Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ブロードリンクは内部犯行に無策であった

内部犯行 調べてみた。

先週一番インパクトがあったのは、このニュースだった気がします。既に多くのメディアが続報を出している中で取り上げるのはどうかなと思いましたが、内部犯行に対するセキュリティという視点で考えてみたいと思います。

www.nikkei.com

 

個人情報を含む神奈川県の大量の行政データが蓄積されたハードディスク(HD)が転売されたことが6日、明らかになった。HDの廃棄を担う事業者のずさんな管理が浮き彫りになり県もデータ消去の確認が不十分だったと謝罪した。警視庁捜査3課はHDの廃棄を請け負った会社の社員を窃盗容疑で逮捕した。

同課によると、逮捕したのは情報機器事業のブロードリンク(東京・中央)社員

(中略)
逮捕容疑は12月3日、社内の消去室に保管されていたHD12個(時価合計2万4千円相当)を盗んだ疑い。調べに対し、「間違いありません」と容疑を認め、県のHD持ち出しも認めているという。

(中略)


同社などによると、HDには穴を開けるなどの「物理破壊」が必要。作業の前に高橋容疑者が18個を持ち出し、ネットオークションで販売したという。9個は県が回収したが、残る9個は未回収という。

ブロードリンクは処理を委託されたHDをシリアルナンバーで管理。ただ破壊処理されたか確認する仕組みはなく、処理後にまとめてリサイクル業者に売却するため、外部持ち出しにも気付かなかった

同社担当者は「管理が甘かった。金属探知機の導入など再発防止を徹底したい」と話す。

日経新聞記事より引用)

 

■公式発表 当社従業員による不正行為について

 

◆キタきつねの所感

既にpiyokango氏が記事をまとめてますので、詳細はそちらをご覧頂いた方が良いかと思いますが、神奈川県警のリース品を富士通リースから委託されたブロードリンク社の管理体制があまりに酷すぎるので少し調べてみると、

「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた - piyolog

 

 

ブロードリンク社の公開されているセキュリティ体制については、、

 

f:id:foxcafelate:20191207190752p:plain

f:id:foxcafelate:20191207190849p:plain

f:id:foxcafelate:20191207190918p:plain


普通にこの通り行われているのであれば、(内部犯行対策も含め)何も脆弱性を感じられません。(※本業のセキュリティコンサルでお伺いする企業では、ここまでやっている所の方が少ないです。。。)

 

では、内部犯行で突かれた脆弱点はどこにあったのでしょうか?そのヒントが関連記事にいくつかありました。一番大きなのは、これだと思います。

ブロードリンクは処理を委託されたHDをシリアルナンバーで管理。ただ破壊処理されたか確認する仕組みはなく、処理後にまとめてリサイクル業者に売却するため、外部持ち出しにも気付かなかった

日経新聞記事より引用)

 

つまり、、、

f:id:foxcafelate:20191208115155p:plain

この対策が「実施されてない」事になります。個体管理をしていて、入荷~データ消去~出庫(リサイクル業者への売却)に関して、バーコード管理されてない事に他なりません。又は①入荷 ②データ消去 ③出庫と工程があった際に、②と③が同じ担当(今回の場合は犯人)が実施していたか、③は員数管理をせずにまとめて消込処理をしていた可能性を感じます。

 

いずれにせよ、トレーサビリティ部分については、ブロードリンク社としての問題は大きかったと思います。

 

また、本来だと内部犯行の牽制になると思われる、監視カメラでの監視も役に立ってない様ですので、監視カメラの死角があった、あるいは消去作業工程は対象外だった(監視カメラがなかった)のではないでしょうか?

f:id:foxcafelate:20191208115735p:plain

 

ポケットレスユニフォームも・・・まったく役立ってなかった様です。ユニフォームに入れずに外に簡単に部材を持ち出せるのであれば、正直私服でも同じです。(持ち込み)持ち出しチェック又は相互チェック体制に付随して、ポケットレスユニフォームがあって初めて効果があるのではないでしょうか?

f:id:foxcafelate:20191208120049p:plain

 

保管庫の運用も、正規の入室権限を持つ社員(内部犯行)には影響は無い訳ですが、施錠管理については、この手提げ金庫の写真を見る限りは、、、シングル鍵運用になっている様に思えます。つまり正規作業員(犯人)は、普通に1人で金庫の開け閉めが出来て、中から消去前の機器(HD等)を持ち出せた可能性が高いかと思います。

f:id:foxcafelate:20191208120357p:plain

 

別な記事には、(逮捕容疑のハードディスクは)監視の目が行き届かなくなる、早朝の時間帯に媒体を盗み出していた事が書かれていました。ここも内部犯行を会社側が考えてないところを犯人に突かれたと言えます。

www.asahi.com

同社などによると、高橋容疑者は2016年2月に入社。HDDのデータの消去を担当していた。勤務していた同社の本部テクニカルセンター(東京都大田区)の「データ消去室」は、バッグなど私物の持ち込みは禁じられ、出入りにはIDカードと指紋の認証が必要という。

捜査関係者によると、高橋容疑者は、人目につかないように他の社員がいない早朝を狙って盗みを繰り返していたとみられ、「入社直後からやっていた」とも話しているという。

朝日新聞記事より引用)

 

