検索
連載

防ぎようはあるのか HDD横領転売事件から見える「サプライチェーン・リスク」半径300メートルのIT(1/2 ページ)

神奈川県庁が行政文書を保存していたHDDが廃棄業者に横領され、ネットオークションで販売されていた事件が話題です。同県庁は被害について「想定外」と述べていますが、一番の被害者は住民の方。このような事件の防止策はあるのでしょうか?

Share
Tweet
LINE
Hatena

 年の瀬に、なかなか衝撃的なニュースが飛び込んできました。神奈川県庁のシステムで利用されていたHDD(ハードディスクドライブ)が、データの復元が可能な状態で転売されていたという事件です。

神奈川県の告知
神奈川県公式Webサイトのトップに大きく告知されている

 問題のHDDは、神奈川県庁がファイルサーバのハードウェアを更新した際に破棄したものでした。これら産業廃棄物の破棄の手順は「マニフェスト制度」によって厳密に定められています。神奈川県庁は正規の手順に従い、廃棄業者を通してHDDを処分しました。しかし、廃棄を請け負った企業の従業員が破壊対象のHDDのうち18台を横領し、ネットオークションに出品していたのです。

 HDDの落札者がデータ復元を試してみたところ、住民の個人情報を記録した行政文書とみられるデータが確認され、それが事件発覚のきっかけとなりました。

個人情報が保存された神奈川県庁のHDD計54TB、転売される 処理会社の従業員が横領

(情報システム課からのお知らせ)リース契約満了により返却したハードディスクの盗難について - 神奈川県ホームページ

 横領した男は窃盗の容疑で逮捕されましたが、これまでも多数の転売が行われた疑いがあるとのこと。神奈川県から委託を受けた廃棄業者が、廃棄物をずさんに取り扱っていたというのは、かなりの衝撃です。

 HDDに含まれた情報を完全に消去するのは難しいため、個人や企業、自治体は処分を外部に委託します。その信頼を裏切られたら、一体どうすればいいのか――頭を抱えた情報システム担当も多いのではないでしょうか。実は、私自身も情報漏えいの被害を受けている可能性があります。この件は引き続き追いかけていきたいと思います。

全ての事業者が考えるべき「サプライチェーンのリスク」

 情報処理推進機構(IPA)が2019年2月に公開した「情報セキュリティ10大脅威 2019」の中には、新しい脅威として「サプライチェーンの弱点を悪用した攻撃の高まり」が入っています。まさに今回の件が、HDDのライフサイクルに関するサプライチェーンの弱点を突かれた事件といえるでしょう。

 サプライチェーンの弱点というと、例えば「IoT(Internet of Things)機器の部品を製造する下請けメーカーに情報を盗聴するチップを埋め込まれる」などの直接的な攻撃をイメージすることが多いでしょう。しかし、情報セキュリティ10大脅威における解説には「業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生している」とあります。

 この問題の根本的な課題は業務委託先を管理できていない点にあります。まさに今回のブロードリンク内で発生した事件そのものといえるでしょう。

サプライチェーンリスク
サプライチェーンの弱点を悪用した攻撃の高まり(出典:情報セキュリティ10大脅威 2019)

 神奈川県庁は、富士通リースにHDDを返却し、富士通リースはブロードリンクにデータ消去を委託。ブロードリンクで事件は起きました。HDDは消耗品です。安全に廃棄するための運用設計を立ていても、委託先が信頼できる企業か、委託先の内部不正対策までも管理するのは、かなり難しいでしょう。

 ところで、この事件とほぼ同じタイミングで、興味深い報告が出ています。内部関係者がメールの添付ファイルで情報を外部に送信したのを発見し、社内から情報を持ち出そうとした行為を検知した事例です。

弊社社員による個人情報の持ち出しについて|ニュース|インテック

 上記の報告を見ると、正しいタイミングでしっかり検知できた上に原因も把握されており、再発防止策もまとめられています。内部不正に関するお手本のようなレポートです。セキュリティ対策の中には、機器やユーザーの不審な振る舞いを検知する「UEBA(User and Entity Behavior Analytics)」があります。持ち出しが許されない情報を扱う企業にとって、委託先がこのような検知の仕組みを採用しているか否かは重要になっていくでしょう。

       | 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る