データ復旧コラム|データレスキューセンター

データレスキューセンターのスタッフによるデータ復旧コラム。PC、HDD、USBメモリ、SDカードの情報を中心としたお役立ち情報をお届けします。

2015年10月

ルートキットにご注意

パソコンに悪さをするソフトを総称して、マルウェアと呼びますが、その中にはウイルスやトロイの木馬のほかに「ルートキット」と呼ばれるものがあります。

ルートキットは攻撃用の複数のツールがセットになったもので、攻撃者はルートキットを使うことで目的のコンピュータに侵入し、管理者権限(ルート)を奪うことができます。管理者権限を奪った後はあらゆる操作が可能になるので、遠隔操作ソフト、パスワードの窃盗ソフト、別のパソコンを攻撃するソフト、セキュリティソフトを無効化するソフト、キーボードの入力を記録するソフトなどの別のマルウェアをインストールされることになります。最近では、パソコンだけではなくAndroid携帯電話の権限を奪うタイプのルートキットも存在します。

管理者権限の奪い方には様々な方法があり、一般的にはパソコンのユーザとしての管理者権限までを奪うタイプのルートキットが多いですが、Windowsが起動する前に実行されるブートローダやファームウェアに感染する、より強力なタイプのルートキットもあります。こちらのタイプの場合は、起動した後のWindowsからルートキットの感染を検出することは非常に困難となります。

侵入方法は、プログラムの脆弱性を利用したものが多く、任意のプログラムを実行可能な状態にしてから侵入用プログラムやその他のツールをインストールすることが多いです。

ルートキットの対策としては、ウイルス対策と同様に感染する経路をふさぐことが重要です。プログラムの脆弱性はソフトウェアのアップデートである程度対策を取ることができます。また、出所不明のUSBメモリをパソコンに接続したり、メールの添付ファイルを不用意に開いたり、悪質なサイトにアクセスしたりすることを禁止するだけでも侵入のリスクを減らすことができます。

万が一感染した場合は、通常のウイルスと比べると除去が困難なため、必要なファイルをバックアップしたうえでパソコンの初期化をするとよいでしょう。

いまさら聞けないパソコン基礎知識:コンピューターウイルスと対策ソフト

拡張子についての解説ページを掲載

いまさら聞けないパソコン基礎知識に、拡張子についての解説ページを追加しました。

vol09_img01

BIOSの代わりにUEFI

最近、UEFI(Unified Extensible Firmware Interface)を搭載したパソコンが増えています。
UEFIは、BIOS(Basic Input/Output System)に変わる新しいファームウェアで、ここ数年急速に広まっています。
UEFIやBIOSはコンピュータのハードウェアを制御するための最も低レベルの入出力を行うためのプログラムで、パソコンの電源を入れると最初に実行されます。プログラム自体はマザーボード上のROMに記録されていて、HDDからOSを読み出して起動するまでの間、各ハードウェアは、このUEFIやBIOSによって制御されています。
建物でいうところの基礎にあたる部分ですが、通常は操作することがありません。
パソコン上級者がカスタマイズを施したり、あるいはトラブル発生時に設定を確認したりすることがある程度でしょう。

さて、BIOSがより高性能なUEFIに切り替わるとどのようなメリットがあるでしょうか。
従来のBIOSはパソコン黎明期に設計されたもので、多少の拡張はありましたが、何十年もそのまま使用され続けてきました。しかし、古い設計であるため仕様上の限界があります。例えば3TBのHDDからは起動できないなどの制限があります。
それがUEFIになることで、起動ドライブのHDD容量制限はなくなり、設計の自由度が増し、機能も大幅に強化できるようになっています。
BIOSではシンプルなテキストのみだった画面も、グラフィカルなデザインが利用可能になり、マウスで直感的に操作することもできるようになっています。
また、パソコンの中の情報を盗んだり、破壊したりするマルウェアの中には、OSが読み込まれる前に動作するタイプのルートキットと呼ばれるものがありますが、UEFIのセキュアブート機能を使えば、デジタル署名が施されていないソフトウェアは読み込まれなくなるので、ルートキットを無効化して安全にOSを起動することができます。

BIOSからUEFIへの変更は、データ復旧の現場においても、影響を受けています。
一部の復旧作業においてそれまで使用していたプログラムが対応できなくなることもありましたが、データレスキューセンターではこういった環境の変化に対応して、復旧技術も常に新しいものに改良しておりますのでご安心ください。

■初めてのお客さまへ

■データ復旧事例

MFTって何?

