データ消失トラブルにおいて、データ復旧ソフトウェアを用いた際、「直近に消失した目的のデータは復元できず、過去に削除した古いファイルばかりが大量に抽出される」という現象が頻発します。
一見すると不自然なこの挙動は、ソフトウェアの不具合ではなく、OSのファイルシステム構造および復旧ソフトウェアのアルゴリズムに起因する必然的な結果です。本稿では、その技術的なメカニズムについて解説します。
1. ファイルシステムの管理構造と「削除」のプロセス
HDD上のデータは、論理的に以下の2つの領域で管理されています。
- メタデータ管理領域(MFT等): NTFSにおけるMaster File Table (MFT) のように、ファイル名、タイムスタンプ、属性、および実際のデータが格納されているクラスタの場所(LBA:論理ブロックアドレス)を示すポインタ情報を格納する領域。
- データ領域(クラスタ): 実際のペイロード(ファイルの実体)が記録される領域。
ユーザーやシステムがファイルを「削除」する際、OSはデータ領域の物理的な消去(ゼロフィルなど)を行いません。ファイルシステムは、MFT上の該当エントリに「削除済み(未割り当て)」のフラグを立て、アロケーションビットマップ($Bitmap)上で該当クラスタを「解放済み」としてマークする処理のみを行います。 つまり、上書きが発生しない限り、物理セクタ上には直近のデータも過去のデータも等しく残留し続けます。
2. データ復旧ソフトウェアの2つの解析フェーズ
復旧ソフトウェアは、残留したデータを抽出するために、主に2段階のアルゴリズムを実行します。
① 論理スキャン(ファイルシステム解析) MFTなどのメタデータ領域をスキャンし、「削除済み」フラグが立っているエントリを解析します。クラスタチェーン情報が残存していれば、ファイル名やディレクトリ階層を維持したまま、論理的にデータを再構築します。
② 物理スキャン(ファイルカービング / シグネチャースキャン) MFTのエントリが既に上書きされ、論理スキャンが不可能な場合に実行されるフェーズです。未割り当ての全セクタをシーケンシャルに走査し、ファイル形式固有のヘッダ(マジックナンバー)およびフッタのシグネチャを検知して、データの開始位置から終了位置までを強制的に切り出します(カービング)。
3. なぜ「古いデータ」が抽出されてしまうのか?
以上の仕様を前提とした場合、直近のデータが失われ、古いデータが抽出される理由は以下の3点に集約されます。
理由1:アロケーションアルゴリズムによる「直近データ」のオーバーライト OSはストレージへの新規書き込み要求に対して、パフォーマンスの観点から、最近解放されたばかりの連続した空きクラスタを優先的に再割り当てする傾向があります。 消失発覚後もOSを稼働させ続けた場合、バックグラウンドのシステムプロセス、スワップファイルの変動、あるいは復旧ソフト自体のインストール等によって書き込みが発生します。この際、「直近に削除・解放されたばかりのクラスタ」が真っ先にターゲットとなり、物理的に上書き(破壊)されます。結果として、過去に削除され偶然上書きを免れていたデッドスペースの古いデータだけが無傷で残存する状況が生まれます。
理由2:フラグメンテーションとカービングの限界 直近まで頻繁にアクセスし、編集や追記を繰り返していた作業ファイルは、ディスク上で非連続なクラスタに分散して記録される「フラグメンテーション(断片化)」を起こしている確率が非常に高くなります。 物理スキャン(カービング)は、原則として「データが連続したセクタに書き込まれていること」を前提としたアルゴリズムです。そのため、断片化した直近のファイルはシグネチャによる正確な切り出しができず、破損ファイルとなります。対照的に、過去に保存され一度も編集されなかった静的なファイル(古い画像やログなど)は連続領域に配置されていることが多く、カービングによって容易かつ完全に抽出されてしまいます。
理由3:メタデータの喪失による「全抽出」 MFTエントリが新しいファイルに再利用されてメタデータが喪失すると、ソフトウェアは物理スキャンに移行せざるを得ません。物理スキャンによってカービングされたデータは、元のファイル名もタイムスタンプも保持していません。 ソフトウェアはセクタ上に残存する「数日前に消えたデータ」と「5年前に消えたデータ」を区別できず、シグネチャが一致したものをすべてフラットに復元します。連番のファイル名(file_001.jpg等)が付与された膨大な過去のデータがリストアップされるため、ユーザーには「古いデータばかりが湧いてきた」ように認識されます。
結論
データ復旧において過去のデータが抽出されるのは、**「直近のデータ領域がOSの書き込みプロセスによって既に破壊(上書き)されているか、断片化によりカービングに失敗した一方で、連続領域に残留していた過去のデータが物理スキャンによって一斉に拾い上げられた結果」**に他なりません。
この技術的制約がある以上、直近のデータを救出するための唯一の対抗策は、障害発生や誤削除を認識した直後にシステムの電源を物理的に遮断(強制終了など)し、一切のI/O処理を停止させることのみと言えます。
補足:本稿における主要な専門用語解説
- MFT (Master File Table): WindowsのNTFSファイルシステムにおける中核的なデータベース。ボリューム内のすべてのファイルとディレクトリの属性(ファイル名、タイムスタンプ、アクセス権、データが記録されている物理的な場所のポインタなど)を一元管理する。
- LBA (Logical Block Addressing): ストレージデバイス上のデータ位置を指定するための論理的なアドレス指定方式。プラッタ上の物理的な構造(シリンダ、ヘッド、セクタ)を意識せず、先頭から連番でブロックにアクセスできるようにする仕組み。
- セクタ (Sector) / クラスタ (Cluster): セクタはHDDの物理的な最小記録単位(従来は512バイト、近年は4Kバイトが主流)。クラスタはファイルシステムがデータを管理・割り当てする際の論理的な最小単位で、複数のセクタを束ねて構成される(NTFSの標準では4KB)。
- アロケーションビットマップ ($Bitmap): NTFSにおいて、ボリューム内の各クラスタが「使用中」か「空き(未割り当て)」かを、1ビット(0か1)のフラグで記録・管理しているシステムファイル。ファイルを削除すると、該当するクラスタのフラグが「空き」に変更される。
- ゼロフィル (Zero-fill): ストレージの全領域、あるいは特定領域に対して、無意味なデータ(通常は「0」)を強制的に上書きし、残留していたデータを物理的かつ完全に消去・破壊する処理。
- ファイルカービング (File Carving): MFTなどのファイルシステム(メタデータ)情報に依存せず、ストレージのデータ領域(生データ)をセクタ単位で直接スキャンし、特定のデータパターンの連続性からファイルを推測して切り出すデータ復旧技術。
- マジックナンバー (Magic Number) / シグネチャ: ファイルフォーマットを識別するために、ファイルの先頭(ヘッダ)や末尾(フッタ)に規則的に付与されている固有の識別子(バイト列)。例えばJPEG画像であれば、バイナリデータが必ず
FF D8で始まりFF D9で終わるという規則がある。 - フラグメンテーション (Fragmentation): 断片化。ファイルの追記や、作成・削除を繰り返すことで、1つのファイルがストレージ上の連続した空き領域に収まりきらず、複数の離れたクラスタに分割されて記録される現象。
- I/O処理 (Input/Output Processing): コンピュータにおけるデータの入力(ストレージからの読み込み)と出力(ストレージへの書き込み)の操作。データ消失後にシステムを稼働させたままにすると、バックグラウンドでのI/O処理により、残留データの上書き(破壊)が発生する。