TidBITS Talkで、ユーザーLucas043さんが質問を投稿し、興味深い議論が巻き起こりました。Lucas043さんはSamsung Portable T7 SSDをバックアップ用に使用しています。このSSDには断続的なアクセス障害があり、まだ保証期間内なので問題なく返品できるのですが、クライアントの機密データが含まれています。Lucas043さんの質問:ドライブを消去する最も安全な方法は何ですか?
この質問には複数の答えがありますが、保証期間内に返品されるドライブには必ずしもすべてが適切とは限りません。SSDまたはハードドライブを安全に消去したいが、その後のドライブの用途が異なっている場合は、他の方法が最適かもしれません。
「安全」とは具体的に何を意味するのか、改めて考えてみる価値があります。市販のソフトウェアを使ってファイルを復元されるのを防ぎたいですか? DriveSaversのような会社がチップを抜き取ったり、新しいコントローラーを取り付けたりすることを懸念していますか? 政府機関がデータを復元することを心配していますか?
可能性を検討してみましょう。
ドライブを破壊する
SSDのデータを誰にも読み取られないようにする最も簡単な方法は、保護メガネを装着し、ハンマーで繰り返し叩くことです。これは手早く、効果的で、満足感も得られますが、保証期間内にドライブを返却する際に問題が生じます。Samsungは、多数の小さな破片に分かれて返却されたSSDを保証対象としない可能性が高いからです。もちろん、SSD内部のチップを物理的に破壊する必要があるので、完全に粉砕されていることを確認してください。
ハードドライブの場合、ハンマーで叩くのと同じような効果がありますが、プラッター自体にダメージを与えることが重要です。そのためには、プラッターにドリルで数カ所穴を開けるのが最も効果的です。最近、高齢の友人のために、古いドライブ数台と故障したMac miniを使ってこの方法を試しました(「高齢者支援で明らかになるAppleの過去の失敗と最近の改善点」2022年6月24日記事参照)。
政府レベルの情報漏洩を懸念している場合、ハードドライブに穴を開けるだけでは不十分かもしれません。その場合は、消磁装置を使用する方が効果的です。あるいは、ドライブを開けてプラッターを取り外し、サンドペーパーなどの研磨剤で表面を破壊することも可能です。ドライブを分解できるシュレッダーもありますが、これらや消磁装置は、機密情報が保存された多数のドライブを廃棄しなければならないIT部門での使用が主に適しています。
普通の人なら、ドライブを破壊したら、残った部品は地域の家電リサイクルセンターに持っていくでしょう。私がそうしたとき、2010年のiMacとCinema Displayを引き取った人が、それらを搬入口の向こうの大きなゴミ箱に放り投げたので、思わず顔をしかめました。もちろん、それらは壊れていましたが、それでもMacは普通捨てられるものではありません。
ディスクユーティリティでドライブを消去する
ドライブを消去する最も分かりやすい方法は、ディスクユーティリティでドライブを選択し、「消去」ボタンをクリックすることです。ディスクユーティリティはドライブをアンマウントし、どのブロックがどのファイルに使用されているかを記録しているディレクトリを削除し、新しいディレクトリを作成します。つまり、実際にはデータは消去されず、データが保存されているストレージブロックへのポインタだけが消えます。ディレクトリが消えれば、データにアクセスできなくなります。
ドライブを自分で再利用する予定、あるいは信頼できる人、あるいは消去したドライブからデータを復旧する技術的ノウハウを持ち合わせているとは思えない人に渡す予定であれば、それで問題ありません。あるいは、より現実的に言えば、データがそれほど機密性が高くない場合にも十分です。
しかし、ディスクユーティリティで単純に消去するだけでは、セキュリティを懸念する人にとっては問題です。一部のアプリは、ドライブのブロックをスキャンしてディレクトリを再作成し、ファイルの復元を可能にします。特に、ドライブを再フォーマットした直後、つまり以前使用されていたブロックに新しいデータが書き込まれる前にデータをスキャンできる場合、技術にあまり詳しくない人でも多くのデータを復元できると想定する必要があります。
ディスクユーティリティを使用してドライブを安全に消去する
以前のアプローチの限界に対する解決策は明白に思えるかもしれません。フォーマット処理中にドライブ上のすべてのブロックにランダムデータとゼロを書き込むのです。こうすることで、ディレクトリが削除された後に残ったデータを復元ソフトウェアが読み取ることができなくなります。ディスクユーティリティを使えば、この作業は簡単です。ドライブを選択し、「消去」をクリックし、表示されるダイアログで「セキュリティオプション」をクリックし、ランダムデータとゼロを書き込む回数を選択します。
Appleはオプションを分かりやすく説明していますが、パス数が増えるほど処理時間が長くなることを明記していません。7パス消去を試したことはありません。十分な容量のドライブでは、完了までに数日かかる可能性があります。
- 最速; 安全ではありません:このオプションでは、ディスク上のファイルは安全に消去されません。ディスク回復アプリケーションを使用すれば、ファイルを回復できる可能性があります。
