先週一番インパクトがあったのは、このニュースだった気がします。既に多くのメディアが続報を出している中で取り上げるのはどうかなと思いましたが、内部犯行に対するセキュリティという視点で考えてみたいと思います。

www.nikkei.com

個人情報を含む神奈川県の大量の行政データが蓄積されたハードディスク（HD）が転売されたことが6日、明らかになった。HDの廃棄を担う事業者のずさんな管理が浮き彫りになり、県もデータ消去の確認が不十分だったと謝罪した。警視庁捜査3課はHDの廃棄を請け負った会社の社員を窃盗容疑で逮捕した。

同課によると、逮捕したのは情報機器事業のブロードリンク（東京・中央）社員

（中略）
逮捕容疑は12月3日、社内の消去室に保管されていたHD12個（時価合計2万4千円相当）を盗んだ疑い。調べに対し、「間違いありません」と容疑を認め、県のHD持ち出しも認めているという。

（中略）

同社などによると、HDには穴を開けるなどの「物理破壊」が必要。作業の前に高橋容疑者が18個を持ち出し、ネットオークションで販売したという。9個は県が回収したが、残る9個は未回収という。

ブロードリンクは処理を委託されたHDをシリアルナンバーで管理。ただ破壊処理されたか確認する仕組みはなく、処理後にまとめてリサイクル業者に売却するため、外部持ち出しにも気付かなかった。

同社担当者は「管理が甘かった。金属探知機の導入など再発防止を徹底したい」と話す。

（日経新聞記事より引用）

■公式発表　当社従業員による不正行為について

◆キタきつねの所感

既にpiyokango氏が記事をまとめてますので、詳細はそちらをご覧頂いた方が良いかと思いますが、神奈川県警のリース品を富士通リースから委託されたブロードリンク社の管理体制があまりに酷すぎるので少し調べてみると、

「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた - piyolog

ブロードリンク社の公開されているセキュリティ体制については、、

普通にこの通り行われているのであれば、（内部犯行対策も含め）何も脆弱性を感じられません。（※本業のセキュリティコンサルでお伺いする企業では、ここまでやっている所の方が少ないです。。。）

では、内部犯行で突かれた脆弱点はどこにあったのでしょうか？そのヒントが関連記事にいくつかありました。一番大きなのは、これだと思います。

ブロードリンクは処理を委託されたHDをシリアルナンバーで管理。ただ破壊処理されたか確認する仕組みはなく、処理後にまとめてリサイクル業者に売却するため、外部持ち出しにも気付かなかった。

（日経新聞記事より引用）

つまり、、、

この対策が「実施されてない」事になります。個体管理をしていて、入荷～データ消去～出庫（リサイクル業者への売却）に関して、バーコード管理されてない事に他なりません。又は①入荷　②データ消去　③出庫と工程があった際に、②と③が同じ担当（今回の場合は犯人）が実施していたか、③は員数管理をせずにまとめて消込処理をしていた可能性を感じます。

いずれにせよ、トレーサビリティ部分については、ブロードリンク社としての問題は大きかったと思います。

また、本来だと内部犯行の牽制になると思われる、監視カメラでの監視も役に立ってない様ですので、監視カメラの死角があった、あるいは消去作業工程は対象外だった（監視カメラがなかった）のではないでしょうか？

ポケットレスユニフォームも・・・まったく役立ってなかった様です。ユニフォームに入れずに外に簡単に部材を持ち出せるのであれば、正直私服でも同じです。（持ち込み）持ち出しチェック又は相互チェック体制に付随して、ポケットレスユニフォームがあって初めて効果があるのではないでしょうか？

保管庫の運用も、正規の入室権限を持つ社員（内部犯行）には影響は無い訳ですが、施錠管理については、この手提げ金庫の写真を見る限りは、、、シングル鍵運用になっている様に思えます。つまり正規作業員（犯人）は、普通に1人で金庫の開け閉めが出来て、中から消去前の機器（HD等）を持ち出せた可能性が高いかと思います。

