No139 ハードディスク不正転売事件について

このNoteは私が主宰しているメルマガ「がんばりすぎないセキュリティ」のバックナンバーです。
このNoteは2019年12月23日に配信した内容です。

2019年12月に、廃棄したはずのハードディスクが不正転売されて
いることが発覚し、史上最大の情報漏洩事件としてクローズアップ
されています。

今回はこの事件の技術面について解説をします。

1. 経緯

この事件というのは、使用済みハードディスクの廃棄処理を行う
会社の社員が廃棄予定のハードディスクを社内から不正に持ち
出して、メルカリやヤフオクといったネットオークションサイト
で転売したというものです。

会社の資産を勝手に売却するという行為も十分に犯罪行為ですが、
それ以上に問題なのは、ハードディスク内には個人情報を含む
大量の文書が復元可能な状態で保存されていた点にありました。

この事件の容疑者の男性（以下、容疑者と書きます）は２年以上
にわたって同様の行為を繰り返し、会社から七千点を超える資産
を転売していたそうです。
世界でも例を見ないほどの大規模な情報流出事故です。

さて、この事件は以下のような経緯で発覚しました。

　1. 容疑者がヤフオク （yahooが運営しているオークションサイト）
　　でハードディスクを販売。
　2. 落札者がそのディスクをRAID方式で利用しようとしたところ
　　 既に使用中だと警告が出る。
　3. 確認したところ、ファイルはないが、Windows用として利用
　　 できる状態（フォーマット済み）であることがわかる。
　4. 落札者は「ひょっとして？」と思い、ファイルの復元ツール
　　 を使って復元したところ、神奈川県の行政文書と思われる
　　 データが大量に復元できた。
　5. 落札者は同じ出品者の他のハードディスクも落札して同様に
　　 確認したところ、そちらでも同様のファイルが復元できた。
　6. 落札者は朝日新聞を経由して神奈川県に情報提供をし、事件
　　 が発覚した。
　7. 警察の調べで、これが神奈川県がリースしていた機器に入って
　　 いたハードディスクであり、耐用年数を過ぎたためハードディ
　　スクの廃棄業者に引き渡されたものであることがわかった。

この流れの中で「ファイル復元」というのがわからない方も多い
かと思いますのでその理屈を解説した上で、今回のような不正
への対抗手段として、ハードディスクを廃棄する時に行うべき
手順について解説をします。

2. windowsのごみ箱の仕組み

Windowsには「ゴミ箱」というものがあります。
通常の手順で削除したファイルはまずこのゴミ箱に入ります。

その上で「ゴミ箱を空にする」というコマンドを実行して、本当に
ファイルを削除するというのが、一般的な手順です。

今回の事件での復元というのは、ゴミ箱に残っていたファイルを
元に戻したという意味ではありません。

実際に神奈川県では引き渡す時にハードディスクで「ゴミ箱を空に
する」が実行された状態にしていたようです。

にも関わらず、ファイルを復元することができたのです。
これはどういうシカケなのでしょうか？

3. ファイルを復元できる理由

ハードディスクには膨大な量の情報が保管できます。
ここに、最初から順にデータを記録していくと、目的のファイル
やデータがどこにあるのかを探すのにひどく時間がかかります。

これを高速化するため、ハードディスク内には「このファイルの
情報の保管場所はどこか？」という情報自体を保管する場所が
決められています。例えば、Windowsで一般的に使われるNTFSと
いう方式ではこの場所をMFS（Master File Table)と呼びます。

データを読みたい時には、MFTを使うことで、ファイル名から
データの保管場所がすぐに見つけられる仕組みになっています。

この方式を応用すると、ファイルの削除も実に簡単になります。
MFTからそのファイルに関係する情報を消すだけでよいのです。
ファイル名で探そうにもMFTに情報がない、ファイルがないんだ
からデータも読み込めない、という理屈です。

ここでのポイントは、MFTのようにファイルの場所を示す情報だけ
を消し、ファイルの内容自体は消していない点です。
逆に言えば、MFTの情報が復元できれば、ファイルの内容は消えて
いないわけですから、すべてが元に戻せるということです。

と、ここまで書けばわかると思いますが、今回の事件で削除した
はずのファイルが復元できたというのはMFTを復元したことに他なり
ません。

実際、ファイルを間違って消した場合の救済手段として復元ツール
は有用ですから、いろいろなツールが出回っています。

Windowsに限らず、多くのコンピュータではファイルを削除する時は、
同様の仕組みを採用しています。

4. ハードディスクから本当にデータを消去する方法

削除したファイルであっても、復元が可能なことがわかりました。
では、ハードディスクを廃棄したい場合などにはどうすればよいの
でしょうか？
内部に重要なデータが残ったままで、簡単に復元できるようでは
うかつに廃棄できません。

ましてや、今回の事件のように廃棄業者が信用できないような
事件が起きますと、自分達で何らかの防禦をしておかなければ安心
できません。

これにはいろんな方法がありますが、ここではできるだけお手軽な
方法をご紹介します。

１）データ消去ツールを使う
２）空き領域を無意味なデータで埋める

最もわかりやすい方法は、１）の「データ消去ツール」と呼ばれる
専用ツールを使う方法です。
こういった消去ツールでは、ハードディスクの隅から隅まで全て
をキレイさっぱり０の値でクリアしてしまいます。

データが残っているから復元できるわけであって、すべてがゼロ
になってしまうと、いかに復元ツールでも元には戻せません。

このようなツールには、Windowsにおまけでついているコマンド
から、有料のものまでいろいろとありますので、必要な機能が
あるものを選んでください。

そもそも消去しないといけないデータ量が少ない場合は手作業で
空き領域を埋める方法があります。

やることは単純です。
　１）消去したいデータを削除する。
　２）ゴミ箱を空にする。
　３）空き容量が０になるまで、なんでもいいからファイルを
　　　コピーをする。

この方法では特別なソフトは使いません。

ファイルを削除した後に残っているものを他のファイルで上書き
することで、つぶしてしまおうという発想です。

ですので、上書きするためのファイルはなんでも構いません。
動画のような大きなサイズのファイルが適切でしょう。

ただし、消去ツールにしても、ファイルコピーにしても実行する
のにかなりの時間がかかります。
その時間はデータ量に比例しますが、短くても数時間、長ければ
一日がかりになります。
十分な時間を確保してください。

5. どこまでの対処が必要なのか？

今回の事件では、神奈川県が秘密情報を流出した結果となって
いますが、県側の業者への指示はキチンとしており、落ち度はなく、
完全に被害者です。不正行為を行った容疑者が一番悪いのですが、
その行為を許してしまった会社の運営体制にも問題がありました。

こういった事件が起きると、その再発を防ぐ声が高まります。

ですが、こういった事故を１００％防ぐことなど不可能なのです。
例えば、家から出なければ交通事故には合わないでしょう。
ですがデメリットが大きすぎて現実味がありません。

事故があると、それを１００％防ごうとする意見が出てきます。
一見もっともですし、反論しづらいのも事実です。

ですが、できもしないことを決めることに意味はありません。

どんな組織でもちょっとの背伸びして改善を重ねることは必要
です。でも、無理な背伸びは改善が進まないばかりかモラルの
低下にすらつながりかねません。

組織を良くしようと思って、結果的に組織モラルを落として
しまっては、何のための改善かわかりません。

「がんばりすぎない」ことは大切だと筆者は思うのです。

次回もお楽しみに。