パソコン データ復旧 日々是好日　おくやま電脳工房

先月復旧依頼をいただいた2.5インチノート内蔵HDDになんと65,323箇所の不良セクターがありました。

何年か前に企業案件で何度かご依頼いただいていた当時のご担当者様の個人用のHDDとのこと。
近くのパソコン修理屋に出されたが　復旧不能で戻ってきたとのこと。
昔のことを覚えていてくださって　私共にご依頼をいただきました。

長年使われていた古いHDDで復旧不能といわれただけあって専用機器での磁気情報抽出が最初から弾かれてしまう。
何度か再トライしようやく抽出開始できたが　先頭部分から不良セクターが大量にあるようで不良セクターをスキップ、リトライの繰り返しが延々と続く。
「これは復旧が難しいケースかな？」と思いながらも辛うじて作業が続いているので様子を見ることにした。
結局作業が終わるまで一週間近くかかった。
時間はかかった（不良ブロックが大量に発生していた）わりには抽出した磁気情報は結構まともでお客様が必要とされるデータはほとんど復旧できたのではないかと思う。
（正確なところはご本人様にしかわからない）　

本件のようなケース（大量の不良ブロック発生＝長年使われていたHDDによくみられる）は磁気情報の抽出に時間がかかることが多い。
一週間かかったが専用のハードウェアで障害ハードディスクに極力負荷をかけないように（不良ブロックはスキップする為ほとんど負荷がかからない）して抽出したことが功を奏して復旧につながったもの。

不良ブロックを読み取ろうとしてリトライを繰り返せばそこの部分やボイスコイルが熱を持ってしまいHDD自体を破壊してしまうことも多い。

ご自分でデータ復旧を試みる方は　リトライが頻発するようならそれ以上無理をしないで復旧を中止し　私共に相談ください。

いつもデータ復旧のご依頼をいただくサポート業者様からお問い合わせをいただきました。
「QNAPのNASが”eCh0raix”というランサムウェアに感染　拡張子が「.encrypt」に書き換わり、データが暗号化されてしまった。
これらのデータを復旧してほしい。」

「NASにランサムウェア？」
と思われる方がいるかもしれないが　一昨年ぐらいからQNAPのNASが狙われていたらしい。
QNAPも対策（ファームウェアの）を出していたが　対策済みのファームウェアにアップデートしていなかったためランサムウェアに侵入された模様。

もちろん対策はあくまでランサムウェアに侵入されないためのもので　一旦暗号化されてしまったものは復号することはできない。
今回お問い合わせいただいた件も「復号できません」とお伝えしまし　お断りしました。

ランサムウェア（身代金要求マルウェア）もだんだん高度になってきており　昔は単にデータを暗号化し「データを復元するパスワードを欲しければ金を出せ」だった。
現実に金を払って解決した　というのはほとんど聞いたことがない。
犯人側としては身代金を受け取ってしまえばパスワードを渡す必要などないからだ。
そのため　現実には身代金がとりにくくなっていた。

ところが最近はさらに悪質になり　
１．データをハッキング（盗み出す）
２．データを暗号化（または削除する）
３．（身代金を払わなければ）そのデータを公開する

昨年カプコンが攻撃を受け11億円の身代金を要求されたと（カプコン自身）が公表した。
どうやら身代金は支払われなかった様で　その後カプコンの情報はネット上で暴露されているようだ。

本題からそれてきたのでこの件はここまで　カプコンの件を詳しく知りたい方はネットで検索してみてください。

さて本題のQNAPのNASのランサムウェア攻撃に対して
「NASだから大丈夫」ではなく　どんなストレージも狙われるということを理解してください。
今回はQNAP製のNASが狙われましたがそれ以外のNASが狙われない等云う保証はありません。
ネットワークのセキュリティ対策をする、アカウント管理を厳重にする　等の対策は必要です。


最後にもう一度言いますが　一旦暗号化されたり、盗まれたデータは（莫大な身代金を払ったところで）戻ってきません。
それと同時に　自社の信用も無くしてしまいます。

外付けのHDD（特に2.5インチのポータブルサイズ）に”暗号化 パスワード保護”や”セキュリティ機能を搭載した暗号化ハードディスク”等と謳ったものが結構見られます。
特に昨今のテレワーク環境では企業内のサーバーに保存することが出来ないためこれら暗号化HDDが推奨されることもあるようです。
これらのハードディスクの暗号化は強固でこれを破ることはほぼ不可能です。
もちろん強度の高いパスワードを適正に管理していればです。
※今更ですが誕生日、電話番号、使用者の名前　等を使用していないパスワードという意味ですが。

私共のようなデータ復旧業者にはしばしばこれら暗号化HDDの復旧依頼が来ます。
実は暗号化HDDはデータ復旧が困難であることが多いのです。
データ復旧ができないではなく　復旧しても復号化（暗号を平文に直す）が困難なことが多いのです。

過去にも説明したことはあるのですが　最近また暗号化HDDの復旧依頼が増えつつあるので改めて解説します。

＜殆どの方が知らない現実＞
暗号化HDDはパスワードを設定していなくとも内部では暗号化されて保存されているのです。
「パスワードをかけていなければ暗号化されていないのでは。データの読み出しは何もしなくても普通に読める。」と言われるかもしれません。
実は
１．ＰＣからデータを書き込む時　外付けハードディスク内の基板上に暗号化チップにより自動的に暗号化されて内蔵されているＨＤＤに保存されている。
２．データを読みだす時１．の逆に自動的に復号され平文のデータとしてＰＣに読み込まれる。
という工程を経ているのです。
パスワードを設定した場合　この読み出し時にパスワードを要求される様になるのです。
３．基板上の暗号化チップと内蔵されているＨＤＤは紐づけされており（同じ製品であっても）他のケースに入れると復号できません。
例えば「外付けＨＤＤのコネクターが壊れてしまって接続できなくなったので同じ型番の製品を買ってきて中身のＨＤＤを入れ替えた」場合などです。
※ビデオのＨＤＤレコーダーも同様でレコーダーが壊れたから同じ型番の製品を探してきてＨＤＤを乗せ換えても再生できません。

使用されている暗号は極めて強固で正規の手順以外で解読することはほぼ不可能です。

要するにこれら暗号化ＨＤＤに障害が発生してデータ復旧できたとしてもそれを使用できるデータに戻すことは難しいのです。

また　たまにお問い合わせいただくケースで
「パスワードを設定していた。突然パスワードが通らなくなりデータが読み出せなくなった。」と云うのがあります。
おそらく　使用している方が何か間違えた操作をしたということではなく　何らかの障害によりパスワードを認識しなくなってしまったものと思います。

このケースではデータの救出はほぼ無理です。

ということで　パスワードを設定する、しないにかかわらずこれら暗号化対応ＨＤＤを使用する場合は　より確実にバックアップを採ってください。

自分自身のデータを失うという観点からは　これらハードウェアによる暗号化ハードディスクは使用しないほうが無難です。
セキュリティは他の方法で考えてください。