Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ブロードリンク社の事件は企業に対する警鐘

つぶやいてみた。

「内部犯行」は発生頻度こそ、他の攻撃ケースに比べて低いものの、一度発生した場合は影響範囲(損害)が大きいと言われますが、昨年12月に公表されたブロードリンク社の内部不正(機密データが残存したHDD等のオークション等での販売)は、その影響が企業にとって無視できないものである事を改めて教えてくれています。

www.itmedia.co.jp

 

 神奈川県の行政文書を保存したHDDがインターネットオークションを通じて流出した事件で、神奈川県庁のものを含むHDD24個を盗んだとして、警視庁捜査3課は22日、窃盗容疑で、廃棄処理を請け負った情報機器会社「ブロードリンク」元社員の高橋雄一被告(51)=横浜市旭区都岡町、同罪で起訴=を再逮捕した

 高橋容疑者は調べに容疑を認め、「何のデータが入っているかは知らなかった」などと供述。捜査3課によると、2016年3月からHDDや会社の備品など約7900点をネットオークションに出品しており、約2000万円を得ていたとみられる。これまでに情報の漏えいは確認されていない。

 HDD24個のうち18個が神奈川県庁のもので、19年7月から9月までの間に盗み出したとみられる。残る6個もネットオークションに出品されて落札されていたが、捜査3課は廃棄の依頼元などを明らかにしていない。

 再逮捕容疑は19年6月6日ごろから同12月1日ごろ、東京都大田区にある同社テクニカルセンターのデータ消去室に保管されたHDD24個時価計4万8000円相当)を盗んだとしている。

(IT Media記事より引用)

 

◆キタきつねの所感

高橋容疑者が再逮捕された様です。神奈川県庁の機密データが入った記憶媒体(HDD)は、24個ではありますが、去年調べた所(手計算ではありますが)、2042万円の累計落札があり、そのほとんどがブロードリンク社の廃棄物であったと推測されますが、、NHKが2000万円を捜査当局からの情報として1/23に記事にしている事から考えると、

www3.nhk.or.jp

記者さんは、12月にあまり詳細調査してなかった様ですね。。。

 

 

ブロードリンク社からの情報漏えい事件を調べてみた - フォックスエスタ(12/19記事)

 

f:id:foxcafelate:20200125072408p:plain

 日々セキュリティ関係の事件発表は続いている為か、まだ事件公表から2か月経過してないのですが、随分前だった錯覚を覚えます。

 

落札した媒体についていえば、過去4年間に相当数の媒体(約4000台)が高橋容疑者を通じてヤフオクで落札されていると推定されますが、朝日新聞がスクープで報じた際に表現として使った「世界最悪級の流出」については、そこまででは無い「被害」で収まっています。

www.asahi.com

 

再逮捕によって「流出」してしまっていた被害組織(企業)が拡大する可能性もありますが、おそらくこのまま収束していくのかな・・と事件の報じられ方を見て思います。潜在的には4000台のヤフオクで(不正)転売された媒体の中には機密データが残っている可能性はありますが、そのまま利用している(機密データを上書きして使っている)ユーザも多いかと思われます。

むしろ初期化された中古ハードディスクを、復元ソフトで覗いてみる事を考える落札者の方が少数派だったと言えるかも知れません。

 出品されていたHDD9個を、IT企業経営の男性が仕事に使おうと落札。使用前に安全性を確かめるため男性が中身を確認したところ、データの存在に気づいた。復元ソフトを使うと、神奈川県の公文書とみられる大量のファイルが保存されていたという。

 男性からの情報提供を受け、朝日新聞が11月27日に県に情報流出の可能性を指摘。HDDに記されていた製品番号から、県のサーバーに使われていた実物と分かった。

朝日新聞記事より引用)

 

ざっとその後の報道を調べましたが、事前に専用ソフトウェアで消去せずにブロードリンク社へデータ消去委託した自治体なども一定数居た事が分かります。つまり「不発弾」はまだ眠っている可能性が高いのですが、「落札者の善意」に基づく回収依頼だけでは、恐らく「不発弾」の回収はこれ以上進まないかと思います。

 

参考:

長野県のデータ廃棄もブロードリンクが処理 :日本経済新聞

銀行もNHKも…個人情報流出事件ブロードリンクの大取引先 | Smart FLASH[光文社週刊誌]

鳥取)ブロードリンク 県教委など7件契約:朝日新聞デジタル

群馬県、個人情報流出なし HDD転売問題で :日本経済新聞 

神奈川県データ流出のブロードリンクの闇…防衛省や最高裁判所もデータ消去委託か

栃木県のデータ消去委託26件 富士通系からブロードリンク :日本経済新聞

新潟県のデータ ブロードリンクが消去 :日本経済新聞

個人データ流出問題 南九州3県でも処分委託 情報流出の報告なし /宮崎 - 毎日新聞

岡山県のデータ消去2件担当 神奈川県HD流出業者、被害なし:山陽新聞デジタル|さんデジ

ハードディスク流出企業に前橋市も処理委託 昨年度1267台

 

さて、内部犯行についての意識が低すぎたブロードリンク社ですが、やはり大きな社会的な制裁を受けている様で、顧客からの指名停止などの影響を受けてビジネスを縮小しています。従業員の解雇予告も既に12月に行っており、名古屋支社、福岡支社、仙台支社、沖縄支社、広島営業所の閉鎖も決まっています。(東京と大阪の2拠点体制になる)

 

HDD流出のブロードリンクが解雇と事業所閉鎖へ、事件に伴う業績悪化で | 日経 xTECH(クロステック)

 

こうした1つの事件が会社経営に与えた影響を考えると、経営層がもっとセキュリティをビジネスの根幹として考える必要性は益々強くなってくるのではないでしょうか。

 

 

余談です。久々にブロードリンク社のホームページを覗いてみたのですが、12月20日付で「再発防止策」が出ていました。

f:id:foxcafelate:20200125130236p:plain

 

 

対策内容は、自社内で媒体廃棄、金属探知運用を行う方等、セキュリティ施設での運用を考える方にとっても参考になるかと思います。

 

f:id:foxcafelate:20200125130731p:plain

f:id:foxcafelate:20200125130845p:plain

f:id:foxcafelate:20200125130951p:plain

f:id:foxcafelate:20200125131058p:plain

 

 

 

 

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

ネットオークションで買い物をしている人のイラスト

 

更新履歴

  • 2020年1月25日AM(予約投稿)