別な記事には、（逮捕容疑のハードディスクは）監視の目が行き届かなくなる、早朝の時間帯に媒体を盗み出していた事が書かれていました。ここも内部犯行を会社側が考えてないところを犯人に突かれたと言えます。

www.asahi.com

同社などによると、高橋容疑者は２０１６年２月に入社。ＨＤＤのデータの消去を担当していた。勤務していた同社の本部テクニカルセンター（東京都大田区）の「データ消去室」は、バッグなど私物の持ち込みは禁じられ、出入りにはＩＤカードと指紋の認証が必要という。

捜査関係者によると、高橋容疑者は、人目につかないように他の社員がいない早朝を狙って盗みを繰り返していたとみられ、「入社直後からやっていた」とも話しているという。

（朝日新聞記事より引用）

また、TVニュースの報道等から、今回の盗品HDの販売先がヤフーオークションであった事が判明しています。

自分でも確認してみましたが、ネット上で指摘されていたIDは、12月初旬まで出品を続けていたのが突然、販売停止（最後の出品はキャンセル扱い）した点であったり、現在（停止中）になっている点、あるいは各種報道で出てきた、神奈川県のデータが入っていたと思われるHD落札のデータを見る限り、ほぼこのIDで間違いないかと思います。

この出品者（恐らく犯人のID)では、12月1日近辺（逮捕直前）の落札情報を見ても、大量にハードディスクを出品していた事が分かります。神奈川県の漏えいデータは、7-8月に出品されたものだったとありますので、、、他の組織も「内部データ漏えいの危険性」を実は持っている状態なのではないかと思われます。

12月1日に落札されたハードディスクの出品情報を見ると、「NTFSフォーマット済み。」という記載があります。他のハードディスク出品もいくつか見ましたが、NTFSフォーマット済までしか書かれてませんでしたので、、復旧ソフトを使えば、元のデータが復旧する可能性がある状態で多数のハードディスクが販売されていた事が分かります。

そして、、残念な事にSSDも相当数、同じ出品者（おそらく犯人）から販売されていたのですが、出品の記述が同じです。。。NTFSフォーマットだけだとすると、こちらも販売された媒体は、データが復旧できる可能性があります。

安全なデータの消し方参考：

パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関する留意事項　一般社団法人 電子情報技術産業協会(JEITA)

このヤフオク出品者（※おそらく犯人）の販売データを半年分（2019年7月～12月）調べてみました。

※キタきつね調べ（手動カウントなので多少誤差があるかも知れません）

落札件数より実際のハードディスク販売台数が多いのは、ハードディスクをまとめ売りをしている事による差分です。一方でSSDは1枚単位で出品されていたので、落札件数と販売台数に差分はありません。この結果、、落札件数（1297件）の約半分（679件/52%）が中古ハードディスク／SSDの販売件数と判明しました。

販売台数ベースでは、1118台販売／1297件落札（86％）となります。

この出品者IDは、過去を遡ると2007年まで落札記録がありましたが、今回の犯人は3年前から犯行に及んでいたと供述している様ですので、年間落札件数を調べてみました。

　・2019年　3248件

　・2018年　1901件

　・2017年　1371件

　・2016年　1041件

多少集計ミスがあるかも知れませんが、4年で7561件の落札件数が（だいたい）ありました。このヤフオク出品者（※おそらく犯人）は、2016年以降、アダプタ、ケーブル、イヤホンといった備品や中古スマホ（iPhone）も販売していて、そちらの方が件数に表れているだけと思われます。

TBSの記事等では2016年3月以降・・となっていますが、ヤフオクの落札データで見る限り、中古SSDやハードディスクを大々的に販売開始したと思われるのは、2017年4月以降になります。

