Page History

消去に成功した後、Blancco Drive Verifierやバイナリエディタ、ディスクエディタ (たとえば、Blancco Drive EraserのHexビューア) を使用したドライブの検証でドライブに予期しないパターンがみつかることがあります。たとえば、非ゼロパターンあるいはランダムなデータです。それにはいくつかの理由が考えられます。

1. 一部の消去規格には、ドライブ全体にランダムデータを書き込む非周期的ランダムまたは周期的/擬似ランダムの上書きステップが含まれます。一部の規格には、ファームウェアベースの消去ステップが含まれており、これらのステップの実行と結果は、完全にドライブのファームウェアに依存しています。一部のドライブは、ファームウェアベースの消去中に非ゼロパターンまたは非周期 (ランダム) データを書き込みます。
   • 使用された消去規格を消去レポートから確認してください。
   • Drive Eraserユーザーマニュアルに記載されている、消去規格と実行ステップの一覧を参照してください。
     
   • たとえば、Seagate ST1000LM035-1RK172 1TB SATA HDDはNIST 800-88 Purge規格の場合に、「33 CC 55 AA」のパターンを繰り返して書き込むことが知られています。消去規格はNIST指定のファームウェア消去コマンドを呼び出しますが、このコマンドが特別なパターンの原因となっています。ファームウェアベース消去コマンドの実行はソフトウェアの制御外であり、ドライブのファームウェアの動作に依存します。
     
2. 消去プロセスがフィンガープリントをドライブに書き込んだかどうかを確認します。フィンガープリントは消去レポートの要約でドライブのセクターの１つ (デフォルトではセクター200) に書き込まれます。
   • この機能が有効化されていたかどうかは、消去に使用したイメージを Blancco Drive Eraser Configuration Toolにロードし、問題の設定が有効になっているかを確認します。
   • デフォルトでは、フィンガープリントはセクター200に書き込まれ、スペースとセミコロンで区切られた次のデータが含まれています。
     • Blanccoソフトウェアのライセンス所有者/顧客名
     • 消去完了日時

In some occasions, a verification of a drive using a hex/disk editor (for example the Blancco Drive Eraser / Blancco 5 Hex Viewer), after a successful erasure, shows that there are unexpected patterns on the drive. For example a non-zero pattern or random data. There can be several reasons for that:

1. Some erasure standards include aperiodic random or periodic/pseudo-random overwriting steps that write random data throughout the whole drive. Some standards include firmware based erasure steps and the execution and result of those steps depend purely on drive firmware. Some drives write a non-zero pattern or non-periodic (random) data during firmware-based erasure.
   • Check the used erasure standard from the erasure report.
   • See the list of erasure standards and the execution steps from the Drive Eraser user manual.
     
   • For example, Seagate ST1000LM035-1RK172 1TB SATA HDD is known to write a repeating '33 CC 55 AA' pattern with NIST 800-88 Purge standard. The erasure method calls a NIST specified firmware erasure command which triggers the special pattern. The execution of the firmware based erasure command is out of software's control and it depends on how the drive firmware works.
     
2. Check if the erasure process has written a Fingerprint onto the drive. The Fingerprint is a summary of the erasure report that is written in one of the sectors (sector 200 by default) of the drive.
   • To check if you had this feature on, you can load the image (used for the erasure) in Blancco Drive Eraser / Blancco 5 Configuration Tool and check if the setting in question is enabled or not.
   • By default, the Fingerprint is written on sector 200, and it contains following data separated by spaces and semicolons:
     • Blancco software license owner / customer name
     • Date & time of wipe finish (yyyy-mm-dd hh:mm)
     • Blancco software version
     • Hard drive serial number
     • Erasure status (Erased, Erased with exceptions or Not Erased)
     • Unique report ID
     • Digital signature
   • For more information about the Fingerprint*, see the Drive Eraser user manual.
     
3. Check if the erasure process has written a Bootable Asset Report onto the drive. The Bootable Asset Report is a short asset report visible as a splash screen when the machine is rebooted.
   • The Bootable Asset Report information is typically written on sectors 0 and 2-53 or 2-130 of the drive, depending on the size of the report information.
     • Sector 0 (MBR) contains the partition table information and Blancco's "tool" to read the Asset Report image file when the computer starts.
     • Sectors 2-130 contain the image file for the Bootable Asset Report. This image file data typically looks "random".
       
