確実に消去!データ消去完全ガイド
確実に消去!データ消去完全ガイド » データ消去の基礎知識 » データの漏洩事故

データの漏洩事故

ニュースでもたびたび見かける、企業や公的機関などからのデータ漏洩事故。データの漏洩はどの企業・組織でも起こりうる可能性があるため、徹底した対策が必要です。ここでは、過去の事例から考えるデータ漏洩事故の原因と対策を考察します。

[2019年12月]神奈川県庁のHDDデータ流出事件

2019年12月、神奈川県庁がリースしていたサーバーのHDDから、行政文書データが漏洩するという事故が起きました。

神奈川県はリース契約満了に伴い、リース会社にHDDを返却。リース会社はデータ消去の専門業者にデータ消去を委託したのですが、委託先の専門業者のスタッフが不正にHDDを持ち出し、ネットオークションに出品しました。購入者がHDDデータ復元を行ったところ、復元された一部のデータに県の内部情報があることがわかり、事件が発覚しています。

不正に持ち出されたHDDは18本で、全て落札されました。データには個人の納税情報・職員の評定・公共事業関連の書類などが含まれていたとされています。

参照元

データ流出の原因

初期化だけで安全だと思っていた

HDDを初期化してもデータが完全に削除できるわけではありません。しかし、神奈川県はリース会社にHDDを返却する際、簡易的に初期化しただけでHDDを返却しています。初期化するとデータは消えているように見えますが、オークション落札者が復元ソフトで簡単にデータを復元したように、ソフトさえあればデータは復元できてしまうのです。

管理体制がずさんだった

神奈川県の担当者はリース会社がデータ消去の専門業者にHDDのデータ消去を依頼していることを知りませんでした。通常再委託をする場合は、委託元にその旨を通知する必要があります。

また、再委託先となった業者では、3年前から犯行が行われており、ずさんな管理体制だったことがわかります。

HDDをリースすることも、データ消去を依頼することも問題はありませんが、リース返却から7ヶ月経っても破壊証明書を受け取っていません。神奈川県・リース会社・データ消去の専門業者のいずれもがずさんな管理体制だったことも、データ漏洩の原因と言えるでしょう。

データ流出防止の対策

物理的破壊の立ち会いや破壊証明書発行の徹底

神奈川県は今後の対策として、リース契約満了時に県職員立ち会いの元でHDDを物理的破壊するように契約の見直しを行うとしています。

リースしているHDDのデータ消去を依頼する場合は、立ち会いを行うか、破壊証明書の発行依頼の徹底が一つの対策となるでしょう。

完全にデータを削除する

HDDはただ単に初期化するだけでなく、データ消去専用ソフトなどを使用し、復元ソフトで復元ができない状態まで完全に消去することでデータ漏洩を防げます。リース契約でHDDの物理的破壊ができない場合は、データを完全消去して返却しましょう。

[2022年1月]株式会社AndDoホールディングスの顧客情報漏洩事件

株式会社AndDoホールディングスは、子会社であるハウスドゥ住宅販売に在籍していた元従業員によって、同社が保有している顧客情報64件や営業資料が流出していたと発表しました。元従業員は、データを転職予定先の不動産会社にメールで不正送信していたということです。

元従業員は不正競争防止違反で逮捕され、転職後の営業成績を上げる目的で犯行に及んだことを認めています。

参照元

データ流出の原因

この顧客情報漏洩事件は、外部からの不正アクセスで起きた問題ではなく、内部で起きた犯行です。情報セキュリティにおいては、外部からの不正アクセスを防ぐためにセキュリティの強化が謳われますが、いくら外部からのセキュリティを強化しても、内部で犯行が起きてしまえば、データ漏洩を防ぐことはできません。

元従業員のモラルが低かったことが流出してしまった1番の原因ではありますが、個人が簡単に社内情報を持ち出せてしまう管理体制の甘さもデータが流出してしまった原因と言えるでしょう。

データ流出防止の対策

情報管理のガイドラインの徹底

現代は誰もが簡単に情報にアクセスできる時代です。その中で情報を守るためには、社内での情報管理についてガイドラインを作成し、徹底する必要があります。自社で明確なルールを設定し、全ての社員が把握できるようにしておきましょう。

情報の持ち出し禁止

社内情報の重要度に関わらず、扱っている情報を社外に持ち出すことを禁止することもデータ流出を防ぐために有効な対策です。情報がどの程度重要かは、その情報を目にする人によって異なります。そのため、重要度が低いと思われる情報でも、流出すれば大きな問題になるかもしれません。全ての社内情報を原則的に持ち出し禁止にすることで、データ漏洩を避けられます。