容疑者は「オークションで売却する目的で盗んだ」と容疑を認めていますが、その後の捜査関係者への取材で、「２０１６年３月ごろから複数回やっていた」と供述していることがわかりました。また、社内で実施した抜き打ちの調査で、高橋容疑者の所持品からハードディスクが見つかっていたことも新たにわかりました。

（TBSニュース記事より引用）

2017年4月～2019年12月の落札件数トータルは、6150件となりますが、ここに、今年下半期（7月～12月）分データでのSSD/HDD比率に基づいて、70％程度が販売台数だったと仮定すると、

6150件×0.7（※試算係数）＝4305台

となります。

多少数字にブレがあるとしても、3年間で3000台～4000台のSSD/HDDが販売されたと推定されます。この辺りは、更に詳しいデータが今後出てくるかと思いますが、犯人が他にHD/SSDを仕入れるルートを持ってなかったとすれば（あればあったで違う事件に発展しますが…）、

ブロードリンク社は、3000台以上の機器を無断で持ち出された事を、まったく検知できてない事になり、責められても仕方がないのではないでしょうか。

仮にもセキュリティのライフサイクル（安全なHD廃棄・処分）を担う会社で、内部犯行対策がまったく働いてない事について、今後、顧客企業を中心に大きな影響を受ける事は間違いないかと思います。

余談ですが、、対策案として、ブロードリンク社は金属探知機導入を検討している様ですが、それだけではダメな気がします。監視カメラで（実際に）監視してない事であったり、当番では無い監視が緩い時間帯に特定の社員が不審にセキュリティエリアに入退室している事への検知対応であったり、廃棄記録までトレースが出来てない事であったり、（推定になりますが）ほとんどの作業を正社員の場合は1名運用出来ている事であったり、内部犯行の視点で何もセキュリティが考えられてない部分については、外部の視点でも検証が必要なのではないでしょうか？

単純に金属探知機を入れてもそれを潜り抜ける悪意のある者を防げないと、また事件は起きてしまう可能性があり得る気がします。

「性善説」は日本でも崩れた（崩れ始めている）。その認識を持つ事が残念ではありますが、重要になってきている様に感じます。

本日もご来訪ありがとうございました。

■日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構（JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

更新履歴

• 2019年12月8日AM（予約投稿）

家の鍵を開けっぱなしで外出した際に泥棒にあった、そんな状態が管理レスカメラは近い気がしますが、地方紙のこの記事は、ハッキングされた！と騒ぎ立てる前にすべき事が多い事を改めて考えさせられます。

www.the-miyanichi.co.jp

　都農町の東児湯消防組合消防署都農分遣所の監視カメラの映像が、関係者に無断でインターネットサイトに流出していたことが２８日、分かった。同組合消防本部（高鍋町）は何者かがカメラをハッキングしたとみており、２９日にもカメラの設置業者などに依頼し、原因を調査する。

（宮崎日日新聞記事より引用）

◆キタきつねの所感

記事の画像を見ると、私が調査でたまに見る某サイトに掲載されていた事が確認できました。名前（URLリンク）はこの記事では出しませんが、セキュリティ分野の意識の高い方（特にIoTセキュリティ周りにお詳しい方）は、どこのサイトだかは分かるかと思います。（※ヤフーニュースの方が画像が拡大されてましたので、ご興味ある方は、この消防車の画像の左上の方をググってみて下さい）

セキュリティにあまりお詳しくないであろう、記者さんではこんなまとめ方になるのは仕方が無い事だとは思いますが、某サイトに掲載されたという事は、パスワードがかかってないか、ベンダーの初期パスワードであった可能性が非常に高いかと思います。

サイト運営者側が何を言っているかと言うと、トップページには、、

そのカメラがプライベートカメラ（公開したく無いカメラであれば）メールをくれて特定出来れば消しますが、メールを出したくない場合は、「貴方のカメラにパスワードをかけるだけで良いんだよ」と書かれています。この部分が真実かどうかは、（これ以上調べるとハッキングになってしまうので・・・）分かりませんが、

