要注意! スマホ買い替え後の情報漏洩
新しいスマホを購入した後に、それまで使っていた古いスマホから情報漏洩するというケースが度々あります。2022年から2023年(現在)にかけて立て続けにそのような事案のフォレンジック調査をおこなってきたことがきっかけで、本記事を書きました。
例1 - 自宅等に放置したスマホが…
例2 - 業者に処分を委託したら…
上の例のようなケースはスマホだけに限った話ではなく、パソコンでも昔から度々起こっていましたが、スマホ比率が「2010年は4%」→「2022年は94%」へと大幅に増加した(NTTドコモの統計による)という背景からか、ここ10年ほどでスマホ買い替え後の情報漏洩事案もパソコンと同じくらい起こるようになりました。
古いスマホからの情報漏洩を防ぐためには、処分方法に関してきちんと考えるべきなのですが、しかしほとんどの人にとってそれは「めんどくさい」ことだろうと思います。「これから使う新しいスマホ」に関心はあるけど「これまで使っていた古いスマホ」には関心が薄い/無い。そして情報セキュリティを特に意識されないまま適当に処分されるか、または特に何もせずに放置される、というのが多いかと思います。
4通りの処分方法の比較
スマホはリチウムバッテリーが内蔵されているので「一般ごみと一緒に捨てる」という処分方法は論外のため、ここでは除外して考えます。また、ネットオークションやフリマのような個人間取引は情報セキュリティだけでなく様々なリスクがあるので、これもここでは除外して考えます。すると、スマホの処分方法は大きく分けると下記の4通りになります。
- 自宅などに放置する
- 中古スマホショップに売却する
- 廃棄業者に処分を委託する
- データ消去サービス
これら各処分方法について、それぞれのリスクやメリット・デメリットを検討しました。手間、時間、機密性、安全維持、費用という5つの項目を3段階で評価したところ、下記の表のとおりの結果となりました。
自宅などに放置する
家族や恋人などが勝手に中身を見てしまうおそれがある。(持ち出されてリアルタイム監視されるおそれもある)
時間経過で徐々にセキュリティが弱くなっていく。(マルウェア感染やサイバー攻撃のリスクが高まり続ける)
※自宅放置に起因するインシデントは意外に多くありますので、放置はお勧めできません。そのようなインシデント事例を本記事内の「情報漏洩事例-1」にて紹介します。
【おすすめ】中古スマホショップに売る
また、信頼できる買取業者の場合は、譲渡後に本格的なデータ消去処置をおこなってユーザーデータを削除するため、情報漏洩のリスクは0(ゼロ)になります。そのため買取業者に譲渡するのは最もお勧めの処分方法ですが、ただし、ずさんな中古ショップや買取業者には注意が必要です。
ずさんな業者が関与すると情報漏洩インシデントが起こってしまうおそれがあります。その事例を本記事内の「情報漏洩事例-2」にて紹介します。
廃棄業者に委託する
※これも「情報漏洩事例-2」にてご紹介します。
データ消去サービスに委託する
法人で重要機密を扱ったスマホや、再利用が許されず厳格に廃棄処分が求められるような場合に最適です。
情報漏洩事例 - 1
スマホ放置に起因する情報漏洩
スマホを自宅に放置している場合の情報漏洩リスクに関して、代表的な例は下記3つです。
- 1,盗み見 誰かが勝手にスマホを盗み見る、またはスマホを持ち出されてしまう(盗まれてしまう)というケース。
- 2,悪質アプリ ストーカーアプリなどを仕掛けられて、盗聴・盗撮や情報漏洩が起こるケース。
- 3,サイバー攻撃 コンピュータのセキュリティは時間の経過とともに徐々に低下していくので、保守管理せずに放置したままだとウイルス感染やサイバー攻撃にあってしまうリスクが徐々に高まっていきます。
上記の例のうち3番はレアケース(稀な事例)です。ただし今は大丈夫だとしても時間の経過とともにスマホの脆弱性は増していきます。つまり時間経過でサイバー攻撃に遭うリスクもジワジワ増加していきます。