- 2パス:このオプションでは、ランダムデータのパスを1回書き込み、その後、ディスク全体にゼロを1回書き込みます。ファイルへのアクセスに使用される情報は消去され、データは2回上書きされます。
- 3パス:このオプションは、DOE準拠の3パスセキュア消去です。ランダムデータを2パス書き込み、続いて既知のデータを1パス書き込み、ディスク全体に書き込みます。ファイルへのアクセスに使用された情報を消去し、データを3回上書きします。
- 最も安全な7パス:このオプションでは、ディスク全体に0、1、ランダムなデータを複数回書き込みます。ファイルへのアクセスに使用された情報は消去され、データは7回上書きされます。
かかる時間以外にも、いくつか注意すべき点があります。
まず、「セキュリティオプション」ボタンは、使用が適切な場合にのみ表示されます。そのため、実際には、ボリュームはドライブ上のすべてのブロックを使用するわけではないため、「消去」をクリックする前に、ディスクユーティリティのサイドバーでボリュームではなくドライブを選択する必要があります。セキュリティを心配している場合は、すべてのブロックがゼロになっていることを確認する必要があります。
第二に、不良ブロックを正常なブロックに自動的に交換する機能により、セキュア消去後もドライブにデータが残る可能性があります。ブロックが不良になると、コントローラが即座に正常なブロックに交換します。その後ドライブを消去すると、交換された正常なブロックのみが消去されるため、不良ブロックに機密データが残ってしまう可能性があります。DriveSaversのような高度な技術を持つ組織や政府機関でなければ、データの復旧は不可能ではありませんが、不可能ではありません。また、不良ブロックに何が含まれているかを知る方法もありません。
第三に、セキュリティオプションボタンは、ハードドライブを再フォーマットする場合にのみ利用可能であり、SSD では利用できません。その理由は次のとおりです (この説明と TidBITS Talk での議論における多くの素晴らしい詳細を提供してくれた David C. に感謝します)。この記事の範囲を超える技術的な理由により、ソフトウェア (macOS を含む) がアクセスする論理データブロックと、SSD のフラッシュチップ内の物理データブロックとの間には直接的な関係はありません。SSD コントローラのファームウェア (SSD の回路基板上、または Mac の Apple Silicon プロセッサまたは T2 チップ内) が、論理ブロックを物理ブロックにマッピングするデータベースを管理しています。
SSDに書き込みを行う際、書き込み先の論理ブロックに既にデータが含まれている場合、SSDコントローラーは対応する物理ブロックを上書きしません(これも技術的な理由によるもので、この記事では説明しません)。代わりに、新しい未使用の物理ブロックにデータを書き込み、論理ブロックと物理ブロックのマッピングデータベースを変更し、以前使用されていた物理ブロックを「ガベージ」としてマークします。
ガベージ ブロックはソフトウェアからはアクセスできません (論理ブロックにマップされていない)。ただし、チップを直接読み取ったり、SSD コントローラーのファームウェアをハッキングしたりすることで、SSD コントローラーをバイパスするように設計された機器が理論的にアクセスできるデータが含まれています。
しばらくすると、SSDコントローラはガベージコレクションを実行し、これらのガベージブロックを消去して再利用できるようにします。ガベージコレクションに使用される具体的なメカニズムと、実際に実行されるタイミングは、SSDコントローラで実行されているファームウェアによって異なり、SSDのブランドやモデルによって異なります。ドライブのファームウェアと使用状況によっては(通常、ガベージコレクションはドライブがアイドル状態のときにのみ実行されます)、数時間、あるいは数日間も実行されない場合があります。
これが、SSD におけるセキュア消去が信頼性に欠けると考えられる理由です。すべての論理ブロックにランダムデータを書き込むことで、実際のデータが格納されているすべての物理ブロックがガベージとしてマークされ、ソフトウェアからアクセスできなくなることが保証されますが、それらのガベージブロックがいつ収集され消去されるかは保証されません。ドライブを廃棄する予定がある場合、最後に電源を切る前にガベージデータが収集されたかどうかを知る方法はありません。Apple が SSD 消去時にセキュリティオプションボタンを削除したことは、SSD のセキュリティが十分ではないことを認めていることになります。
それでも SSD のセキュア消去を実行したいですか?diskutilコマンドを使用して、コマンド ラインから実行できます。
- 問題のドライブの識別子を確認するには、実行してください
diskutil list。目的のドライブを見つけるには、結果を解析する必要があります。 diskutil secureErase 1 disk3ドライブを消去するには、のようなコマンドを使用してください。その後、再び使用する前にディスクユーティリティでパーティションを再設定する必要があります。上記のコマンドの「1」はシングルパスのゼロフィル消去ですが、「」と読むとman diskutil、大げさに聞こえるグットマンアルゴリズムの35パス消去を含む、他のすべてのオプションが表示されます。
