神奈川県庁のサーバーで使われていたHDDの流出事件、転売した男性が窃盗容疑で逮捕される 146
ストーリー by hylom
まあそうなるだろうなあ 部門より
まあそうなるだろうなあ 部門より
神奈川県庁のサーバーで使われていたHDDが転売され情報流出が発生した事件で、HDDを転売していた男性が12月6日に窃盗の容疑で逮捕された(時事通信)。また、同日には総務省が個人情報を保存していた記憶装置について物理的に壊す、もしくは強力な磁気を照射してデータを消去するよう全国の自治体に通達を出したという(朝日新聞)。
容疑者は2016年3月ころから廃棄依頼されたHDDを持ち出しての転売を行っていたという(piyolog)。
(追記@16:25)転売されたHDDの処理を請け負っていたブロードリンク社が9日15時に記者会見を行った。これによると、容疑者はネットークションに3904個の記憶媒体を出品していたという(朝日新聞)。
データキラー (スコア:5, 参考になる)
会社でDiskやテープなどの磁気メディアを廃棄するときは、いわゆる「データキラー」でガッチャンガッチャン磁気破壊してから捨ててました。
さらに総務ががんばってボール盤で穴まで開けてくれてたのもあったっけ。
#エライ人になにか言われてたらしい。
これから企業や官公庁向けとかでデータキラー的なものが売れるんだろうか。
#リサイクルする場合は shred で消すだけ。
Re:データキラー (スコア:1)
昨日ニュース映像見てたら、小さめのデータキラーの横にPC置いて作業してたけど。
今のは、電磁波の影響とか問題ないのかな。
昔データキラーを使っていたときは、半径数m(5mくらい?)に精密機器(時計)に電子機器や磁気メディアは置かないようにと言われてました。
作業するときは、携帯電話、腕時計、IDカードに財布(クレカその他)はまとめて袋に入れて、部屋の外で保管しておいてからガッチャンガッチャンやってた。
Re: (スコア:0)
いや、きちんと使い始める時から暗号化してください。
そうすりゃ最後はそのまま破棄できるのでそれで十分。
物理破壊までは要らない。
公官庁では余計な税金は使わないようにしてもらいたい。
Re:データキラー (スコア:1)
暗号化してもそのまま破棄したら将来破られる可能性がありますけどそれは、、
Re:データキラー (スコア:1)
今どきは、ファイルサーバーの機能や Bitlockerとかで暗号化はしていますよね。
それでもDiskを廃棄するときは必ずデータ消去か破壊をするような規定になっているところが多そう。
Re: (スコア:0)
そんなん言ってたら破壊してもプラッタの磁気パターンを直接読まれる可能性だって…。
Re:データキラー (スコア:1)
誰かみたいに閣議決定すれば解決っちゅうわけにはいかないんですよ
Re:データキラー (スコア:1)
某社にて10年近く前にガチでやりました。
HDDを1個だけ(RAIDじゃなかった)持ち込まれ徹底消去してくれと。
DBANのDoD Shortで消去した後、分解してプラッタに分けて更にペンチでバラバラに分割。
部内と持ち込んだ経理部長に協力を仰いで、自宅とか駅で不燃ごみとして捨ててね、と。
「復旧できるもんならやってみやがれ!ってレベルなので協力してください」と言ったら絶句しつつ受け取ってくれました。
# HDD1個だけだからできたんですけどね。
Re:データキラー (スコア:1)
事業系廃棄物ですね。
本当は自宅に持ち帰って捨ててもダメです。
Re: (スコア:0)
数年で陳腐化するような機密に限って暗号化で対処するならそれはそれでいいかなとも思ったけど、そのあたりの見極めを厳密に出来るような人材を置いていちいち管理してたんじゃその方が高く付くよな。
Re: (スコア:0)
ウチの会社もエライ人がHDDは処分前にボール盤で穴開けろと言ってきます。
まぁ捨てた後の安心感はありますね。
Re:データキラー (スコア:2, 参考になる)
こんなのとか。
http://www.century.co.jp/products/kd2535ers.html [century.co.jp]
他のメーカーのも消去のためだけに買うにはもったいなく感じる値段だけどね。
Re:データキラー (スコア:1)
その商品でコピーしようと思ったら、間違えて消しちゃいましたテヘッになりそうで怖い。
Re:データキラー (スコア:1)
10年以上前ですが、PCのリサイクルセンターでまさにそんな感じのDisk消去専用PC(内製)を見たことあります。
製品として、似たようなのがあるかどうかは知らない。
続報「3904個盗んだ」 (スコア:4, 参考になる)
「ブロードリンク社長が会見 記憶媒体の落札は3904個 [asahi.com]」
高橋容疑者が入社した2016年2月以降、同容疑者がオークションに出品して落札されたものは7844個で、このうち記憶媒体が3904個あったという
ほぼ毎日盗んでいた [asahi.com]ことを裏付ける内容。廃棄すべきゴミ(HDD筐体あるいはそのカス)がないことに気づかない会社って、どうなってんの?
