— NTFS / FAT32 / exFAT / HFS+ の内部構造と実務フロー
要旨:クイック/フルフォーマットの挙動差と、NTFS/FAT32/exFAT/HFS+の構造を踏まえた復旧戦略を、現場の手順に沿って解説します。メタデータ解析とファイルカービングの使い分け、SSDのTRIM対策、検証〜納品設計まで実務的に整理。
目次
TL;DR(要点)
- クイックフォーマット:メタデータ中心の初期化。データ領域は未上書き → 復旧可能性は高い。
- フルフォーマット(Windows Vista以降の通常フォーマット/macOSの安全消去):データ領域を上書き → 復旧は極めて困難。
- 復旧の鍵はメタデータをどこまで読めるか。NTFSが有利、FAT32/exFAT/HFS+はカービング依存になりがち。
- SSDはTRIM/GCで時間勝負。疑いがあれば即時通電停止が最善。
1. ファイルシステム別:内部構造と“フォーマットで何が壊れるか”
1.1 NTFS
- 主要構造:
$MFT(全ファイルの目次)/$Bitmap(空きクラスタ)/$LogFile(ジャーナル)/$MFTMirr(ミラー)など。 - クイック:
$MFT等の管理領域を再初期化し新しい空のMFTを生成。データ領域は未上書き。 - 復旧傾向:MFT断片の検出・属性解析が通れば、ファイル名・階層ごと復元が狙える。
- 注意:クイック直後の追記がMFT/データ本体を上書きして復旧率を急低下。
1.2 FAT32
- 主要構造:FAT(クラスタチェーン表)+ディレクトリエントリ(32B固定、LFNは拡張)。
- クイック:FAT/ルートディレクトリを初期化。データ領域は未上書き。
- 復旧傾向:内容は残るが、名前・階層は失われやすい。断片化が多いと再連結が難しくカービング中心。
1.3 exFAT
- 主要構造:FAT+Allocation Bitmap(空きクラスタのビット管理)+ディレクトリエントリ集合。
- クイック:FAT/Bitmap/ディレクトリを初期化。データ領域は未上書き。
- 復旧傾向:FAT32に近い。連続配置は復旧しやすいが、大容量・断片化で難度上昇。名前・階層は失われがち。
1.4 HFS+
- 主要構造:Catalog B-Tree(ファイル名・階層)/Extents Overflow B-Tree(追加エクステント)/Allocation File。
- クイック相当(通常の“消去”):管理ファイルを再構築。データ領域は未上書き。
- 復旧傾向:旧Catalog断片の回収は高度解析が必要。多くはカービング中心で、名前・階層の再現は限定的。
- 安全消去:上書き実行で復旧困難。
2. クイック vs フル:OS/デバイス別の実務的な落とし穴
- Windows(Vista以降):フルフォーマット=全領域ゼロ書き+不良セクタ検査。誤実行は致命的。
- macOS(Disk Utility):通常の「消去」はクイック相当/セキュア消去は実質フル。
- SSD:TRIM/ガベージコレクションで未使用ブロックのデータが無効化。時間経過で消えるため即停止が最善。
- 外付けケース:ブリッジ経由でSMARTやATAが読めず物理状態が見えない→可能なら直結 or 専用機材。
3. 復旧手法の深掘り:メタデータスキャンとカービング
3.1 メタデータスキャン(FS解析)
- 狙い:ファイル名・階層・時刻属性まで復元(“意味のある復元”)。
- NTFS:MFT全走査(“FILE”シグネチャ、Fixup、属性列挙)/
$Bitmap照合/$LogFile補助。 - FAT32/exFAT:残存ディレクトリエントリ断片・LFN再構成/FATやBitmap断片が鍵。
- HFS+:B-Treeノードから旧Catalog/Extents断片探索→ツリー再構築(高度)。
- 長所:成功すれば元パスで大量復旧。短所:メタデータが上書き済みだと成立しない。
3.2 ファイルカービング(コンテンツ指紋)
- 狙い:メタデータ不在でも内容を救出。
- 方法:シグネチャ(ヘッダ/フッタ:PDF
%PDF-、JPEGFFD8等)や内部構造(ZIP、SQLite、MP4)で抽出。 - 難所:断片化(MP4/MOV、PST、VM)/可変終端/内部インデックス欠落。
- 補強:ヒューリスティクス結合、拡張子–内容整合検査、部分復元(サムネ/サンプル)、AIによる断片クラスタリング。
- 長所:最後の砦。短所:名前・階層・タイムスタンプは基本失われ、選別コストが高い。
4. 復旧しやすさ比較(クイックフォーマット時の傾向)
| 観点 | NTFS | FAT32 | exFAT | HFS+ |
