2019年12月6日〜12月7日にかけて衝撃的なニュースが入ってきました。
2019年神奈川県HDD転売・情報流出事件は、神奈川県庁で利用されていたHDD(ハードディスクドライブ)の転売による個人情報を含む行政文書などの情報が流出した個人情報漏洩事件。2019年12月6日に報道で判明した。
引用元:2019年神奈川県HDD転売・情報流出事件
Wikipedia
個人情報流出のニュースは過去にもいくつもありましたが、処理会社からのHDD流出事件は聞いたことはありません。そもそも処理会社がHDDを流出させるってどんな管理体制になっとんねん!というのが第一印象。
ただ、システム屋さんとして身を置く自分としては、いろいろと考えさせられる事件だったのは間違いないです。取引先の人たちはここ半月てんやわんやだったことでしょう。
・神奈川県HDD転売・情報流出事件について知りたい人
目次
一見すると、神奈川県庁は被害者!?に見えますが・・・
真っ先に会見したのは神奈川県庁の黒岩知事。
- 神奈川県庁はリース会社の「富士通リース」へと契約
- 「富士通リース」は老朽化に伴いHDDを交換して、処理会社の「ブロードリンク」へHDD廃棄を委託
- 「ブロードリンク」社の社員が廃棄予定のHDDを盗んでオークションで転売
というのがざっくりとした事件の概要。
事件としてはブロードリンク社の管理体制がしっかりできていなかったというのが根本的な原因になります。それ故、神奈川県庁から見ると、不祥事を起こしたのは再々委託先の「ブロードリンク」のため、自分たちは被害者に見えます。でも、本当の被害者は神奈川県民の人たちですよね。結果として、自分たちの情報が流出したわけになるので。
そのため、今回の事件では神奈川県庁にも落ち度があったと言っても過言ではないでしょう。個人的にはそう考えてます。取り扱っているデータの重要性が分かっているのであれば、HDDをちゃんとデータ消去/破砕して証明書をもらうべきかと。もしくは、目の届くところでHDDを破砕してもらうべきであり、神奈川県庁の詰めの甘さが垣間見えます。
ただ、データ消去/破砕して証明書をもらうとなれば、お金も時間もかかってしまうのも事実。そこをケチってしまうと、いざ事件として表へ出てしまったときに「自分たちの落ち度だったという謝罪」と「高い勉強代」を払うことになるのが今回ってことで、至ってシンプル。
わたしの仕事話になりますが、3年くらい前にサーバ老朽化に伴い、ある企業さんのHDDデータ消去/破砕サービスを使ったことがあります。HDD1台あたり、数千円して結構いいお値段しましたが、どんなデータ消去方式で何回書き込んだのかという「データ消去証明書」、そしてHDDの製造番号と破砕前後の写真を付けられた「破砕証明書」をもらいました。最低でもそこはやらないといけない認識です。
扱っているデータが重要であれば、その消去/破砕証明書をもらうか、自分の目の前で破砕してもらうのがいいでしょう。こういう事件を見るたびに当事者たちは取り扱っている情報の重要さが分かっていないように感じます。
ブロードリンク社の管理体制は機能していなかった
当初、神奈川県庁で使われていたHDDで流出したと言われていたのは18台。
神奈川県庁で個人情報や機密情報を含む行政文書の保存に使われていた3TBのHDD(ハードディスクドライブ)18個がオークションサイトで転売され、情報が流出した。
引用元:2019年神奈川県HDD転売・情報流出事件
Wikipedia
事件を見たとき、個人的に台数は気にしていませんでした。
しかしながら、逮捕されたブロードリンク社員が2016年2月以降にオークションで転売していた記憶媒体が3,904個という報道がされて、もう開いた口が塞がりませんでしたよ。。。
一気に3,904個の記憶媒体が持ち出すのは無理なわけで、少しずつ期間をかけて記憶媒体を持ち出していたのは容易に想像できます。しかもバレずに。
ただ、普通に考えるとそんな数のHDDをバレずに持ち出せるものなのか?という疑問が残ります。まぁ、大量に持ち出されている事実から見ると「管理上、カンタンに持ち出せる穴があった」ということと「定期的なモニタリングをしていなかった」ということが垣間見えます。3年間もこんな状態だったわけで、委託先として利用していた取引先企業さんたちは対応に追われていることでしょう。
他にも
- HDDの個体番号(製造番号など)は管理していなかったのか?
