パソコンの削除データー等を完全抹消する Windows標準の cipher(サイファー)

 Internet Explorer(IE11)で Tascal PCサポート情報さんのフィードを受信登録している。その 2018-06-15 の記事。

  • 人に譲るためなどの時、パソコンの削除データー等を完全抹消する
     お客様や知り合いにたまに相談を受けるのがこれです。
     パソコン買い換えて、今まで使っていたパソコンを人に譲ることになったのですが、パソコンのデータって、ゴミ箱を空にしても再セットアップしても残っているのですよね?
    それを消して欲しいのですが・・・・
     パソコンのデーターやプログラムは、実際削除しても、ゴミ箱を空にしても“OSからは見えないようにしているだけ”で、おっしゃるとおり残っています。
     どうしても見られては困るデーターなどがあるPCを他人に譲ったり下取りに出したいときはデーター抹消ソフトが必要になってきます。ですが、ソフトを購入するための費用がかかる上に、ハードディスクを完全抹消すると、ソフトによってはリカバリー領域まで完全消去してしまい、OSまでも完全に消えてしまうものもあります。それでは人には譲れませんよね・・・・

     ということで、手っ取り早くなおかつ費用がかからないWindowsパソコンの、データー消去方法をご案内致します。
     全てのセクターに書き込みを3回行いますので、軽く2〜3時間はかかります。
    手順の要旨は、
    1. リカバリーする。
       パーテーションを分けている場合は「簡易フォーマット」する。
    2. コマンドプロンプトを管理権限で起動する。
    3. コマンド:cipher(スペース)/w:「ドライブ」:
      ハードディスクの空き容量部分に3回ランダムな書き込みを行い、その結果としてハードディスクの空き部分の隠れデーターを完全抹消させる
      • Cドライブの場合は cipher /w:c:
      • Dドライブの場合は cipher /w:d:
    4. 終了後、一時保存フォルダー「EFSTMPWP」を削除する。
      • ドライブ直下にあるようだ...
      • 空フォルダーなので、無視してもOK。


 更に “cipher” でググって‥‥

  • goo辞書で意味・発音を知る。

  • Windowsでディスクの内容を完全に消去する(@IT 2011年06月27日)
     ディスクを破棄したり、譲渡したりする場合には、あらかじめディスクの内容を消去しておかないと情報が漏えいする危険性がある。ファイルをごみ箱に捨てても、インデックスが削除されるだけで、データ本体を消去するわけではない。そのためファイルを復活させることもできる。データを完全に消去するためには、ディスク全体に渡ってデータを完全に上書きする必要がある。このためには cipher /wコマンドを実行すればよい。
    注意
    • 空き領域だけしかワイプできない――これはその動作原理を考えれば当然だが、現在OSシステムが入っているパーティションを完全に消去したいというような用途では使いにくいし(別システムにディスクを接続して操作したりしなければならない)、ユーザー・プロファイルだけを全部削除する、といったことはできない。
    • NTFSのみが対象――ファイルを作成してデータを書き込むというコマンドなので、必ずNTFSパーティションを用意しなければならない。パーティションを切っていないディスクを直接消去できない。
    • FATパーティションは原則利用できない――FATファイル・システム上で実行すると、作成できるファイル・サイズが4Gbytesまでなので(「TIPS―ファイル・システムの制限(2G/4GBytes超のファイルに注意)」参照)、4Gbytes以上の領域を消去することができない。4Gbytes以上のFATパーティションでも単に1つしかファイルを作成してくれず、しかもこのことについて一切警告をしてくれない。そのため、一見すると正常終了したように見えるが、実は4Gbytes分しか消去されていない。素早く終了した場合は、問題がないかどうかをよく確認する必要がある。
    • 消去の確認は不可能――完全に消去されたかどうかを確認する方法が提供されていないので、ほんとうに消去されたかどうかを確実に知る方法はない(ディスクの内容を直接ダンプするコマンドなどを使えば可能だが)。どのくらいの時間で終わったかなども報告してくれないので、やや不安が残るかもしれない。


 以前、「ノートパソコンのプラッターを取り出せた これで安心してリサイクルに出せる」で使ったフリーソフトDisk FreeSpace Cleaner」の原型のようだ。

どちらも「消去の確認」は出来ないので、譲渡するのであれば信頼できる人に、廃棄するのであればプラッターの取り出しが一番安全であろう。



 試しに cipher のヘルプを表示してみた‥‥ ら、読み切れなかった。


c:\>cipher /?
NTFS パーティション上のディレクトリ [ファイル] の暗号化を表示または変更します。
CIPHER [/E | /D | /C]
[/S:ディレクトリ] [/B] [/H] [パス名 [...]]
CIPHER /K [/ECC:256|384|521]
CIPHER /R:ファイル名 [/SMARTCARD] [/ECC:256|384|521]
CIPHER /P:ファイル名.cer
CIPHER /U [/N]
CIPHER /W:ディレクト
CIPHER /X[:EFS ファイル] [ファイル名]
CIPHER /Y
CIPHER /ADDUSER [/CERTHASH:ハッシュ | /CERTFILE:ファイル名 | /USER:ユーザー名]
[/S:ディレクトリ] [/B] [/H] [パス名 [...]]
CIPHER /FLUSHCACHE [/SERVER:サーバー名]
CIPHER /REMOVEUSER /CERTHASH:ハッシュ
[/S:ディレクトリ] [/B] [/H] [パス名 [...]]
CIPHER /REKEY [パス名 [...]]