2番のストーカーアプリ等に関しては、2019年頃までは様々なメディアでニュースになるほど度々発生していましたが、2023年現在ではベンダー側の対策が進んだためピークは過ぎて沈静化しつつあります。
2番・3番と違って、1番の「盗み見や持ち出し」は現在でもかなり多く発生しており、いま最も警戒すべき脅威だと言えます。
当社がフォレンジック調査の依頼を受けた事例では、「元恋人などがストーカー化して」とか、「配偶者の行き過ぎた監視行為のため」など、被害者の身近な者が放置されていたスマホをこっそり盗み出し、メール、SNS、位置情報などをリアルタイム監視するというケースが度々あります。なかには盗み見たプライバシー情報をインターネット掲示板等で暴露するとか、脅迫のような行為を被害者だけでなく知人・友人などが受けるとか、職場や仕事の取引先に密告文書や怪文書が届けられるケースなどもあり、弁護士や警察が関わる問題に発展することも度々あります。
一般的な感覚からいうと「自宅なら放置していても安全」だと思います。しかしストーカーなど「被害者のプライバシーに異常な関心・執着を持つ者」がいる場合は、自宅だから安全だとは言い切れません。また、スマホ買い替え時には順風満帆でトラブルは一切無かったとしても、1年後に人間関係のトラブルが起こって前述のような被害を受けてしまうこともあります。実際、当社のフォレンジック調査の結果、依頼者が存在すら忘れていた旧スマホが持ち出されてリアルタイム監視されていたと判明するケースもあります。「自分の周りに悪い奴はいないから大丈夫」なんて甘く見ないほうが良いです。いまは良くても未来にどうなっているかは誰にも分からないのですから。
情報漏洩事例 - 2
ずさんな業者の関与による情報漏洩
ここで言う「ずさんな業者」とは、データ消去方法や管理体制などに問題のある中古ショップや廃棄業者(産廃業者)などのことを言います。データ消去が不十分だとスマホから前オーナーの情報が漏洩するリスクがあり、また、管理体制が不十分だと盗難や「不良社員」による横領などが起こって、情報漏洩に繋がるというリスクがあります。
以下は当社の実験において偶然に見つけた、法人情報漏洩の実話です
とある中古ショップに古いスマホが大量入荷し、非常に安い価格で販売されていたので、当社の実験用にちょうど良いかと思いつき、2種類の機種を数台ずつ購入しました。その実験とは「チップオフ」という作業の練習を兼ねてのもので、スマホの基盤を破壊して半導体チップを取り外し、データ復旧専用装置を用いてデータを抽出してみよう、という内容です。
半導体チップをデータ復旧装置に接続してデータを吸い出し、フォレンジックツール(サイバー攻撃の調査などに用いる鑑識ツール)で分析したところ、とある企業の業務連絡のメッセージや、個人情報、取引先情報などのデータを復旧できてしまいました。
上の写真は復旧されたデータのうち、Webアクセスの証跡をフォレンジックツールで一覧表示した画面のものです。写真の左上にある赤線部分が示すとおり、1万件近くのWebアクセス履歴が復旧されています。
上の写真は写真や画像の一覧です。2万個以上のデータを取得できました。
個人情報や業務連絡の内容を載せるわけにはいかないので、当たり障りないようWebアクセスや画像等を一例として載せましたが、これだけでも相当に多くのデータを復旧できていることをお分かり頂けるかと思います。
実験前にスマホを起動して確認したときには、前オーナーのデータは表示されませんでしたので、当然のことながら中古市場に流れる前にデータ消去の処置はおこなわれているのだと思います。しかしそのデータ消去は「完全削除」ではなく簡易的な方法でおこなわれたようで、「見た目には消えているけど半導体チップにはデータが残留している」という状態だったようです。そのためデータ復旧装置等により復旧できてしまったのです。
ここまでにお話した事例は典型的な情報漏洩事案だと言え、スマホが誕生する以前から(パソコンが主流だった時代から)度々発生しています。ここから書くことは当てずっぽうの想像なのですが、本件では次のようにして中古市場に流れてしまったのかも?と思います。