Windowsを利用していると、たまに目にする事があるMFTという単語。
これは、Master File Table(マスターファイルテーブル)を略したものです。

Windowsでは、NTFSというファイルシステムを利用できますが、MFTはNTFSパーティション一つずつに記録されていて、パーティション内のどの場所にファイルがあるかの情報を持った、本で言う目次のような情報となります。
MFTはパソコンでファイル操作をするたびに書き換えられますので、パソコンを起動しているだけで常に更新されています。

MFTは非常に重要なものなので壊れにくいようになっていますが、OSの不具合やハードウェアのトラブルなどで破損してしまうことがあります。
パソコンを使っていて、突然にファイルが消えてしまった、文字化けしてしまった、フォルダへのアクセスができなくなったという場合は、MFTが壊れた可能性があります。
また、容量の小さいファイルによっては、MFT内にデータ本体が書き込まれるので、MFTが壊れてしまうとデータが完全になくなってしまうこともあります。

MFTが壊れたのであれば、MFTを修復すればいいのではという話になりますが、この修復が非常に厄介です。
壊れてしまった場合の為に、NTFSパーティションにはMFTのバックアップ(ミラーファイル)が保存されています。
通常、MFTが壊れた場合はこのバックアップでオリジナルのMFTを上書きすることになりますが、ミラーファイルはオリジナルの情報が更新されたタイミングで同時に更新されます。そのため、状況によってはオリジナルのMFTとバックアップのMFTの両方が破損した状態となり、修復が困難になってしまうこともあります。

実際に、MFTを修復する際には、フリーソフトのTestDiskなどが使えます。
オリジナルのMFTファイルの内容がバックアップのMFTファイルと異なる場合に修復することができますが、データを復旧するのではなくオリジナルのMFTのファイルをバックアップのMFTファイルの情報に書き換えるだけの動作となります。
認識できなくなったハードディスク等に対して、物理障害がなければTestDiskを使用する事で認識できるようになることもありますが、使っていたデータがなくなってしまう事もありますし、操作を間違うと、データの復旧ができなくなることもありますので、ご使用される際は十分にお気をつけください。

チェックディスクメッセージ


また、MFTを修復するための機能はWindowsにも存在します。
チェックディスクがその機能ですが、目的はあくまでもMFTの修復となり、データの復旧ではありません。
MFTの修復でデータが復旧できる場合もありますが、Windowsにとっては何が重要なデータなのかは分からないので、チェックディスクを行うことで、逆にデータが消えてしまうことがあります。

パソコンに外付けハードディスクを接続した場合、チェックディスクをするか聞かれることもありますが、上記の理由からチェックディスクをそのまま行うことはお勧めできません。もし、チェックディスクのメッセージが出てくるようであれば、早めにハードディスクに保存されているデータは、別のハードディスクなどにバックアップされることをお勧めいたします。

データレスキューセンターでは、MFTが破損したハードディスクからの復旧ももちろん対応しておりますので、万が一の際はお気軽にお問い合わせください。


データの復旧率を下げない為の10のルール 3: チェックディスク/スキャンディスクを行わない

重度物理障害HDDのデータ復旧をご依頼いただいた朝日エティック様の声を公開

ヘッド系の障害/リードエラーにより正常動作しない重度物理障害HDDのデータ復旧をご依頼いただいた朝日エティック様の声を公開しました。

キャプチャ