iuec

データ復旧では、ドライブの状態が復旧率を大きく左右します。そのため、不良セクタの影響をできる限り最小化することが重要です。不良セクタは、単に「読めない場所」というだけではありません。壊れかけたドライブでは、不良セクタにアクセスするたびに、ドライブに残されている余力が少しずつ削られていくと考える必要があります。無理に何度も読み出しを試みると、状態がさらに悪化し、まだ読めるはずだった領域まで読み出せなくなるおそれがあります。そのため、データ復旧では、不良セクタへ不用意にアクセスしないことが非常に重要になります。当サービスでは、FromHDDtoSSDなどの自社開発ツールを活用し、日々、ドライブの挙動や不良セクタの変化を調査しています。

当サービスでは、パソコンやサーバを、機器ごと復旧するサービスに対応しております。通常のデータ復旧では、保存されていたファイルやフォルダを取り出すことが中心となります。しかし、業務で使用しているパソコンやサーバの場合、データだけを復旧しても、すぐに現場へ戻せるとは限りません。特にサーバでは、データだけでなく、設定、権限、共有環境、運用状態なども重要です。そのため、可能な限り故障前の環境ごと復旧することで、現場への復帰を早めることができます。

SSDの認識不能について、対処すべき方法としてリボール作業があります。これは、半田クラック等で動作不能になったSSDを復旧するときに実施いたします。ファームウェア損傷等、多岐にわたるSSDの障害ですが、このリボール作業によって、SSDを完全に復旧することができます。

データ復旧を必要とするドライブでは、不良セクタが発生していることを前提に作業を進める必要があります。不良セクタがある場合、その部分のデータは正常に読み出せないため、エラー訂正などの手法によって欠損したセクタを補う必要があります。しかし、実際の復旧現場では、エラー訂正だけでは対応できないケースも多くあります。エラー訂正が不能な状態になっている場合、その処理だけに頼ったデータ復旧では十分に対応できません。そこで当サービスでは、欠損したセクタに対して、別の手法による補完処理を行います。

ドライブは、単にパソコンに接続されて動作しているだけの部品ではありません。実際には、ドライブ自体が一つの小さなコンピュータとして機能しています。HDDやSSDの内部には、データの読み書きを制御するための処理機構があります。そこでは、ファームウェアと呼ばれる制御プログラムが動作し、ヘッドの動作、データの配置管理、不良領域の処理、読み書きの制御などを行っています。つまり、ドライブはパソコンに完全に依存して動いているのではなく、データの読み書きに特化した独立した制御装置として動作しています。

量産されたドライブは、同じ製品や同じ系列であれば、故障の傾向にも一定の共通性が現れることがあります。当サービスでは、長年のデータ復旧作業を通じて、ドライブの故障状態や挙動には、製品構造や使用状況に応じた一定のパターンが存在することを確認してきました。壊れかけたドライブは、状態を確認するためのアクセスだけでも負担となる場合があります。そして、その状態変化は、そのまま状態悪化につながることもあります。そのため、復旧作業では「その場で試してみる」だけでは不十分です。できる限り状態を悪化させずに復旧するには、過去の復旧事例、挙動ログ、障害パターン、症例を正しく活用する必要があります。当サービスでは、20年以上にわたって蓄積してきた復旧事例をもとに、故障時の挙動や読み取り傾向を整理してきました。

以前は、できる限り多くのデータを満遍なく復旧する手法を中心に対応しておりました。なぜなら、故障したドライブは状態の変化が読みづらく、どの領域が安全に読めるのかを正確に判断することが難しかったためです。そのため、可能な限り多くのセクタを慎重に読み出し、安全にデータを確保していく方法が、最も確実な復旧手法でした。

ドライブ機能に標準として加わる、データ保護を目的とした暗号化。ところが、その実態はイラストの通りです。復号されてしまう形で鍵が置いてあったり、何かしらのバグにより動作不能にもなったりする。動作不能に陥れば、そこには暗号化されたデータが転がるのみで取り出せない。それが、トラブルにつながります。暗号化は、必要に応じて自分で行うべきものです。自分の管理下にない標準で加わる暗号化は、トラブル時にはデータが非常に危険な状態に晒されます。ご注意ください。

復旧対象となるドライブは、すでに故障しかけている場合があります。そのため、あとどれくらい正常な状態を保てるのか、正確にはわかりません。このような状況では、必要のないアクセスをできる限り減らすことが重要です。そのためには、どこに有効なデータが存在しているのかを、事前に把握する必要があります。まず優先するのは、ファイルシステムのメタ情報の解析です。メタ情報には、ファイル名やファイルの配置情報、断片化の情報などが含まれています。しかし、メタ情報だけでは十分ではありません。なぜなら、メタ情報そのものに実データが保存されているわけではないためです。実際のデータは、メタ情報が示す先の領域にアクセスして取得する必要があります。

データの読み出しを低下させる、磁気ヘッドの一部損傷です。まず、イラストの通り、いきなり内部ヘッド交換（クリーンルーム作業）には着手しません。なぜなら、データ復旧のリスクを最小限にするため、分解の前に、制御によるデータ復旧を試みます。クリーンルーム作業による分解作業は、リスクを伴います。状態を整える再調整に、プラッタの状態が関係するためです。それであれば、分解作業の前に、できる限りの他の復旧作業を実施すべき、となります。そこで限界までデータ復旧作業を実施のち、最後に、分解作業に着手いたします。このような二段階にわけることで、最小限のリスクで各データを復旧する手法を採用しております。

ランサムウェア。暗号化してから身代金を要求する、たちの悪いプログラムです。それでもイラストの通り、穴だらけ。復旧できる部分が多くあります。そして、身代金の支払いは、絶対にしてはいけません。ただ取られるだけで、さらに二次被害へとつながります。データ復旧のほか、そのような経路の調査までしっかり行っております。

クリーンルーム作業は、万能ではありません。ドライブを修理することでデータ復旧を行う場合でも、その過程で交換できない場所があります。それが、プラッタです。なぜなら、プラッタにデータが存在するためです。データ復旧は修理を目的とするのではなく、データを取り出すことが目的です。よって、その修理とは、データを取り出せる状態にするだけです。