- 手荷物検査はしていなかったのか?
- HDD保管室への入退室チェックはしていなかったのか?
- 監視カメラはモニタリングしていなかったのか?
などの疑問が次々と湧いて出てきます。
個人的な感覚だと、HDD保管室への入退室は記録していても、なかなかチェックまではやらず、何か起きたらチェックするようなイメージ。頻繁に入退室があるのならなおさらのこと。
また、監視カメラのモニタリングについては人張りでずっーと見ておかないといけないから、セキュリティ会社やビル管理会社がリアルタイム監視するならまだしも、一企業が監視カメラのモニタリングを実現するのはコスト面を考えると難しい気がします。
そのため、「HDDの個体番号(製造番号など)の管理」「手荷物検査」くらいをしっかりやっておけば、怪しい動きに気付くことができたんじゃないかな?と思ってみたりします。少なくとも、ブロードリンク社の管理体制の甘さは言うまでもないでしょう。
そして、ブロードリンクのHPに「企業PC買取No,1の実績が裏付ける安心・安全性」というキャッチフレーズが虚しく載ってました。取引先企業は多く、今後芋づる式に情報が出てきそうな予感。まぁ、出てきたとしても、取引先企業は「今のところ情報流出の事実は確認されていません」と言って終わりなんでしょうけど。
ブロードリンクのHP見たら、トップに
「企業PC買取No,1の実績が裏付ける安心・安全性」
というキャッチフレーズあるけど、なんかもーねー。肩書きで判断できないなぁ。
— ぐーぐーぺこりんこ@食べるの専門㌠ (@gugupeco999) 2019年12月9日
少なくとも、ブロードリンク社で何も対策していなかったのかわけではないのはわかりますが、その運用がちゃんと機能しているかは別話。そういう意味では仕事で毎年システム監査がありますが、やっている意味はあるということですね。そして、今回の事件を受けて監査がより厳しくなって行くことでしょう。(白目)
オークション落札者がデータ復元を試みなかったら、事件が明るみになることはなかった
そもそも、HDDをオークションで落札した人がデータ復元を試みなかったら、事が表に出てくることはなかったわけですよね。
まぁ、なんというか購入したHDDからソフトを使ってデータの復元を試みるなんて物好きな人だなぁーという印象。HDD購入すると、フォーマットされているからそのまま使うのが普通だと思いますが、その人は違った。好奇心でデータ復元をしてみたって感じなんですかね。結果的にはグッジョブ!ということに。
データ消去/廃棄証明書をもらうことが標準になるのでは?