アクセス権を制限する

株式会社AndDoホールディングスの事件で、元従業員が顧客情報にアクセスする必要があったのかは定かではありません。ただ、社内の全ての情報に誰もがアクセスできる状態では、簡単に情報漏洩してしまうリスクがあります。その情報を必要とする担当者にだけIDやパスワードを付与しておけば、万が一データが流出しても、誰がその情報にアクセスしたかを簡単に把握できます。

[2022年1月]北海道ガス株式会社のHDD紛失事件

北海道ガスが保管していたHDDの所在がわからなくなり、記録されていた顧客情報31,463件が流出した可能性があるという事件です。このHDDには2001〜2013年に北海道ガスでガス内管工事を行った顧客情報や、工事を委託した会社の従業員情報が含まれていました。

最後にHDDを使用したのは、2019年2月です。社内でのヒアリングで、HDDのデータは消去されているとの証言も出ていますが、データが完全に消去された記録はありません。また、このHDD紛失によって、データが不正使用されたという事実や被害の報告はないということです。

参照元

データ流出の原因

この紛失事件が起きてしまった原因は、HDDの管理データが記録に残っていないことです。2019年2月まで使用されていたことはわかっていますが、それ以降どのように保管されていたのか、データはいつ廃棄したのかなどの情報が一切ありません。

例えば、物理的破壊でHDDを処分したとしても、その事実を記録していなければ、今回のようにデータが行方不明になって大きな問題に発展してしまうのです。

データ流出防止の対策

データが紛失してしまうことを避けるためには、どこにデータを保管しているのかを把握しておく必要があります。定期的に確認し、担当者が変わる際は引き継ぎを徹底しなければなりません。

また、データを消去した場合、HDDなどを物理的に破壊した場合も、その旨を記録として残しておく必要があります。廃棄日・廃棄したデータの内容・廃棄責任者等を明確にし記録しておきましょう。廃棄したことがわかっていれば、時間が経っても「データがどうなったのか誰もわからない」ということは起きません。

[2022年1月]メタップスペイメントの不正アクセス・カード情報流出事件

決済情報などが格納されているメタップスペイメントのデータベースが不正アクセスに遭い、個人情報など流出しました。
被害を受けたのは3つのデータベースで、具体的には次のような攻撃がありました。

  1. 社内管理システムに対する不正ログイン
  2. 一部のアプリケーションに対するSQLインジェクション
  3. バックドア(不正ファイル)の設置

攻撃は2021年8月から2022年1月に行われ、決済データセンターサーバーの中に配置されていた一部アプリケーションの脆弱性をターゲットとした不正アクセスだと言われています。

そして、この不正アクセスにより、2021年10月から2022年1月まで利用者によって使用されたクレジットカード情報、最大約46万件のカード番号・有効期限・セキュリティコードの流出があった可能性が生じました。
また、同時に38件に上る加盟店の情報も流出した可能性があります。

参照元

データ流出の原因

不正アクセスそのものも大きな原因ですが、メタップスペイメントについては、自社のクレジットカード決済システムが、クレジットカードにおけるデータセキュリティの国際的基準を満たしていなかったことも要因となりました。

そのため経済産業省は、割賦販売法第35条の17の規定に基づき、メタップスペイメントへと業務改善命令を出しています。
そして第三者機関による検証を行った上で、再発防止策に取り組むよう求めたのです。

さらには、経済産業省がメタップスペイメントに業務改善命令を出したのにはほかにも理由がありました。
そもそもWebアプリケーション脆弱性診断の報告書に改ざんが認められたためです。

データ流出防止の対策

業務改善命令を受け、メタップスペイメントが実際に行った今後のデータ流出防止対策は次のようなものでした。

①社内管理システムに対する不正ログインに対して

メタップスペイメントでは不正ログインの対策として、ログイン認証方式の強化を実施。
さらにはシステム環境を分離し、不正ログインによる影響を各ブロックにとどめられるよう設定しました。

②一部のアプリケーションに対するSQLインジェクションに対して

他者がSQLコマンドを悪用し、一部のアプリケーションへと不正にアクセス、命令を実行させる「SQLインジェクション」の対策に接続元を限定した上で、脆弱性に対する修正も行われました。

③バックドア(不正ファイル)の設置に対して

バックドアは、悪意を持つ他者がデータベースに不正アクセスしたあと、またいつでも侵入できるよう裏口(バックドア)を作るプログラムを指します。
メタップスペイメントではこのプログラムが組まれた不正ファイルを流出事件後に削除しています。