/B エラーが発生した場合に中断します。既定では、CIPHER は
エラーが発生しても実行を続行します。
/C 暗号化されたファイルに関する情報を表示します。
/D 指定されたファイルまたはディレクトリの暗号化を解除します。
/E 指定されたファイルまたはディレクトリを暗号化します。後で追加
されたファイルが暗号化されるようにディレクトリをマークします。
ディレクトリが暗号化されていない場合、暗号化されたファイルは、
変更されるときに暗号化を解除されます。ファイルおよび親
ディレクトリを暗号化することをお勧めします。
/H 隠しファイルやシステム属性のファイルを表示します。既定では
これらのファイルは省略されます。
/K EFS で使用するための新しい証明書およびキーを作成します。この
オプションを指定すると、その他のオプションはすべて無視されます。

注意: 既定では、/K によって現在のグループ ポリシーに準拠する
証明書とキーが作成されます。ECC が指定されている場合、
指定のキー サイズによる自己署名証明書が作成されます。

/N このオプションは /U を指定した場合にのみ動作します。
このオプションにより、キーが更新されなくなります。ローカル
ドライブ上のすべての暗号化ファイルを探すために使用されます。
/R EFS 回復キーと証明書を作成してから、それらを .PFX ファイル
(証明書と秘密キー) と .CER ファイル (証明書のみ) に
書き込みます。管理者は、ユーザーの回復キーを作成するために
.CER の内容を EFS 回復ポリシーに追加し、個々のファイルを
回復するために .PFX ファイルをインポートすることができます。
SMARTCARD が指定されている場合は、
回復キーと証明書をスマート カードに書き込みます。
.CER ファイルが生成されます (証明書のみ)。
.PFX ファイルは生成されません。

注意: 既定では、/R は 2048 ビット RSA 回復キーと証明書を作成
します。ECC が指定されている場合、その後にキー サイズ
256、384 または 521 が指定されている必要があります。

/P 渡された証明書から、base64エンコードされた回復ポリシー
BLOB を作成します。この BLOB は、MDM 展開用の DRA ポリシーを
設定するために使用できます。
/S 指定されたディレクトリと、その下にあるすべてのファイルと
サブディレクトリに対して指定された操作を実行します。
/U ローカル ドライブのすべての暗号化ファイルを参照しようとします。
これにより、現在のユーザーのファイル暗号化キー、または回復キーに
変更があった場合、これらが更新されます。このオプションは
/N 以外の他のオプションでは動作しません。
/W ボリューム全体で利用可能な未使用のディスク領域から、データを削除し
ます。このオプションを選ぶと他のオプションはすべて無視されます。
ローカル ボリュームのどの場所にあるディレクトリでも指定できます。
ディレクトリがマウント ポイントである場合、または別のボリュームの
ディレクトリを指し示す場合は、そのボリュームのデータが削除されます。
/X EFS 証明書とキーのバックアップを、指定された名前のファイルに
保存します。EFS ファイルが指定されている場合は、ファイルの暗号化
に使用されている現在のユーザーの証明書のバックアップが作成され
ます。指定されていない場合は、ユーザーの現在の EFS 証明書と
キーのバックアップが作成されます。ローカル PC 上の現在の EFS 証明書の拇印を表示します。
/Y ローカル PC 上の現在の EFS 証明書の拇印を表示します。
/ADDUSER 指定された暗号化ファイルにユーザーを追加します。CERTHASH が指定
されている場合は、この SHA1 ハッシュを含む証明書が検索されます。
CERTFILE が指定されている場合は、ファイルから証明書が抽出
されます。USER が指定されている場合、CIPHER は Active Directory
ドメイン サービス内でユーザー証明書を検索します。
/FLUSHCACHE
指定されたサーバー上で、呼び出し元ユーザーの EFS キーのキャッシュ
をクリアします。サーバー名が指定されていない場合は、ローカル
コンピューター上の呼び出し元ユーザーのキー キャッシュがクリアされます。
/REKEY 指定した暗号化ファイルを、構成済みの EFS の現在のキーを使用する
ように更新します。
/REMOVEUSER
指定されたファイルからユーザーを削除します。CERTHASH
は削除する証明書の SHA1 ハッシュである必要があります。

ディレクトディレクトリのパスです。
ファイル名 拡張子を伴わないファイル名です。
パス名 パターン、ファイル、またはディレクトリを指定します。
EFS ファイル 暗号化されたファイルのパスです。

パラメーターを指定せずに CIPHER を実行すると、現在のディレクトリとディレク
トリに含まれるすべてのファイルの暗号化状態を表示します。複数のディレクト
名やワイルドカードを指定できます。複数のパラメーターはスペースで区切ります。