Re:続報「3904個盗んだ」 (スコア:2)
雑に1日平均を求めると
記憶媒体のみだと
3904[個]÷((365[日]-120[休日])×3年)=5.3個
全体だと、
7844[個]÷((365[日]-120[休日])×3年)=10.3個
毎日運び出さないと無理でしょうし、削除ソフト掛けてる余裕はなさそうです
Re:続報「3904個盗んだ」 (スコア:1)
「世界最悪級の流出」ブロードリンク社の2chスレを見ると事件は起こるべくして起こったことがわかる
http://kan3.hateblo.jp/entry/2019/12/07/151750 [hateblo.jp]
真偽不明だけど闇深案件かしらね
Re: (スコア:0)
色々と理解不能ですわ
Re:続報「3904個盗んだ」 (スコア:1)
4年弱で約8000個(内HDDが約半数)を盗んでいたってことは、休日を考慮しなくても
1日平均5個以上になります。
USBメモリみたいな小さいものならともかく(そういう問題ではありませんが)、HDD
のようなそれなりに大きいものも持ち出していたのに気づかないというのは、会社の
管理体制がザルだったとしかいいようがありませんね。
受け入れた重量と、廃棄した(金属等の再生材料として出荷した)重量の比較だけでも
わかりそうな気がしますけどね。
1日あたりHDD数個で数十Kgじゃ誤差範囲だったのでしょうか。
Re:続報「3904個盗んだ」 (スコア:2)
ここまでになると、ザルというよりもグルやな。
会社ぐるみと言われても反論できんやろ。
Re:続報「3904個盗んだ」 (スコア:1)
最近のサーバ用HDDはそんなに重いものなのでしょうか?
typo?
Re:続報「3904個盗んだ」 (スコア:1)
愛妻弁当に決まってるだろ
Re:続報「3904個盗んだ」 (スコア:1)
出勤時に何持ち歩いても勝手だけど、そういうのは機密エリアには持ち込み不可だし、
持ち出しも厳禁だから。
出入りは全て前後から録画され、その時に何か隠し持ってれば速攻で逮捕する
体制ができてれば、こんな事件は起きようはずがない。
……のだけど、凄まじく杜撰な体制だったんだね。
なぜ消去まで自社でやらないのか (スコア:3)
漏れたらトンでもない額の賠償背負わされるクリティカルな部分を「安いから」って社外に委託するとかなんなの?バカなの?
委託された会社も会社で、コンビニバイト並みの給料のヤツにこんな業務やらせたら何かやらかすに決まってるじゃん?安月給のヤツに致命的業務を任せすぎ。デリケートな仕事やらせるならもっと給料を出せ。
データ転売ではない (スコア:1)
データ転売じゃなくて、物理的なHDDの横流し(中身は知らない)ってあたりが、
IT後進国だよなぁ、と。
まぁ、データ転売された方が被害が大きい&バレにくいので問題ではあるが。
気軽に穴開けろと言うが (スコア:1)
今の高密度HDDはヘリウム充填だから屋内で穴開けたら人死ぬと思うんだけど
クライアント端末ぐらいなら入ってないか
Re:気軽に穴開けろと言うが (スコア:1)
アパマンショップ「消臭スプレーぐらいで爆発はせんやろwwww」
モノタロウ「せやせやwwww」
処理業者レベルで大量に扱うとあるかもよ(ない
Re:気軽に穴開けろと言うが (スコア:1)
バラエティ番組の録画中にヘリウム混合ガスで変な声にしようとして、当時12歳だったアイドルが声を変えるパーティーグッズのスプレー缶を吸引して死にそうになった [sankei.com]事例はありますね。韓国製ダイソー商品でヘリウム80%、酸素20%だったとか。その事故で番組は終了 [wikipedia.org]したそうです。顛末はここにまとめて [naver.jp]あるみたいです。
物理的に破壊するのは良いけどさ (スコア:0)
今回の場合リースだったじゃん。
割増料金払ってね
Re:物理的に破壊するのは良いけどさ (スコア:1)
割増料金取って横流しするんですね
わかりますん
Re:物理的に破壊するのは良いけどさ (スコア:1)
???