小遣い稼ぎしたかったという輩によって引き起こされたHDD流出・転売事件ですが、業界に衝撃を与えたのは事実。でも、前向きに考えるとすごく良いキッカケになったと思ってます。
情報化社会により、今まで紙で管理していたものが電子化されてデータになると、今までシュレッダーで裁断していたようにデータを復元できないような措置が必要になってくるわけです。(例えば、物理的に記憶媒体を破壊するといったような措置)
もう今までみたいな性善説は通用することはなく、ちゃんと管理運用がされているのかチェックする監査がキツくなり、HDD破棄時にはデータ消去/廃棄証明書をもらうことが標準になるのではないでしょうか。
個人的にはお客さんの意識が変わって、ちゃんと対策するためには費用がかかるということを認知していただきたいな(笑)
でも・・・
届かぬ、我らが想い。。。
今回のポイントは以下の通り。
②ブロードリンクでセキュリティ対策していたけど、機能していなかった。
③HDDは一回フォーマットしたくらいだと、復元ソフトを使うとカンタンに復元できてしまう。
④今後、記憶媒体を廃棄するときは写真付きの破砕証明書もらうのが当たり前になるかも。
(2019年12月21日追記)その後、気になったニュース
神奈川県庁と直接契約していた「富士通リース」の社長が2019年12月18日に神奈川県庁へ謝罪。事件が発覚してから2週間近く経過しているわけで遅すぎる対応という印象を受けます。
神奈川県庁で使われていたハードディスク(HDD)が、個人情報を含む膨大なデータの消去が不十分な状態で転売された問題で、HDDのリース元の富士通リースの小西秀智社長が18日、県庁を訪れ、黒岩祐治知事に謝罪した。
引用元:HDD転売、富士通リース社長が神奈川県知事に謝罪
朝日新聞 DIGITAL
HDD18個中、事件が発覚するキッカケになった人が落札したのは9個で回収済、残り9個の所在が不明な状態になっていましたが、その内5つが回収されたと2019年12月20日に神奈川県庁から発表。しかも、落札者の一人は復元ソフトでデータ復元をしていたとのこと。。。
神奈川県庁で使われていたハードディスク(HDD)が、データの消去が不十分な状態でネットオークションを通じて転売された問題で、県は20日、行方不明となっていた9個のHDDのうち5個を、落札者2人から回収したと発表した。うち1人は復元ソフトで一部のデータを復元したが、県が回収する前に自らデータを削除したという。
引用元:神奈川県の流出HDD、2人から5個回収 不明は4個に
朝日新聞 DIGITAL
その後、残り4個のHDDも回収できたとのこと。
神奈川県庁で使われていたハードディスク(HDD)が、データの消去が不十分なままネットオークションを通じて転売された問題で、県は21日、所在不明だった9個すべての回収を終えたと発表した。19日に5個を落札者2人から回収したのに続き、21日に残り4個を別の落札者から回収した。
引用元:神奈川の流出HDD、回収終える 残り4個を落札者持参
朝日新聞 DIGITAL
オンプレ環境だと、HDDを物理的に破壊して対応できますが、クラウド環境の物理的な破壊についてはどうなんだろう?と疑問が湧いてきました。クラウドサービスは利用型になるため、物理的にアクセスするとはできません。
その一例ではありますが、AWS環境における対応についてはAWSブログ「クラウドにおける安全なデータの廃棄」に記載されていました。
データはKMS等の暗号キーを使って暗号化されているため、その暗号キーが無いとデータ復元出来ないことに加えて、物理的な破壊について記載されてます。さすがAWS。
AWS では、デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。AWSで扱われるメディアはワイプ処理もしくは消磁処理され、AWSのセキュアゾーンを離れる前に物理的に破壊されます。AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。
引用元:クラウドにおける安全なデータの廃棄
Amazon Web Service ブログ
(2020年6月13日追記)本事件の裁判で執行猶予付きの判決が出ました
先日、2020年6月9日に本事件の裁判が出ました。前代未聞の情報漏えい事件にも関わらず、執行猶予付きの判決で個人的には温いなぁという印象を受けました。
神奈川県庁で使われていたハードディスク(HDD)が流出した事件で、勤務先からHDDなど51個を持ち出したとして窃盗罪に問われた処分請負会社「ブロードリンク」の元社員高橋雄一被告(51)に対し、東京地裁は9日、懲役2年執行猶予5年(求刑懲役2年)の有罪判決を言い渡した。
引用元:HDD378個どこへ 前代未聞の流出、全容いまも不明
Yahoo!ニュース
昔と比べてセキュリティ対策をしていない企業は無いでしょう。なぜなら、情報漏えい事件は企業にとって社会的信頼を含め大きなダメージを受けてしまいます。
過去にも情報漏えい事件は起きているわけで、それらの事件を見て何も対策していないところは無いと思うわけです。そのため、外部からの攻撃で情報漏えいするというのは脆弱性対策をしっかりしていれば、なかなか起きにくいことかと。
それよりは人を介して今回みたいにHDD持ち出したり、USBメモリで情報を抜き取って持ち出したりするほうがよっぽど起きやすいだろうなと個人的に思います。この手の事件は情報化社会である限りは無くならないでしょうね。