もし正しかったとすると、今回記事に出てきた、「東児湯消防組合消防署都農分遣所」、「同組合消防本部（高鍋町）」、そのカメラを設置した業者は調査の結果、自身の行動を恥じるべきかも知れません。パスワードすらかけておらず、その事に誰も気づいてないのですから。

さて、今回の事件を受けて某サイト（日本の管理レスカメラ）をざっとみて見ました。記事を書いている時点では1396台（世界第2位！）あり、NOTICEの潜在的対象機器がまだまだある事を表しています。 

折角なので、どんなカメラ映像が見れるのかをご紹介しますと・・・（画像の下の地名は不正確で、数百キロ単位でずれる事があるとされていますので、その辺と考えて下さい。特に東京の表示は怪しいものが結構混じっています）

お寺の参拝シーンが見れたり、、

工場の内部カメラだったり、

老人ホーム的な施設だったり、、、

作物（ハウス）の生育状況などもわかります。

コインランドリーは鉄板ですね。まだまだあります。

スキー場の降雪状態であったり、

以前の記事でも取り上げた気がしますが、広島方面のフェリーの案内ボードだったり、

観光名所もたまに出てきます。

新潟のJRの案内板や、

普段民間人がいけない「硫黄島」の港の様子も出てきますね。

宜野湾と地名は出てますが・・・このつり橋、一度行ってみたいですね。

美容室・・・防犯、あるいは店内の込み具合確認で設置されるカメラであっても・・・設定は気を付けた方が良いかと思います。

新幹線の車両基地。電車好きの知人の為にブックマークしたいところですが、、JR（東海？）さんもこのカメラが公開設定で良いのか確認した方が良いかも知れません。

橋や港はそれなりに出てきますが、一度設定したら放置なのかな・・と思う程、某サイトに掲載されたら比較的長く残っている気がします。国交省とのかの管轄かと思いますので、NOTICEはこうした辺りを集中的にチェックすれば良いのに・・・と思ったりします。

こちらは、、せき止め・・・川崎大師の仲見世ですね。正月までこの某サイトに掲載されていたら、初詣客のプライバシー侵害に発展するかも知れませんね。

こちらは、どこかの駐車場精算機ですが、、注目したのは左上の時刻が半日以上ずれている所。カメラ設置してからの管理レスな状態が伺えるのがこうした所です。

富士山が映りそうだったのですが、雲に邪魔されていました。

山形のジャンプ台・・・まだ雪は無いみたいですね。

バードウォッチャー向けの田んぼもありました。

建設現場は良く出てきますね。重機や資材盗難防止という意味でのカメラ導入効果はあるのだと思いますが、下手するとカメラ画像を外から削除できてしまいますので気を付けた方が良いかも知れません。

こちらは以前もご紹介したかも知れません。北九州のスーパーぽいところですね。結構大きな魚が出てます。

ダムは道路や橋、港程には見かけませんが、川の水位を監視しているカメラと共に、たまに出てきます。

風力発電、ソーラー発電・・・発電系施設にはカメラが多く仕掛けられていますが、、最初設置したっきりの所が多いのか、掲載カメラ台数が減った感じがしません。

ラジコンカーのレース場らしき施設。。

甲府側からの富士山ですね。でも雲に覆われていました。

ここが衝撃でした。今週この辺り通ったキガシマス。秋葉原のUDX前のカメラも管理レスの様でした。

牛舎はたまに出てきます。農家さん系は個人で設置しているケースもあるでしょうから、（セキュリティ設定に詳しく無くても）致し方がないのかも知れません。

港湾カメラをじっとみていると、釣果も把握できそうです。

騒音等の証跡管理用ですかね。工事現場もカメラが多数掲載されてました。

お昼時のレストランや、土日作業のオフィスなど・・・いろいろと興味深いカメラもありましたが、このくらいにしたいと思います。

 

本日もご来訪ありがとうございました。

■日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構（JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

