2020.10.09
- デジタル・フォレンジックス
22.デジタル・フォレンジックスFAQ③
LXの深山です。前回に引き続きFAQを解説していきます。
Q5 文字化けしているファイルも復元によって読めるようになるのでしょうか?
文字化けとは、コンピュータでの文字コード設定の誤りなどにより、ある文字が別の文字として表示されてしまう現象のことを指します。例えば、「文字化け」という文字列が、「 æ–‡å—化㑠」や「譁�ュ怜喧縺�」と表示される現象のことを指します。詳しい原因や文字化けの具体的なイメージはWikipediaの説明を参照して頂くとして、文字化けの解消には文字コードの不一致やフォントの不足を解消するという方法が取られます。
文字化けの解消で重要となるのは、電子データの一番根本的な状態である、「0」と「1」の2進数で表記されたバイナリデータを解釈することです。バイナリデータはすべての電子データに共通するものですが、例えば4桁(4ビット)のバイナリデータ「0000」~「1111」は1桁の16進数「0」~「F」で表せます。この16進数を2桁使って表したのが、8ビット=1バイトとなり、1バイト分のデータを使ってアルファベットと数字などを表現する文字コードが作られています(ASCIIコードの例)。日本語や中国語、韓国語などアルファベット以外の文字体系は1バイトでは表現しきれないため、さらに倍の2バイトを割り当てて文字コードが作られています。そのため、バイナリデータからテキストなどに変換するための文字コードが一致していなければ、全然違う文字が出てしまうという現象になります。これらを復元するためには、文字コードを一致させる必要があるのですが、バイナリデータの塊には文字コードを示す部分があるので、それらを各種デジタル・フォレンジックソフトが解釈し、変換することで復元(文字化けの解消)ができるようになっています。また、部分的に文字化けしているようなデータの場合、経験豊富なDF専門家であれば、バイナリデータから文字化けしている部分を抜き取り、手動で文字コードの変換を行うことも可能です。
Q6 保全したPCや携帯電話から既に消去されたファイル、メール、メッセージも復元できるでしょうか?また、復元できないのはどんな場合でしょうか?
PCの場合、データ保全を適切に実施することで、消去されたファイルやメール、メッセージ等の復元は可能です。特に、データが何らかのデータベースに保存されている場合に、一部のデータを消去しただけであれば復元できる可能性は高いといえます。ただし、使用されている電磁的記録媒体にSSDを使用している場合、削除領域が一気に初期化されてしまうことが多く、復元できない事が多いです。(9.データ保全にあたって重要な4つのポイント参照)
携帯電話の場合、削除したデータの領域は外部からアクセスすることがほぼ不可能なため、復元は大変難しいです。どうしても復元が必要な場合は、チップオフという携帯電話本体の分解を伴う作業により、復元を試みることが出来ます。(19.デジタル・フォレンジックス(各論)「スマートフォン」参照)ただし、復元を試みたとしても、削除領域まで消滅してしまっている場合には、復元できない事もあります。
次回以降も引き続き、FAQの解説を進めていきたいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
リスクマネジメントに関連するサービス
よく読まれている記事
サービスカテゴリー
- デジタル・フォレンジックス
LXの深山です。前回に引き続きFAQを解説していきます。
Q5 文字化けしているファイルも復元によって読めるようになるのでしょうか?
文字化けとは、コンピュータでの文字コード設定の誤りなどにより、ある文字が別の文字として表示されてしまう現象のことを指します。例えば、「文字化け」という文字列が、「 æ–‡å—化㑠」や「譁�ュ怜喧縺�」と表示される現象のことを指します。詳しい原因や文字化けの具体的なイメージはWikipediaの説明を参照して頂くとして、文字化けの解消には文字コードの不一致やフォントの不足を解消するという方法が取られます。
文字化けの解消で重要となるのは、電子データの一番根本的な状態である、「0」と「1」の2進数で表記されたバイナリデータを解釈することです。バイナリデータはすべての電子データに共通するものですが、例えば4桁(4ビット)のバイナリデータ「0000」~「1111」は1桁の16進数「0」~「F」で表せます。この16進数を2桁使って表したのが、8ビット=1バイトとなり、1バイト分のデータを使ってアルファベットと数字などを表現する文字コードが作られています(ASCIIコードの例)。日本語や中国語、韓国語などアルファベット以外の文字体系は1バイトでは表現しきれないため、さらに倍の2バイトを割り当てて文字コードが作られています。そのため、バイナリデータからテキストなどに変換するための文字コードが一致していなければ、全然違う文字が出てしまうという現象になります。これらを復元するためには、文字コードを一致させる必要があるのですが、バイナリデータの塊には文字コードを示す部分があるので、それらを各種デジタル・フォレンジックソフトが解釈し、変換することで復元(文字化けの解消)ができるようになっています。また、部分的に文字化けしているようなデータの場合、経験豊富なDF専門家であれば、バイナリデータから文字化けしている部分を抜き取り、手動で文字コードの変換を行うことも可能です。
Q6 保全したPCや携帯電話から既に消去されたファイル、メール、メッセージも復元できるでしょうか?また、復元できないのはどんな場合でしょうか?
PCの場合、データ保全を適切に実施することで、消去されたファイルやメール、メッセージ等の復元は可能です。特に、データが何らかのデータベースに保存されている場合に、一部のデータを消去しただけであれば復元できる可能性は高いといえます。ただし、使用されている電磁的記録媒体にSSDを使用している場合、削除領域が一気に初期化されてしまうことが多く、復元できない事が多いです。(9.データ保全にあたって重要な4つのポイント参照)
携帯電話の場合、削除したデータの領域は外部からアクセスすることがほぼ不可能なため、復元は大変難しいです。どうしても復元が必要な場合は、チップオフという携帯電話本体の分解を伴う作業により、復元を試みることが出来ます。(19.デジタル・フォレンジックス(各論)「スマートフォン」参照)ただし、復元を試みたとしても、削除領域まで消滅してしまっている場合には、復元できない事もあります。
次回以降も引き続き、FAQの解説を進めていきたいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