[2022年3月]デジタル庁の認証サービス「GビズID」個人情報漏洩事件

2022年3月30日、デジタル庁は「gBizID(GビズID)」に不具合があったことを発表し、同時に利用者の個人情報が漏洩したことを公表しました。

GビズIDとは、国に対し行政サービスの電子申請をする際、事業者などが利用する共通認証サービスのことを指します。

事業者の代表が「プライム」アカウントに従業員の「メンバー」アカウントを紐づけできる機能がGビズIDには備わっています。
「プライム」アカウントでログインしたあとは、「メンバー」アカウントの情報をCSVで出力することも可能です。

2022年3月30日、とある事業者がこの機能を使い、自社の「メンバー」アカウントの情報を出力しようとしたところ、画面上で特定の操作をすることで、他社の利用者情報を取得できるバグが発覚しました。

過去の利用履歴を洗い出してみると、2022年3月下旬に同じ操作で他社の「メンバー」アカウント個人情報も引き出されたことが判明したのです。

参照元

データ流出の原因

GビズIDにおけるデータ流出は、事業者が自社の利用者情報を取得する際、特定の条件下で不具合が生じ、プログラムのバグを原因として他社の情報まで引き出せたと考えられています。

そのため、デジタル庁ではGビズIDで利用者情報を取得する機能をすぐに停止しました。

また、問題のあった機能は2020年3月から稼働していますが、デジタル庁の調査によると、これまで同様のトラブルはほかに発生していないとのことでした。

バグを修正し、システムを改修したあとは、GビズIDの機能も再開されています。

データ流出防止の対策

デジタル庁が実際に行ったデータ流出防止の対策では、まず事件が発覚した直後に同様のトラブルが起こらないよう、利用者情報の取得機能を即時停止することから始められました。

また、利用履歴の洗い出しにより、流出した利用者情報と、流出先とがはっきりしていたため、それぞれへの対応がまず行われました。

すでに他社の利用者情報を意図せずに取得した事業者に対し、個別に連絡をして謝罪した上で、流出した情報を削除してもらっています。

さらには、利用者情報を他社に取得されるという被害を受けた事業者に対しては、事実関係を説明し、やはりデジタル庁が謝罪しています。

その上で、デジタル庁では今後同様のデータ流出事件が発生しないよう、システムの不具合に関するチェック体制を強化されています。

機密情報に関しては確実
な「廃棄」を考えるべき

上でも述べましたが、初期化だけでデータを完全に消去することは困難です。とくに外部への漏洩を防ぎたい重要機密に関しては、外部に持ち出すことなく社内でしっかりとデータ消去を行い、確実に廃棄することが重要です

データ消去にはいくつかの方法がありますが、記憶媒体として再利用・転売できないようにできるのは物理破壊と磁気消去。ただし、リース契約の満了などでHDDの返却が必要な場合は、データ消去後の再利用が可能な上書消去を選択するとよいでしょう。

「おすすめのデータ消去業者4選」への画像リンク

「おすすめのデータ消去業者4選」への画像リンク

信頼できる
データ消去
メーカー・サービス会社3選
ひと口にデータ消去と言っても、その製品を開発・販売しているメーカーやサービス会社は多々あります。ここでは、その中から信頼性の高いメーカー・サービス会社を3社ピックアップ。それぞれの強みと特徴をご紹介します。
全ての消去方法に対応
高精度なデータ消去
アドバンス
デザイン
アドバンスデザイン
引用元:アドバンスデザイン公式HP
https://www.a-d.co.jp/erase/lp_mwsc10/
  • 幅広いデータ消去ソリューションで適切なデータ消去⽅法を提供
  • バッファローと同グループ会社の高い信頼性

公式HPは
こちら

数多くの
デバイス消去実績あり
ブランコ
ジャパン
ブランコジャパン
引用元:ブランコジャパン公式HP
https://www.blancco.com/ja/
  • 25種類以上の消去規格およびガイドラインをサポート
  • ISO 27040を含む国際的なプライバシー規制へ準拠

公式HPは
こちら

物理破壊
実績が豊富
⽇東造機
⽇東造機
引用元:日東造機公式HP
http://www.nittoh.co.jp/
  • 物理破壊装置の業界シェアNo.1
  • ⽶軍をはじめ世界28ヶ国の政府機関・企業へ納⼊

公式HPは
こちら

※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点

▼スクロールできます▼

アドバンスデザイン ブランコ
ジャパン
⽇東造機
上書き消去
磁気消去
物理破壊
オンサイト対応
ソフト販売
公式サイト

公式HP

公式HP

公式HP