- 法人のリース上がり品などが処分された。
- 1次請け2次請け3次請けや、産業廃棄物の運搬や処理など、複数の業者や拠点を経由する過程のどこかで盗難や横領など予期せぬ事態が発生した。
- 盗んだスマホを中古市場に流すため、犯人が簡易的な消去処理をおこなった。
- 出どころ不明のスマホがそのまま中古ショップに陳列されるとは考えにくいので、何らか「ロンダリング」のようなことや、譲渡証明書類の偽造などがおこなわれた。
- 中古市場に流れ、善意の中古ショップがそれを仕入れ、店頭に並んだ。
現在のスマホは全てストレージが暗号化されているため、この実験のようにデータ復旧できてしまうリスクは無いだろうと考えて良いのですが、しかし、データ消去前に横流しされて情報漏洩するリスクは依然として残っています。そのため、データ消去や管理などを厳しくおこなっている「信頼できる業者」を選択することが極めて重要だと言えます。
結論
おすすめの処分方法は「信頼できる中古スマホ業者」
きちんとした買取業者の場合は、簡易のデータ消去ではなく専用ツールを使って消去するため、情報漏洩のリスクは0(ゼロ)になります。データ消去業者にお金を払って消してもらうのではなく、逆に売却代金を貰いつつ確実に処分できるというのが素晴らしいメリットです。さらに近年では「来店不要」、宅配便で送ればよいという買取業者もありますので、手間・手続きの煩わしさも少ないです。安全性だけでなくコストや手間なども含めて総合的に考えると、信頼できる中古スマホ業者に売却するというのが最も手軽かつ安心の処分方法だろうと思います。
この記事を書くにあたり、中古スマホの「にこスマ」より情報提供等のご協力を頂きました。
「にこスマ」は伊藤忠グループの株式会社Belongが運営する中古スマホ事業であり、販売だけでなく買取もおこなっていますので、スマホを安全に処分する際の選択肢として候補に挙げられます。
技術屋である当社の視点から見ますと、もっとも気になるのはやはりデータ消去に関してとなりますが、「にこスマ」では米国の通信キャリアでも利用されているデータ消去ソフトを使用して前オーナーの情報を削除しているとのことです。
もう少しデータ消去に関して技術的側面から掘り下げますと、本記事作成の2023年3月時点において「にこスマ」では、米国国立標準技術研究所「NIST」 の SP800-88 Rev.1 で定義された媒体のデータ抹消処理(サニタイズ) に関するガイドライン(Guidelines for Media Sanitization)の基準に従い、高速且つ正確なデータ消去を行っているとのことです。
極めて安全性は高く、この記事で紹介したようなデータ復旧による情報漏洩は起こり得ないと考えて良いでしょう。
技術視点から離れて、紛失・盗難による情報漏洩リスクを考えます。廃棄処理のように複数事業者が関与する場合、前述した事例のように様々な業者や拠点を経由する関係で、紛失・盗難などの予期せぬインシデントが発生するリスクがどうしても潜在します。それに対して「にこスマ」の場合、買取後の中古スマホは同社の管理下のもと下記の流れで処理されるとのことであり、かつデータ消去も確実に実施されることも合わせて考えますと、情報漏洩リスクは限りなく0(ゼロ)に近いと思われます。
- 買い取り(入荷)
- データ消去
- 検品・査定
- クリーニング
- 再販(商品陳列)
廃棄処理の場合は「ゴミ」として扱われるところ、中古販売の場合は「商品(資産)」として扱われるという違いから、両者の管理体制の質は大きく格差があるだろうと勝手ながら想像しています。抽象的なイメージの話となりますが、中古業者のほうが「スマホを大切に管理してくれる」と期待できます。
以上のことから、もし処分方法を考えるのが面倒くさいと感じたならば、信頼できる買取業者への譲渡をご検討頂くのが良いかと思います。
調査費用一覧
WEB相談