また、TVニュースの報道等から、今回の盗品HDの販売先がヤフーオークションであった事が判明しています。

自分でも確認してみましたが、ネット上で指摘されていたIDは、12月初旬まで出品を続けていたのが突然、販売停止(最後の出品はキャンセル扱い)した点であったり、現在(停止中)になっている点、あるいは各種報道で出てきた、神奈川県のデータが入っていたと思われるHD落札のデータを見る限り、ほぼこのIDで間違いないかと思います。

 

f:id:foxcafelate:20191208121948p:plain


この出品者(恐らく犯人のID)では、12月1日近辺(逮捕直前)の落札情報を見ても、大量にハードディスクを出品していた事が分かります。神奈川県の漏えいデータは、7-8月に出品されたものだったとありますので、、、他の組織も「内部データ漏えいの危険性」を実は持っている状態なのではないかと思われます。

 

f:id:foxcafelate:20191208122437p:plain

 

12月1日に落札されたハードディスクの出品情報を見ると、NTFSフォーマット済み。」という記載があります。他のハードディスク出品もいくつか見ましたが、NTFSフォーマット済までしか書かれてませんでしたので、、復旧ソフトを使えば、元のデータが復旧する可能性がある状態で多数のハードディスクが販売されていた事が分かります。

f:id:foxcafelate:20191208123456p:plain

そして、、残念な事にSSDも相当数、同じ出品者(おそらく犯人)から販売されていたのですが、出品の記述が同じです。。。NTFSフォーマットだけだとすると、こちらも販売された媒体は、データが復旧できる可能性があります。

f:id:foxcafelate:20191208123420p:plain

安全なデータの消し方参考:

パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関する留意事項 一般社団法人 電子情報技術産業協会(JEITA)

 

このヤフオク出品者(※おそらく犯人)の販売データを半年分(2019年7月~12月)調べてみました

※キタきつね調べ(手動カウントなので多少誤差があるかも知れません)

f:id:foxcafelate:20191208125515p:plain

落札件数より実際のハードディスク販売台数が多いのは、ハードディスクをまとめ売りをしている事による差分です。一方でSSDは1枚単位で出品されていたので、落札件数と販売台数に差分はありません。この結果、、落札件数(1297件)の約半分(679件/52%)が中古ハードディスク/SSDの販売件数と判明しました。

販売台数ベースでは、1118台販売/1297件落札(86%)となります。

 

この出品者IDは、過去を遡ると2007年まで落札記録がありましたが、今回の犯人は3年前から犯行に及んでいたと供述している様ですので、年間落札件数を調べてみました。

 ・2019年 3248件

 ・2018年 1901件

 ・2017年 1371件

 ・2016年 1041件

多少集計ミスがあるかも知れませんが、4年で7561件の落札件数が(だいたい)ありました。このヤフオク出品者(※おそらく犯人)は、2016年以降、アダプタ、ケーブル、イヤホンといった備品や中古スマホiPhone)も販売していて、そちらの方が件数に表れているだけと思われます。

TBSの記事等では2016年3月以降・・となっていますが、ヤフオクの落札データで見る限り、中古SSDやハードディスクを大々的に販売開始したと思われるのは、2017年4月以降になります。

容疑者は「オークションで売却する目的で盗んだ」と容疑を認めていますが、その後の捜査関係者への取材で、「2016年3月ごろから複数回やっていた」と供述していることがわかりました。また、社内で実施した抜き打ちの調査で、高橋容疑者の所持品からハードディスクが見つかっていたことも新たにわかりました。

TBSニュース記事より引用)

 

2017年4月~2019年12月の落札件数トータルは、6150件となりますが、ここに、今年下半期(7月~12月)分データでのSSD/HDD比率に基づいて、70%程度が販売台数だったと仮定すると、

 

6150件×0.7(※試算係数)=4305台

 

となります。

 

多少数字にブレがあるとしても、3年間で3000台~4000台のSSD/HDDが販売されたと推定されます。この辺りは、更に詳しいデータが今後出てくるかと思いますが、犯人が他にHD/SSD仕入れるルートを持ってなかったとすれば(あればあったで違う事件に発展しますが…)、

 

ブロードリンク社は、3000台以上の機器を無断で持ち出された事を、まったく検知できてない事になり、責められても仕方がないのではないでしょうか。

仮にもセキュリティのライフサイクル(安全なHD廃棄・処分)を担う会社で、内部犯行対策がまったく働いてない事について、今後、顧客企業を中心に大きな影響を受ける事は間違いないかと思います。

 

 

余談ですが、、対策案として、ブロードリンク社は金属探知機導入を検討している様ですが、それだけではダメな気がします。監視カメラで(実際に)監視してない事であったり、当番では無い監視が緩い時間帯に特定の社員が不審にセキュリティエリアに入退室している事への検知対応であったり、廃棄記録までトレースが出来てない事であったり、(推定になりますが)ほとんどの作業を正社員の場合は1名運用出来ている事であったり、内部犯行の視点で何もセキュリティが考えられてない部分については、外部の視点でも検証が必要なのではないでしょうか?

単純に金属探知機を入れてもそれを潜り抜ける悪意のある者を防げないと、また事件は起きてしまう可能性があり得る気がします。

 

性善説」は日本でも崩れた(崩れ始めている)。その認識を持つ事が残念ではありますが、重要になってきている様に感じます。

 

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  壊れたハードディスクのイラスト
 

 

更新履歴

  • 2019年12月8日AM(予約投稿)