iuec

ドライブは、単にパソコンに接続されて動作しているだけの部品ではありません。実際には、ドライブ自体が一つの小さなコンピュータとして機能しています。HDDやSSDの内部には、データの読み書きを制御するための処理機構があります。そこでは、ファームウェアと呼ばれる制御プログラムが動作し、ヘッドの動作、データの配置管理、不良領域の処理、読み書きの制御などを行っています。つまり、ドライブはパソコンに完全に依存して動いているのではなく、データの読み書きに特化した独立した制御装置として動作しています。

量産されたドライブは、同じ製品や同じ系列であれば、故障の傾向にも一定の共通性が現れることがあります。当サービスでは、長年のデータ復旧作業を通じて、ドライブの故障状態や挙動には、製品構造や使用状況に応じた一定のパターンが存在することを確認してきました。壊れかけたドライブは、状態を確認するためのアクセスだけでも負担となる場合があります。そして、その状態変化は、そのまま状態悪化につながることもあります。そのため、復旧作業では「その場で試してみる」だけでは不十分です。できる限り状態を悪化させずに復旧するには、過去の復旧事例、挙動ログ、障害パターン、症例を正しく活用する必要があります。当サービスでは、20年以上にわたって蓄積してきた復旧事例をもとに、故障時の挙動や読み取り傾向を整理してきました。

以前は、できる限り多くのデータを満遍なく復旧する手法を中心に対応しておりました。なぜなら、故障したドライブは状態の変化が読みづらく、どの領域が安全に読めるのかを正確に判断することが難しかったためです。そのため、可能な限り多くのセクタを慎重に読み出し、安全にデータを確保していく方法が、最も確実な復旧手法でした。

ドライブ機能に標準として加わる、データ保護を目的とした暗号化。ところが、その実態はイラストの通りです。復号されてしまう形で鍵が置いてあったり、何かしらのバグにより動作不能にもなったりする。動作不能に陥れば、そこには暗号化されたデータが転がるのみで取り出せない。それが、トラブルにつながります。暗号化は、必要に応じて自分で行うべきものです。自分の管理下にない標準で加わる暗号化は、トラブル時にはデータが非常に危険な状態に晒されます。ご注意ください。

復旧対象となるドライブは、すでに故障しかけている場合があります。そのため、あとどれくらい正常な状態を保てるのか、正確にはわかりません。このような状況では、必要のないアクセスをできる限り減らすことが重要です。そのためには、どこに有効なデータが存在しているのかを、事前に把握する必要があります。まず優先するのは、ファイルシステムのメタ情報の解析です。メタ情報には、ファイル名やファイルの配置情報、断片化の情報などが含まれています。しかし、メタ情報だけでは十分ではありません。なぜなら、メタ情報そのものに実データが保存されているわけではないためです。実際のデータは、メタ情報が示す先の領域にアクセスして取得する必要があります。

データの読み出しを低下させる、磁気ヘッドの一部損傷です。まず、イラストの通り、いきなり内部ヘッド交換（クリーンルーム作業）には着手しません。なぜなら、データ復旧のリスクを最小限にするため、分解の前に、制御によるデータ復旧を試みます。クリーンルーム作業による分解作業は、リスクを伴います。状態を整える再調整に、プラッタの状態が関係するためです。それであれば、分解作業の前に、できる限りの他の復旧作業を実施すべき、となります。そこで限界までデータ復旧作業を実施のち、最後に、分解作業に着手いたします。このような二段階にわけることで、最小限のリスクで各データを復旧する手法を採用しております。

ランサムウェア。暗号化してから身代金を要求する、たちの悪いプログラムです。それでもイラストの通り、穴だらけ。復旧できる部分が多くあります。そして、身代金の支払いは、絶対にしてはいけません。ただ取られるだけで、さらに二次被害へとつながります。データ復旧のほか、そのような経路の調査までしっかり行っております。

クリーンルーム作業は、万能ではありません。ドライブを修理することでデータ復旧を行う場合でも、その過程で交換できない場所があります。それが、プラッタです。なぜなら、プラッタにデータが存在するためです。データ復旧は修理を目的とするのではなく、データを取り出すことが目的です。よって、その修理とは、データを取り出せる状態にするだけです。