ニュース 2021.01.06 倉庫に眠らせている物理サーバーから、機密情報が漏えいする危険

コンピュータを倉庫に保管したまま放置したり、データを初期化しただけで他人に譲渡するなどした場合、搭載されているハードディスクから情報が漏洩する可能性は充分にある。

12月4日、オリックス・ホテルマネジメントは、同社が運営する「ハンドレットステイ東京新宿」の予約者情報、約21万人分を記録したサーバーが紛失していることを発表。

サーバーに記録されていた予約者情報は、2010年7月14日から2018年2月2日までの宿泊者の名前、住所、電話番号、メールアドレス、生年月日などで、外部に流出した可能性があるという。

物理ハードディスクが原因の個人情報流出では、2019年12月、神奈川県庁のハードディスクがインターネットオークションを介して転売された件が記憶に新しい。

東京地方裁判所はこの事案について、2020年6月9日、元社員の被告に対して懲役2年、執行猶予5年の有罪判決を言い渡している。

中古のコンピュータやハードディスクドライブに、前の所有者のデータが残されていたというトラブルは、偶発的なものだけではない。

それらを意図的に購入し、保存されているデータを復元させることで個人情報などの機密データを入手する手口も実際に使われているという。

ハードディスクは、初期化しただけでは、データが消えているように見えるだけで、実際にはハードディスク上にデータが残されたままであることも多い。特殊なソフトウェアを使えば、削除されたファイルの復元は可能なのだ。

総務省では、不要になったコンピュータのハードディスクや記憶媒体のデータ消去に関するガイドライン「国民のための情報セキュリティサイト」を公開しており、その中で、データ消去方法として以下のような対応を推奨している。

１）データ消去ソフトウェアの利用
２）ハードディスクや記憶媒体の物理的破壊
３）専門業者のデータ消去サービスの利用

倉庫に眠っているサーバーなども含め、情報の廃棄、保管が適切に行われているか、企業や組織内での確認は改めて行っておくとよいだろう。

【関連リンク】

・国民のための情報セキュリティサイト（総務省）
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/09.html

・オリックス孫会社、個人情報21万件入りサーバを紛失　外部に持ち出された可能性も（IT media）
https://www.itmedia.co.jp/news/articles/2012/07/news096.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock