンドはサポートされていないものの、サードパーティ製のガーベジコレクションソフトが使われている場合は除く）
7.RAIDが組まれているとき（ただし、RAIDの場合データ復元のハードル自体は高い）
8.Trimコマンドを無効にする暗号化が施されているとき（ただし、暗合の解読自体の難しさはあり）
　

フォローアップ:

この記事を読んだ人はこんな記事も読んでいます（表示まで20秒程度時間がかかります。）　recommend
★登録無しでコメント可能。今すぐ反映　通常｜動画・ツイッター等｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証

（上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):
　削除対象コメントを見つけたら「管理人に報告する？」をクリックお願いします。２４時間程度で確認し違反が確認できたものは全て削除します。　最新投稿・コメント全文リスト

▲上へ　　　　　 ★阿修羅♪ > ＩＴ11掲示板　次へ　前へ

★阿修羅♪　http://www.asyura2.com/ since 1995

スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。

▲上へ　　　　　 ★阿修羅♪ > ＩＴ11掲示板　次へ　前へ

　
▲上へ　　　　　　
★阿修羅♪ 　
この板投稿一覧　
　
　