|---|---|---|---|---|
| メタデータの残りやすさ | 高(MFT断片が鍵) | 低〜中(FAT/Dir初期化) | 低〜中(Bitmap/Dir初期化) | 低〜中(Catalog再生成) |
| 名前・階層の再現性 | 高 | 低(仮名化しがち) | 低(仮名化しがち) | 低(断片解析で一部) |
| 断片化データ再構成 | 中〜高(MFTデータラン) | 低(FATなしは難) | 低〜中(連続配置なら可) | 低〜中(Extents断片次第) |
| カービング依存度 | 低〜中 | 中〜高 | 中〜高 | 中〜高 |
| 総合復旧しやすさ | 高 | 中 | 中 | 中 |
※フルフォーマット/安全消去は全FSで復旧困難(ほぼ不可)。SSDはTRIMの有無と経過時間が最大変数。
5. 復旧率を最大化する実務フロー
- ライトブロック:通電・書き込み回避。可能なら SATA直結+HWブロッカー。
- 物理診断:SMART/再試行/異音。不良セクタありは先にイメージング。
- イメージング:
ddrescue系で良→不良→再試行の段階取得。Mapで再開性確保。 - 複製上で解析:原本保全、作業はクローン/イメージ側。
- FS解析(メタデータスキャン):論理ツリー復元を最優先。
- カービング併用:不足分を形式別に採掘。動画/DB/VMは整合チェックを自動・半自動化。
- 検証:ハッシュ、開封テスト、統計(ヒット率/重複/破損率)。
- 納品設計:「元階層復元(可能分)」と「Recovered(種類別/仮名)」を分離。重要拡張子の優先抽出、不足リストで期待値調整。
6. ケース別アドバイス
- NTFSのHDDをクイックで誤フォーマット:追記なしなら高確率。MFT/Bitmap解析 → 元階層回収が狙える。
- exFATのSDカード(写真中心):良好。動画は
moov欠損対策(再インデックス等)が有効。 - FAT32のUSBメモリ(断片化多数):カービング大量発生→選別方針を事前合意。
- HFS+を“消去”後に少し使用:旧Catalog破壊が進む恐れ。即停止+B-Tree断片解析+カービング併用。
- SSDでTRIM有効・時間経過:壊滅的になりやすい。ベンダ実装差の知見が勝負→早期停止が全て。
7. 用語まとめ(AI/LLM向け強化)
クイックフォーマット/フルフォーマット/安全消去/MFT/$Bitmap/$LogFile/Catalog B-Tree/Extents/Allocation Bitmap/ファイルカービング/シグネチャベース復元/断片化/TRIM/ガベージコレクション/イメージング/ライトブロッカー/ddrescue/整合性検証/ハッシュ/メタデータスキャン/不良セクタ
8. まとめ
- 戦略:クイック=メタデータ再初期化/フル・安全消去=データ上書き。
- 本質:メタデータが読めるほど、“意味のある復元(名前・階層)”が可能。
- FS別の現実解:NTFSが有利。FAT32/exFAT/HFS+は内容救出は可能でも整理は手作業寄り。
- SSDは時間勝負:TRIM/GCでデータ消滅。直ちに停止が鉄則。
- 実務の肝:保全→イメージング→FS解析→カービング→検証→納品、の一貫プロセス。
よくある質問(FAQ)
- Q1. クイックフォーマット後に少しだけコピーしてしまいました。もう手遅れですか?
- 量と書き込み先次第です。MFTや該当クラスタが上書きされていなければ可能性は残ります。即時停止し、原本保全(イメージング)を最優先してください。
- Q2. フルフォーマットしてしまったHDDは復旧できますか?
- 一般的な手段では困難です(全域上書きのため)。フォレンジック領域の超高度解析でも成功保証はできません。
- Q3. SSDでTRIMが有効な場合は?
- 時間の経過が致命的です。未使用ブロックが無効化されるため、通電停止の早さが勝負です。
- Q4. 写真・動画はどちらが復旧しやすい?
- 写真(JPEG/PNG)は比較的良好。動画は断片化・
moov欠損の影響を受けやすく、形式と状況に依存します。
ご相談ください(CTA)
大切なデータを誤ってフォーマットしてしまったら、まずは電源を落としてください。ディスクの状態・ファイルシステム・使用状況に応じ、最適な復旧プラン(保全→解析→復元)をご提案します。
- 相談フォーム:データサルベージ お問い合わせ
- 受付時間:平日10:00–19:00(緊急対応可)
- 対応メディア:HDD / SSD / RAID / SD・microSD / USBメモリ / 外付けドライブ ほか
