知って得するセキュリティのはなし その44
神奈川県庁の行政文書大量流出…転売されたHDDから復元される
1.このニュースをザックリ言うと
- 12月6日(日本時間)、納税等に関する大量の個人情報や秘密情報を含む神奈川県庁の行政文書を記録していたハードディスク(HDD)がインターネットオークション上で転売されていたと朝日新聞等で報じられました。
- HDDは県庁内のファイルサーバーで使われていたもので、当該サーバーを貸し出していたリース業者が、HDDを破壊あるいはデータを復元できない状態にして処分するよう別業者に委託していましたが、その委託先業者の従業員(のち窃盗罪で逮捕)により一部が持ち出され、出品された模様です。
- オークションへの出品が確認されたHDDは計18台で総容量にして54TBに上り、従業員によって簡単なフォーマットが行われたのみの状態であったとされ、うち9台(27TB分)の落札者により、削除されたデータが復元可能な状態にあったことが確認されています。
- その後、この従業員により、USBフラッシュメモリ等も含めた3,904個の記憶媒体(スマートフォン・タブレット等を合わせた情報機器全体では7,844個とされます)がオークションやフリマアプリで出品・転売されていたことが明らかになっています。
2.執筆者からの所感等
- 社員の内部犯行による機密情報の大量流出としては、2014年のベネッセの事件をはじめとして、2018年に日経新聞社社員がPCを分解しHDDを抜き取って持ち出したケース(AUS便り 2018/7/9号参照)等も挙げられます。
- 以後の報道において、前述したHDDの破壊あるいはデータ完全消去や、その過程の公開または第三者による結果の証明、および未処理のHDDを内部の人間が持ち出すような行為の防止等が適切に行われていなかった可能性等が指摘されており、例えば業者への委託ではなくユーザー企業側でHDDを廃棄することが推奨される流れとなることも考えられます。
- データ流出対策としてよく挙げられる「HDDのデータ領域ないし全体の暗号化」は、ダウンロードしたデータが狙われる可能性を考慮するとクライアントPC側で是非とも導入されるべきである一方、今回のようなケースを回避する目的で、また通常は個々のPCに追加でソフトウェアを導入する必要がないことからも、ファイルサーバー側からの導入の検討も有用であるものと思われます(いずれにせよ運用上見過ごせないデメリットがないか次第となるでしょう)。