   • To check if you had this feature on, you can either boot the machine/drive without any CD/USB/PXE (the Bootable Asset Report should be displayed) or load the image (used for the erasure) in Blancco Drive Eraser / Blancco 5 Configuration Tool and check if the setting in question is enabled or not
   • For more information about the Bootable Asset Report*, see the Drive Eraser user manual.
     
4. In server environments, some RAID controllers write metadata onto the drive after the erasure has complete. This can also cause verification failures (more information in this article).
5. Check if the erasure has (or has not) erased the remapped sectors and/or the hidden areas of the drive. If these sectors have not been erased, some tools may find some data there.
   • Check the erasure report for more information.
6. Check if the erasure has been a full erasure or a partial one. Partial erasures are possible in case the software is configured to automatically preserve Windows recovery partitions or in case the user has erased individual drive partitions only. Check the erasure report for more information, a partial erasure is accompanied with a disclaimer.
7. Some 3rd party software used to audit erased drives (or attempt to recover data from them) can write data in it during its validation process, especially if such tools restore the file system (e.g. NTFS) of the drive (via formatting).  If such tools are used for erasure validation or recovery, please be aware of the data that can be left.
   

If you are still unsure about the erasure result, please contact the Technical Support team. Make sure that you include, at least, the erasure report in XML format and detailed information description of the case (issue report is also helpful/necessary in many cases).

1. • • Blanccoソフトウェアバージョン
     • ドライブのシリアル番号
     • 消去の状態 (消去済み、消去済み (例外あり) 、あるいは未消去)
     • 固有のレポートID
     • 電子署名
   • フィンガープリント*の詳細については、Drive Eraser ユーザーマニュアルを参照してください。
     
2. 消去プロセスがブータブルアセットレポート (起動可能な資産レポート) をドライブに書き込んだかどうかを確認します。ブータブルアセットレポートは、マシンを再起動するとスプラッシュ画面として表示される小さなアセットレポートです。
   • ブータブルアセットレポートの情報は、通常、レポート情報のサイズによって、ドライブのセクター0と2～53あるいは2～130に書き込まれます。
     • セクター0 (MBR)  にはパーティションテーブル情報とコンピューターの起動時にアセットレポートのイメージファイルを読み取るためのBlanccoの「ツール」が含まれています。
     • セクター2-130にはブータブルアセットレポートのイメージファイルが含まれます。このイメージファイルのデータは通常「ランダム」に見えます。 
       
   • この機能が有効化されているかどうか確認するには、CD/USB/PXEなしにマシン/ドライブを起動する (ブータブルアセットレポートが表示される) 、あるいは消去に使用したイメージをBlancco Drive Eraser Configuration Toolにロードして、問題の設定が有効化されているかどうかを確認します。
   • ブータブルアセットレポート*の詳細については、Drive Eraser ユーザーマニュアルを参照してください。
     

   • 特定のファームウェアリビジョン (M3CR023) を持つ特定のATA SSDモデル (CT1000MX500SSD1) でのみ次の事象が確認されています。消去の一環としてBDEがドライブにファームウェアベースの消去コマンドを実行すると、データがゼロになります。この時点ではドライブ全体にゼロが書き込まれた状態であるため、BDEによるベリファイ処理 (ドライブの内容を読み取って確認する処理) も成功します。ただし、最初の書き込み試行 (フィンガープリント情報などの書き込み) の後にドライブ全体がランダムなデータに変化します。この段階でベリファイを行うと、ドライブ上でランダムなデータが見つかるため、失敗します。この事象は非常にまれですが発生する事可能性があります。