自治体が破棄するときにHDD破壊なり磁気消去なりでパーツとして利用できないようにしろとお達しが出てるのにどういうことだ?
利用できないHDD横長しても基板くらいしか取るところ無い気がするが。
故意に破壊してんだからパーツ代出せよってこと。
HDD破壊できる契約ならその分高くなる。
Re: (スコア:0)
リース会社に戻ったときにHDDは物理破壊するという契約で、不履行で横流しするって話。
お役所的には (スコア:0)
破棄済扱いなら見れようが見れまいが問題ない扱いになるのかな?
Re:お役所的には (スコア:1)
データ破棄は専門業者に頼んだ扱いだから、その会社から破棄証明が来れば信じるしかない。
流出が起こったら委託業者の責任。
Re:お役所的には (スコア:2)
ましてやISO27001取得企業 [broadlink.co.jp]
■情報セキュリティ■
ISO27001 認証登録番号 IS 517544
Re:お役所的には (スコア:1)
4年足らずで4000個近くのHDDを持ち出されて外部から指摘を受けるまで気づかない、そんな管理体制にお墨付きを与える認証システムの何を信用できるの
Re:お役所的には (スコア:1)
管理体制があるかどうかで、有効に機能しているかは関係なかった気がするけど
Re:お役所的には (スコア:1, おもしろおかしい)
「公文書ではない」と閣議決定すれば消えたことになります
SSDって (スコア:0)
強力な磁気でデータ飛ぶの?
Re:SSDって (スコア:2, おもしろおかしい)
磁気で記録してるわけじゃないので飛びません。
その代わりSSDは一括消去のためのコマンド(Secure Erase)があり、操作も速いので磁気消去装置持ってなくても楽にできます。
どっちにしろHDDでもSSDでも物理破壊が一番有効です。
SSDは溶解処理が楽ですし。
Re: (スコア:0)
SSDでもHDDでも、実メディアに達すればサンポールで良いだろと。
Re:SSDって (スコア:1)
BIOS等で起動時に削除コマンドを次回電源ONまで無効化したりしてます。
スリープとかで無効になっちゃいますけどね。
Re:SSDって (スコア:1)
電子レンジで十分な気がする。
昔、CD-RやDVD-Rを廃棄するときに、
誰も使っていない電子レンジで。
結構、きれいに輝くの。
Re: (スコア:0)
だから「物理的に壊す、もしくは強力な磁気を照射してデータを消去するよう」にと通達している。
追記式光ディスク(ドライブじゃないよ)についても同様。
Re: (スコア:0)
MRI並みの磁力をかければ、物理的にSSDの内部構造を破壊できるのではなかろうか?
Re:SSDって (スコア:1)
強力な磁気を照射してデータを消去する (スコア:0)
いやいやいや、それ本当に消去できたかどうか確認できないんじゃないですか?だったらダメですよ?
粉砕するか、キュリー点以上の高温で焼くか、酸などで溶解するか、手軽なのは粉砕ですが
個人的にお勧めは溶解です。廃液の問題なんかあってなかなか採用しにくいのが残念です。
リース品の返却時にはNATO規格(0x00 >> 0xFF)x3 + RNDで消去してくれるプログラムを走らせます。
ものすごく時間かかりますけど、仕方ない。
Re:強力な磁気を照射してデータを消去する (スコア:1)
データが含まれているからですか?(んなわけねーだろ
Re:強力な磁気を照射してデータを消去する (スコア:1)
>リース品の返却時にはNATO規格(0x00 >> 0xFF)x3 + RNDで消去してくれるプログラムを走らせます。
ランダムで7回上書きすれば良いんでしたっけ。
% shred -n 7 -v /dev/sdax
とか
うちはだいたい -n 3 でやってます、 -n 7 だと倍以上時間かかりますね。
Re: (スコア:0)
あわせ技でドリルで穴開けて薬液ちゅーとかどうだろう。少しで済みそうだし。