やってはいけない データ復元クエスト その1
本稿では、誰かの使用済みで中身が空の記憶メディアを復元し、その来歴をどこまで突き止めることができるか、挑戦してみたいと思います。
今回のお宝は?
中古で入手した東芝製16MBのminiSDカード(miniSD)です。miniSDは、2003年(平成15年)3月にサンディスクが発表し、2007年頃、携帯電話などを中心にもっともよく使用されました。2008年以降、急速にmicroSDカードに取って代わられていきます。幅が20mm、奥行きが21.5mm、下の写真がその形状です。
miniSDにアクセスするには
miniSDに対応したカードリーダでアクセスします。
デスクトップPCであれば、下の写真のようなカードリーダがマウントされていて、「mini」の表示があればminiSDカードにアクセスできます。
PCにminiSD対応スロットがない場合は、外付けのカードリーダを接続します。本稿では、「エレコム MR-A003」を使用しました。ジャンクショップで110円でした。はたして正常に動作するのでしょうか?
スロット(写真左上)の上端左側に、miniSDカードの端子面を上にして合わせて差し込みます。これは内臓型のカードリーダも同じです。
カードを挿入すると、Hドライブとして認識されました。
miniSDの中身は当然空ですが、ここからデータ復旧を試みます。
データ復元の試行結果
復元ツール「Recuva」を使用し、結果、59ファイルの復元に成功しました。
このように、ツールを使用することによってファイルがある程度復元できることがわかります。記憶メディアのファイルを削除しただけでは、ほぼ確実に復元できてしまいます。そのため、記憶媒体を手放す際は最低でもフォーマットしておくべきです。できれば壊してしまうか、復元を極めて困難にする専用のツールでメディアを初期化することをお勧めします。
ここで注意です
本稿では、ショップで購入した中古の記録メディアの中身を復元しますが、本記事を参考に同様のことを試みることは全くお勧めできません。メディアには過去危険なウイルスやマルウェアが入っていた可能性があり、それを復元してしまう可能性があるからです。元のオーナーが気付かないまま、ウイルスがひそかに潜伏している可能性があるのです。
データをクエストしてみる
何に使用されたメディアなのか
復元されたファイルを一覧したものが、以下の表です。
# | 種類 | 個数 | ファイル名など |
---|---|---|---|
1 | TBL | 2 | _00NECDT.TBL |
2 | PIM | 1 | _IM_DATA.PIM |
3 | VMG | 4 | |
4 | VCF | 1 | |
5 | ー | 1 | IndexerVolumeGuid |
6 | dat | 1 | WPSettings.dat |
7 | JPG | 49 |
上記から、携帯電話に使用されたminiSDカードということがわかります。3のVMGは、携帯電話などで保存された電子メールのファイルに付く拡張子です。4のVCFは、連絡先などを名刺入れのようにして記録する標準データ形式の一つです。
ちなみに5と6のファイルは、Windowsが自動的に作成するファイルです。元のオーナがminiSDをWindowsにマウントした際にできたファイルでしょう。本来は隠しファイル属性で見ることができません。
機種を推測するには
表1の2のPIMをメモ帳で開いてみると、以下の文字列がありました。
2005-02-22T06:55:22+09:00 DoCoMo_N900i
上記により、NECの携帯電話「FOMA N900i」で使用されていた可能性が高いといえます。2005年のタイムスタンプも、この携帯がよく使われた時期と一致します。
連絡先を閲覧できるのか
拡張子VCFのファイルを調べます。前述の通り、連絡先が名刺のようにカード形式で記録されているファイルです。
VCFファイルは標準で決められた形式なので、ThunderbirdやOUTLOOKといったメールクライアントにインポートすることができます。
まず、Thunderbirdにインポートしてみたところ、エラーになって読み込むことができませんでした。
復元できたファイルであっても、完全に元通りになるとは限らないのです。
次に、Windowsアドレス帳での読み込みに挑戦してみます。エクスプローラ上のVCFファイルを右クリックし、[プログラムから開く]>[Windowsアドレス帳]をクリックします。
やはりエラーメッセージが表示されました。
ダメかと思いましたが、[OK]をクリックすると連絡先カードが表示されました。エラーにはなるものの、読み取れる情報は可能な限り読み込む親切仕様なのでしょう。
名前や電話番号、メールアドレスなどの個人情報が復元できてしまいました。
連絡先に登録されている個人情報は膨大な数でした。友達が多い人なのだと思います。このような個人情報が万一ネット上に拡散されたとしたら、と考えると本当にゾッとします。
携帯メールを読むには
メールの内容閲覧はWindowsの「メモ帳」で可能です。
はたして、VMGファイルをメモ帳で開いて読むことができました。絵文字はトーフに化けてしまいますが、読むのにたいした支障はありません。
メールの中身は詳しく書けませんが、つきあっている10代の男女のやりとりのようでした。
このように、データのオーナーのおよその年齢、性別、職業、住んでいる地域、生活の様子など見当がついてしまうところが、怖いところです。
メールヘッダの”Date:”行は以下の通りで、2004年頃のデータでした。
Date: Tue, 26 Oct 2004 00:34:00 +0900
メール本文はメールシステムの生い立ちからプレーンテキストで保存されることが多いため、非常に簡単に読めてしまうのです。
画像ファイルを閲覧するには
今回の復元で画像ファイルはすべて壊れており、フォトビューアで見ることができませんでした。
そこで、壊れた画像ファイルを修復する「Wondershare Repairit」というアプリを試してみました。結果、49ファイル中30ファイルの修復に成功しました。なお、このアプリで修復したファイルを保存するためには、有料版のライセンスを購入する必要があるため、ご注意ください。
さいごに
個人情報など、重要なデータが入っていた記録メディアは、何らかの方法で破砕し処分することが最も安全だと、つくづく考えさせられる結果でした。
ちなみに本稿で復元に使用したminiSDカードは、ハサミで裁断しました。もうデータはこの世に存在しません。
冒頭にも触れましたが、出所が不明の記録メディアを対象に、安易にデータ復旧を試すのはお勧めできません。ウイルス感染等のリスクがあるからです。