3. サーバー環境の場合、RAIDコントローラーの中には、消去が完了した後にメタデータをドライブに書き込こむものがあります。これも検証エラーの原因になる可能性があります (詳細についてはこの記事を参照してください) 。
4. 消去済みドライブのフォーマット処理を行ったかどうか確認してください。なぜなら、Blancco Drive Eraserにはデータ消去後にドライブをexFATまたはFAT32、NTFSファイルシステムにフォーマットする機能もあるからです。フォーマットを実行した場合はファイルシステム関連のデータが書き込まれるため、その後のベリファイが失敗する要因になります。
5. リマップセクターおよびドライブの隠し領域が消去されているかどうかを確認します。これらのセクターが消去されていない場合、ツールによってはそこにいくつかのデータが見つかることがあります。
   • 消去レポートで詳細を確認してください。
6. 消去が完全な消去または部分的な消去かどうかを確認します。ソフトウェアがWindowsのリカバリパーティションを自動的に保存するように設定されている場合、あるいはユーザーが個々のドライブパーティションのみを消去する場合は、部分的な消去が可能です。消去レポートで詳細を確認してください。部分的な消去には免責事項が付記されています。
7. 消去されたドライブを監査する (または消去したドライブからデータを復元しようとする) ために使用されるサードパーティ製ソフトウェアの中には、ベリファイの処理中にデータを書き込むことができるものがあります。特に、そのようなツールがドライブのファイルシステム (例：NTFS) を、フォーマットして復元する場合にはその可能性があります。このようなツールを消去の検証またはリカバリに使用する場合には、データが残されている可能性に注意してください。
   

解決策

1の場合 (ファームウェアベースの消去コマンド):

　回避策: 通常の上書きを行う消去規格を指定するかまたは、指定した消去規格が0x00以外の固定のパターンを書き込むことを確認する。

2の場合 (フィンガープリント):

　回避策:フィンガープリントを無効にする。この設定変更により消去後の書き込み操作は実行されず、ディスクはゼロ状態のままになり、サードパーティツールによる検証も合格します。

それでもまだ消去結果について不明点がある場合には、 テクニカルサポート部門にお問い合わせください。お問い合わせには少なくとも、XML形式の消去レポートと問題の詳細情報の説明を含めるようにしてください (多くの場合、不具合レポートも必要です) 。

* 注意: Blancco Drive Eraserは、消去済みで、もうどのようなデータも含まれていないドライブに対してこの情報を書き込みます。データがドライブに書き込まれる場合、少量で書き込むことはできません。書き込まれる最小単位は、ドライブの1セクター (通常512または4096バイト) です。そして、ドライブ (特にSSD) は、この情報を「ページ」単位つまり16KBまたは64KB分の複数のセクターを単位に書き込む可能性があります。この場合、Blancco Drive Eraserがドライブにレポートまたはフィンガープリントを書き込む処理によって多くの隣接セクターにも書き込みが発生します。内部的には、ドライブはこれらのセクターをたとえば0xB5のパターンのような何らかのデータで埋める必要があるため、ブータブルアセットレポートまたはフィンガープリントセクターに連続した一部のセクターに予期しないパターンが含まれていても驚くことではありません (パターンはドライブのコントローラーに完全に依存します) 。ドライブの動作を確認するには、ブータブルアセットレポート、あるいはフィンガープリントを有効にしたBlancco Drive Eraserで消去を実行し、隣接するセクターのパターンを確認します。次に、ブータブルアセットレポートとフィンガープリントを無効化してから新規に消去を実行し、確認します。すると隣接セクターには選択した消去規格に対応したパターンが含まれているはずです。* Note: Whenever Blancco Drive Eraser / Blancco 5 writes this information, it does it on a drive that has been erased and that does not contain any data anymore. When data is written in a drive, it cannot be written in small amounts: the minimum amount that is written is a sector of the drive (usually 512 or 4096 bytes). Then, the drive (especially SSDs) can put this information within a page (usually 16KB or 64KB in size i.e. several sectors) which is the one written in the end. So, when Blancco Drive Eraser writes a Bootable Asset Report or a Fingerprint in a drive, many adjacent sectors can also be written during the operation: internally, the drive has to fill those sectors with something (e.g. the pattern 0xB5). Therefore it should not be a surprise if some sectors contiguous to the Bootable Asset Report or a Fingerprint sector(s) contain some unexpected patterns (patterns that depend entirely on the drive controller). In order to check how the drive behaves, run a Blancco Drive Eraser erasure with the Bootable Asset Report or the Fingerprint enabled and check the patterns of the adjacent sectors. Then, run a new erasure with the Bootable Asset Report and the Fingerprint disabled: those adjacent sectors should contain this time the patterns corresponding to your chosen erasure standard.