コマンドラインに慣れていない方は、今は試してみるべきではありません。それでも、この手法は避けることをお勧めします。ドライブIDを間違えて間違ったドライブを消去してしまう可能性もあるからですが、Appleが以下の強い警告文を掲載しているからです。
注:この種のセキュア消去はもはや安全とはみなされていません。最新のデバイスには、ウェアレベリング、ブロックスペアリング、そして永続的なキャッシュハードウェアが搭載されており、コマンドでは完全に消去できません。データを迅速かつ安全に消去するための最新のソリューションは暗号化です。強力に暗号化されたデータは、キー(パスワード)を破壊(または紛失)することで瞬時に「消去」できます。これは、実質的にデータの回復を不可能にするためです。APFS暗号化(FileVault)の使用を検討してください。
暗号化については次に説明しますが、デバイス全体をデータで埋め尽くすような巨大なファイルを作成する方法があるのではないかと疑問に思う方もいらっしゃるかもdiskutil secureEraseしれません。残念ながら、これは を使用するのとほぼ同じなので、ほとんどのデータは消去されるかもしれませんが、ガベージコレクションで何が起こるかは予測できません。時間の無駄です。
ドライブを暗号化して消去する
この問題の真の解決策は暗号化です。理想的なシナリオは、ドライブを操作する前に暗号化を有効にし、ドライブに書き込まれるすべてのデータが暗号化されるようにすることです。その後、ドライブを消去すると、ディレクトリと共に暗号化キーが破壊されるため、たとえDriveSaversや政府機関レベルの誰かがドライブのブロックに分散されたデータを抽出できたとしても、データは読み取れなくなります。
これを行う方法は、Mac の起動ドライブを暗号化するのか、外付けドライブを暗号化するのかによって異なります。
これらすべてを行う前に、いくつかの事実を念頭に置いておく価値があります。
- Apple Silicon搭載のMac、またはT2チップ搭載のIntelベースMacをお使いの場合は、FileVaultのオン/オフを素早く簡単に切り替えることができます。その場合、ドライブ上のデータは既に暗号化されていますが、データの復号にパスワードは必要ありません。この暗号化により、フラッシュメモリをロジックボードから取り外して復号することはできなくなりますが、理論上はMacにアクセスできる人なら誰でもデータにアクセスできる可能性があります。FileVaultを有効にすると、ドライブの復号にアカウントのパスワードが必要になります。
- 古いMac、特にハードドライブ搭載のMacでFileVaultを有効にすると、鍵を自分で管理できるものに変更するだけでなく、すべてのデータを暗号化する必要があるため、長い時間がかかります。そのため、ドライブを安全に消去するためだけに暗号化を有効にする場合は、暗号化が完了するまで待ってから消去してください。「セキュリティとプライバシー」環境設定パネルのFileVault画面にステータスが表示されます。
- Macの起動ドライブを暗号化し、Time Machineでバックアップしている場合は、Time Machineのバックアップドライブも必ず暗号化してください。外付けドライブにバックアップする場合も同様です。
- 外付けドライブ、特に大量のデータを含むハードドライブ上のデータの暗号化には、時間がかかる場合があります。
- FileVault を有効にしたり、データを書き込んだ後に外付けドライブを暗号化したりした場合、消去済みのブロック上のデータの脆弱性については疑問が残ります。暗号化によって現在のデータへのアクセスは防止されますが、消去済みのブロックに、高度な技術を持つ攻撃者であれば抽出可能なデータが残っているかどうかはわかりません。Apple Silicon 搭載の Mac や T2 対応の Mac をお持ちであれば、データは常に暗号化されているので心配はいりません。消去済みのデータの一部にはアクセスできるかもしれませんが、それをまとめて復号化するのはほぼ不可能でしょう。以前に消去したデータを後から暗号化した外付けドライブに保存している場合は少し心配ですが、アクセスするには諜報機関レベルの作業が必要になります。それほど重要なターゲットであれば、Mac や外付けドライブで何かを行う前に暗号化を有効にしておくべきです。
Mac を廃棄するときは、システム環境設定を開き、システム環境設定メニューから「すべてのコンテンツと設定を消去」を選択して、暗号化キーを破棄できます。
外付けドライブの場合は、他のドライブと同様にディスクユーティリティで消去してください。暗号化されたデータは暗号化キーが破壊されるとすぐにランダムビットになるため、セキュリティオプションについて心配する必要はありません。
簡単に言うと、ドライブの安全な消去について心配になる可能性があるなら、ドライブを使い始めたらすぐに暗号化するのがベストです。まだFileVaultを有効にしていない、またはドライブを暗号化していない場合は、次に良いタイミングは「今すぐ」です。