SSDのせいで現代の犯罪捜査が極めて困難になっている状況が判明、その原因をSSDの仕組みから解説

By Jung-nam Nam

高速なデータ処理が可能なソリッドステートドライブ(SSD)の高性能化・低価格化・大容量化の勢いはとどまるところを知らず、2014年中にもIntelは2TBの高速SSDをリリースする予定です。身近なストレージとして普及しつつあるSSDですが、犯罪捜査におけるデータ解析を困難にさせる存在であると指摘されています。

Belkasoft: Digital Evidence Extraction Software for Computer Forensic Investigations
http://forensic.belkasoft.com/en/why-ssd-destroy-court-evidence

Modern SSDs self-destroy court evidence
http://www.ssdfreaks.com/content/612/modern-ssds-self-destroy-court-evidence

犯罪捜査において、PCやスマートフォンからデータを取り出し解析し、証拠とするための技術はデジタルフォレンジックと呼ばれ、現代社会における犯罪捜査に不可欠な存在となっています。犯罪に関係するデータは捜査を察知した犯罪者が消去し隠滅したり、PC自体を物理的に破壊したりすることがあるため、失われたデータを復元する作業はデジタルフォレンジックにおいて重要な技術とされています。

しかし、従来のハードディスク(HDD)において可能であったデータ復元が、SSDの場合、非常に難しいことがデジタルフォレンジックを困難にしているとして問題視されています。これは、どうやらSSDのデータ記録の構造に原因があるようです。

By Andrew Sardone

消去したい古いデータを新しいデータに上書きする場合、HDDでは旧データに新データを直接上書きすることが可能です。しかし、SSDはデータを直接上書きすることはできません。データを上書きするメカニズムは、SSDの場合、古いデータが含まれた「ブロック」というデータを束ねる1つのまとまりを、バッファ(作業用メモリ)領域にすべてコピーした後、バッファメモリ上で旧データを新データに置き換え、コピーしたブロックを一括で消去してからバッファメモリ上のブロックを書き戻すという複数の工程(通称、ブロックコピー)を経ます。

ブロックコピーの仕組みについてはLogitecのサイトで分かりやすく解説されています。


つまり、SSDではデータを書き換える場合に空きブロックがなくバッファにデータをコピーしブロックを消去する必要がある場合、単純に空きブロックにデータを書き加えるのに比べて時間がかかるため、空き領域が少ないとデータの書き換えがスムーズにいかずに処理速度が落ちるというわけです。これが、「SSDはなるべく大容量の方が良い」「空き容量が少なくなるとSSDの速度が落ちる」と言われる理由です。

なお、HDDでもSSDでもOS上で「データを削除する」という作業を行った場合であっても、実際にそのデータが消失するのは新しいデータが上書きされたときであり、それまでは削除したデータにアクセスできなくなるだけでデータ自体は消去されていません。データが失われる瞬間、つまりデータが上書きされる瞬間のメカニズムが、HDDに比べてSSDでは複雑な手続きが必要というだけです。

そこで、このようなSSDの構造上の欠点を補うために、Trimコマンドというシステムが導入されています。これは、OS上で削除されたデータに「いつでも消去してもOK」というトリップを付けることでSSDのコントローラに消去をうながすというもので、トリップの付いたブロックは、バックグラウンドで順次消去されるという仕組みです。トリップが付けられた消去OKのブロックが実際にいつ消去されるかはSSDのコントローラに委ねられていますが、いざデータの上書きが必要な場合に備えて、Trimコマンドのおかげでユーザーが気付かないうちにせっせと「お掃除」されているというわけです。

By nate bolt

このようなゴミを消去しデータをいつでも書き込みできる状態にしておく処理はガーベジコレクションと呼ばれ、SSDの速度低下を防ぐために不可欠な技術であり、Trimコマンドなどを駆使することでいかに「ゴミを掃除しておくか」が、SSDの性能を決めると言っても過言ではありません。つまり、SSDの性能アップはいかに早くデータを完全に消去するかにかかっているということです。

この事実は、SSDが進化すればするほどデータを復元することが困難になるということを意味しており、必然的にデジタルフォレンジックが困難になっていることをも意味しています。ガーベジコレクションで消去されたブロックを復元することは不可能であるため、デジタルフォレンジックが成果を上げるかどうかは、Trimコマンドを実行するSSDコントローラのさじ加減に大きく左右されるというわけです。

なお、以下のいずれかの条件を満たす場合、Trimコマンドが機能しないため、デジタルフォレンジックを行う技術者にとっては福音となり得ます。
1.SSDが古いモデルでそもそもTrimコマンドをサポートしていないとき
2.Trimコマンドに対応していないWindows XPをサポート切れ後も使い続ける強者が相手だったとき
3.Trimコマンドに対応していないMac OS Xのバージョン10.6.8以前のOSを使っているとき
4.SSDがNTFS以外のファイルシステムでフォーマットされているとき
5.USB接続の外付けSSDだったとき
6.PCI-Express接続の超高速SSDのとき(注:PCI-ExpressではTrimコマンドはサポートされていないものの、サードパーティ製のガーベジコレクションソフトが使われている場合は除く)
7.RAIDが組まれているとき(ただし、RAIDの場合データ復元のハードル自体は高い)
8.Trimコマンドを無効にする暗号化が施されているとき(ただし、暗号の解読自体の難しさはあり)

・関連記事
Intel・SamsungなどのSSDがどれぐらいの寿命なのか長期間の耐久テストで判明 - GIGAZINE

高評価レビューをゲット後にSSDの部品を安物に変更する手口が暴かれる - GIGAZINE

「SSD」を簡単に理解できるフォームファクタ(形状・規格)まとめ - GIGAZINE

これがSSDの実力、古いパソコンをSSDに換装すると爆速で起動可能に - GIGAZINE

防水加工はついにストレージにも波及、ADATAはSSDやフラッシュメモリをも防水化 - GIGAZINE

現行SSDに即適用可能な4倍高速化・60%省エネ化の技術を中央大学研究者が開発 - GIGAZINE

USBメモリの書き換え限界寿命が来ると何が起きるのか、実際に寿命が来たケースをレポート - GIGAZINE

225

in ハードウェア,  メモ, Posted by logv_to