忘れたデータが山盛り——中古PCからの情報漏えい（ITmediaエンタープライズ）

2008年11月17日(月) 08時50分

忘れたデータが山盛り——中古PCからの情報漏えい（ITmediaエンタープライズ）

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が日常生活に潜む情報セキュリティの危険や対策を毎週土曜日に解説しています。

【「情報漏洩」最新記事一覧】

　今回のテーマは、中古PCからの情報漏えいです。最近では、初めてPCを購入するというよりも、買い替えや買い増しをするPC利用者が多いようです。この場合、以下のようなシナリオが想定されるでしょう。

　Aさんは5年前に購入したノートPCを愛用していました。最近はさすがに処理能力やHDDの容量に不満を感じ、周囲もWindows Vistaマシンに変えつつある状況をみて、「そろそろ買い替えなければいけないかな」と思い始めました。そこで、今使っているノートPCをどうすべきか——親戚の人に譲るとしても、後からトラブルの質問などされるのも面倒だし——と考え、中古PCの買い取り業者へ売却を検討しました。売却の見積り金額は約1万2000円。安いとは思いながらも、新規購入するPCの足しになればと考えました。

　しかし、Aさんは「中古PCに保存したデータはどうしよう」と思いました。そこで、データを別のHDDにバックアップし、添付のリカバリCDでPCを初期化しました。作業自体は数分間で完了し、画面上には「購入前のイメージに戻す」「終了する」という選択肢が表示されましたが、Aさんはもう使わないので「終了する」を選択し、買い取り業者に初期化したPCを持っていくことにしました。

　この場面で、Aさんが取った行動には大きな誤りがあります。賢明な読者はお気付きだと思いますが、Aさんがした操作ではPCの中にあるプライバシー情報が漏えいしてしまう可能性が高いのです。

　先日、わたしのセミナーに来場した女性がノートPCを持参して、「初期化をしましたが、このまま中古業者に渡しても大丈夫ですか。この状態でもデータを復元できるのでしょうか？　」と訪ねてきました。その場でわたしが復元処理をしてみると、PCに保存された女性の情報が山のように復元されたのです。

　復元できたデータは、勤め先の報告書や企画書、議事録、プレゼンテーション資料、稟議書、システム運用解説書、社外秘資料、新製品解説書、部全員の住所録、緊急連絡先一覧、得意先名簿、名刺スキャンイメージ……などです。プライベートなデータでは、日記帳や年賀状リスト、飲み会リスト、テニス同好会名簿、家計簿、レンタル品リスト、株投資収支一覧、インターネット情報……がありました。さらに、デジタルカメラで撮影した画像のフォルダには、実家や誕生日会、正月、クリスマス、恋人、友人、テニス……などのジャンルに整理されていました。

　女性のPCには、公私にわたる情報が集約されていたのです。これは決してそれは特別なことではなく、一般のPC利用者であれば少なからずこのような状況にあるのではないでしょうか。

　わたしは女性に、「PCを売ることは、これらのすべての情報も一緒に中古業者に渡すことになりますよ」と告げました。そのとたん、彼女はその場で泣き崩れてしまったのです。そこで、復元不可能となるように女性の了承を得てデータを完全削除しました。作業完了後にデータ復元ソフトウェアを再度実行して、今度はデータが完全に復元できないこと確認してもらいました。最後に女性の顔にはようやく笑顔が戻りました。

なぜデータが復元できるのか？

　前回の記事でも紹介しましたが、「ファイル削除」「ゴミ箱を空にする」「初期化をする」「フォーマットする」といった操作は、実際にはデータ本体が保存された領域に対して何も処理をしていません。データの索引情報の一部を変更して、OSからは「存在していない」と見せかけているだけです。

　しかし、最近のPCに添付されているリカバリCDなどにはPCを廃棄することを考慮して「HDDの内容を完全消去する」といった操作項目が入るようになりました。完全消去は、リカバリ操作とは関係のないものですが、関係団体からの要請もあり、メーカーがリカバリCDの項目にPCの廃棄や譲渡でデータが漏えいしないよう完全消去できるようにしました。もし、完全消去の項目がない場合には、ユーザー自身が専用ソフトウェアを入手する必要があります。

●中古PCに氾濫する“忘れられた”データ

　わたしは、2002年に放送されたNHK「クローズアップ現代　あなたのデータが流出する〜パソコンリサイクルの落とし穴〜」の取材に協力しました。実際に秋葉原で購入したPCやHDDのデータの復元処理をテレビカメラの前で行い、約7割のデータを復元できたのです。

　復元したデータの詳細な内容は放映されませんでしたが、一流電気メーカーの某工場の人事情報や、数百通の電子メール、何万枚ものわいせつな画像、デパートの空調配線図、合奏団の個人情報、結婚式の写真など、かなりの種類を復元できたのです。もちろん、取材終了後に復元したすべてのデータを廃棄処分にしたので個人情報の流出はありません。

　データ復旧の専門企業に「どのくらいの割合で復元できるのか」と質問したところ、だいたい5〜7割程度になるそうで、わたしが実際に復元した「7割」という数字は当時の平均的な傾向だと思われます。

　NTTネオメイトは、2005年と2006年に東京と名古屋、大阪、福岡で購入した中古PC100台のデータ復元調査の結果を公表しています。その結果、2005年の調査では復元可能な中古PCが23％、2006年の調査では14％というものでした。

　さすがに、最近ではこうした問題がさまざまな場所で提起されるようになり、データを復元できる中古PCの割合は下がっているのではないでしょうか。おそらくは、数％程度かもしれません。しかしこれだけ叫ばれていても、復元可能な中古PCの流通は完全にはなくなっていないようです。

　PCを買い替える場合には、データを完全消去してくれる信頼のできる業者を選ぶことも大事ですが、できればユーザー自身の手で完全消去すべきでしょう。「自分の身は自分で守る」というのはセキュリティの基本原則です。信頼のおける業者であっても、万が一の事故が起きる可能性はゼロではありません。

　最も怖いのは、ユーザーが「自分のPCにはそんなファイルなどない」と勝手に判断してしまうことです。こういうケースは、わざわざ情報漏えいの的になるようなものです。PCの中は、ユーザー自身でも気付かないほど情報が溢れています。前述の女性のケースのように、「こんなファイルがあるなんて知らなかった」「これは以前にインターネットでダウンロードしただけの画像なのに」「会社のファイルは自宅にあるはずがないと思っていた」というユーザーが圧倒的に多く、わたしのセミナーでデモンストレーションをすると真っ青になる方が多数いるのです。

　電子情報技術産業協会（JEITA）は、2002年8月に「パソコンの廃棄・譲渡時のハードディスク上のデータ消去に関するガイドライン」（PDFファイル）を公開していました。ここに記載された内容も併せて読んでみると、中古PCに潜む情報漏えいの危険についての理解を深めることができるでしょう。

●萩原栄幸

ネットエージェント取締役。コンピュータソフトウェア著作権協会技術顧問、NPOデジタル・フォレンジック研究会理事、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

【関連記事】
・ → 「中古」最新記事一覧
・ → 「データ復旧」最新記事一覧
・データは消えない——メモリカードやUSBメモリに潜む落とし穴
・オークションとバンキングが標的——統計から見るサイバー犯罪の最新動向
・昼休み中のPCセキュリティ実態——2割が「何もしていない」

http://headlines.yahoo.co.jp/hl?a=20081117-00000030-zdn_ep-sci