更新履歴

• 2019年12月1日AM（予約投稿）

シンガポールが何度かのサイバー攻撃を受けて、新たなセキュリティ強化対策に乗り出す様です。

www.cisomag.com

サイバーセキュリティを強化し、次世代のサイバー脅威に取り組むため、シンガポール政府は新しいデータ保護対策を採用することを決定しました。政府はまた、公共部門のデータセキュリティレビュー委員会という名前の委員会を設立し、そのデータセキュリティ慣行をレビューしました。

最新の動きは、国内の公共および民間組織に対する一連のサイバー攻撃の後です。

報告書によると、新しく設立された委員会は、94の政府機関の約336のネットワークシステムを検査し、金融および医療分野の国際的なデータセキュリティ慣行を観察しました。

公共部門のデータガバナンス担当大臣であるTeo Chee Heanが議長を務める委員会は、市民のデータをよりよく保護するための 5つの推奨事項を提案しました。

委員会からの5つの推奨事項は次のとおりです。

1.脅威からデータを保護するための技術とプロセスを強化する必要性。
2.データセキュリティコンピテンシーを構築し、データセキュリティに関するすべての公務員をトレーニングします。
3.データセキュリティテクノロジーにおける政府の専門知識の向上。
4.政府データを処理するサードパーティベンダーを対象とする個人データ保護法の改正。
5.公共部門のデータセキュリティ体制の説明責任と透明性の向上。

政府は委員会の提案を受け入れ、2021年末までにそれらを実施することを目指しています。

（Cisomag記事より引用）※機械翻訳

◆キタきつねの所感

セキュリティ強化対策の中身を見た訳ではないのですが、流石シンガポール、動きが早いと直感的に思いました。医療情報DB等へのサイバー攻撃でリー首相の個人情報まで漏洩したと報じられてから、そんなに時間が経っていませんが、実効性はともかくとして、日本もこのスピード感が無いと、先進分野で世界に後れを取るのではないでしょうか。

気になる所がもう1点。「公共部門のデータガバナンス担当大臣」があるんだ・・と思う所。日本のIT担当大臣はPCやUSBメモリに堪能でなかったり、判子文化に精通している所が話題となったりしますが、シンガポールの大臣は、海軍出身で防衛大臣も歴任されていて、サイバーディフェンス観点でも知見がありそうな方が担当されている様です。（何ともうらやましいですね・・・）

Teo Chee Hean - Wikipedia

日本でも全般的なIT担当大臣ではなく、公共分野を守るという特化型の大臣という思想があっても良いのかも知れないなぁと思いますが、セキュリティ分野であっても競い合っている省庁がある気がしますので、首相の強い意向（リーダーシップ）などがないと難しいかも知れません。

データセキュリティレビュー委員会の提言内容も、日本に参考になりそうな部分が多々見受けられます。（※因みに、リー首相は「公共部門データセキュリティレビュー委員会によるすべての勧告を受け入れます」と明言しています）

全公務員のセキュリティ教育は、人口が少ないシンガポールだから出来るのかも知れませんが、人のセキュリティ強化というセキュリティ対策の中では基本的な事を真面目に実施するという意気込みが伝わってきます。また、個人情報保護法の改正ポイントを、サードパーティに置いているのは日本が更に取り組まなければいけない分野の気がしますので、シンガポールの動きをウォッチすべきな気がします。

記事にはリー首相の日本も同じベクトルに向うべきだと思う、良いコメントがありましたので引用します。（※引用のみ）

「データはデジタル経済とデジタル政府の生命線です。より良い公共サービスを提供するには、データを可能な限り完全に使用および共有する必要があります。その際、データのセキュリティを保護し、個人のプライバシーを保護する必要がありますが、デジタルイノベーションを抑制することはできません。これは特にヘルスケア分野でそうですが、政府の他のあらゆる分野にも当てはまります。」

本日もご来訪ありがとうございました。

■日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構（JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

更新履歴

• 2019年12月1日PM（予約投稿）