2003年08月28日(木) 18時04分
『イーベイ』で落札の携帯端末に大量の企業機密情報が残存(下)(WIRED)
http://www.hotwired.co.jp/news/news/culture/story/20030827201.html (8/27から続く)
このブラックベリーの出品者は、電池を抜いたあともずっとデータが消えないことは知らなかったと話す。
「電池を抜いた状態で長い間放置していたので、こういった情報が残っているとは思いもよらなかった。中にデータがあることを知っていれば、売ったりはしなかった」と出品者は述べている。
この出品者は、会社の所有物は返却しなければならないと定めた書類にサインしたことを認めている。だが、ブラックベリーは会社の所有物ではなかった。モルガン・スタンレー社の社員は通常、会社が用意した購入プランを通じて自分用のブラックベリーを購入する。出品者が購入したブラックベリーはまずモルガン・スタンレー社のIT部門に納品され、ソフトウェアとサービスの設定を済ませてから本人に渡された。
「クレジットカードで(ブラックベリーの代金を)支払ったのち、使用できる状態で手渡された」と出品者。
出品者によると、社員の肩書きと自宅の電話番号を記載した膨大なアドレス帳は、ブラックベリーを受け取った時点ですでにロードされていたという。
モルガン・スタンレー社の広報担当者は次のように述べている。「退職時には通常、ブラックベリーはいったん会社側に提出され、すべてのデータが消去されてから返却される。今回の場合、この手順が踏まれなかったようだ」
この広報担当者は、出品者が情報を売ったのは故意ではないかもしれないが、社則に反していることに変わりはないと話す。また、出品者がブラックベリーを持っていることを会社側が把握していたとしても、提出してデータを消去する責任は所有者のほうにあるという。
「われわれは社員に多くの機密情報を管理させている。このような手順を実施しているのはそのためだ。副社長として買収と合併を担当する人物なら、責任をきちんと自覚すべきだ」と広報担当者。
だが、コーン・フェリー・インターナショナル社のシュタインボック氏は「知的財産をしっかり保護したいのであれば、それで十分だとはとても思えない」と話す。
「情報の漏洩によって損害を被るのは、出品者ではなくモルガン・スタンレー社なのだ。同社が情報の回収と出品者の追跡に積極的にならないのは理解しがたい。これは明らかに知的財産の管理を徹底できていないということであり、まさしく会社側の落ち度だ」とシュタインボック氏。
実のところ、最後の出勤日にメールアカウントが無効になった際、出品者はブラックベリーに保存されていたすべてのデータはサーバーからの遠隔操作で消去されたものと思い込んでいた。「てっきり全部処理されたのだと思っていた」
ブラックベリーを製造しているカナダの
http://www.rim.net/ リサーチ・イン・モーション(RIM)社によると、データの消去方法は2通りあるという。同期ソフトを使って手動で消す方法と、サーバーから端末へのコマンドを実行して遠隔操作で消去する方法だ。ただし、後者の方法は、米マイクロソフト社の『エクスチェンジ・サーバー』を使っている場合しか有効ではない。モルガン・スタンレー社は『ロータス・ドミノ』を使用している。
個人や団体が使用した機器といっしょにうっかり機密情報まで売ってしまったケースは今回が初めてではない。米復員軍人援護局の医療センターが昨年、複数の学校に139台の中古コンピューターを販売または寄付した際には、エイズ(AIDS)患者のクレジットカード番号と医療データ、精神状態の情報がマシンに残されていた。
マサチューセッツ工科大学(MIT)の研究者たちは最近、コンピューターの再販業者とイーベイのオークションを通じて中古のハードディスクを購入し、復元可能なデータを含むハードディスクがいくつあるかを
http://www.computer.org/security/garfinkel.pdf 調査(PDFファイル)した。研究者たちが調べた129のハードディスクのうち、データが適切に消去されていたのは12個のみだった。あるハードディスクには、削除されていたものの容易に復元できるクレジットカード番号が3722個もあり、ATMに使用されていたと思われる別のハードディスクでは、銀行がデータを消そうとした形跡が全く見られなかった。このハードディスクには、ATM利用者の口座番号と残高の記録をそのまま残っていた。
モルガン・スタンレー社の一件は、携帯機器からデータが流出する危険性を浮き彫りにしている。中古の携帯情報端末(PDA)や携帯電話は毎年数多く販売されているため、表沙汰になっていないケースもまだまだありそうだ。
今回の記事で取材に応じてくれた金融業界の専門家は、イーベイに出品されたブラックベリーから予期せぬ情報が得られた事実を見る限り、オンラインに中古のブラックベリーを譲ってほしいと掲示し、機器が集まってくるのを待てば、大量の情報を収集できることが容易に想像できると話す。
もちろん、情報の流出が起こるのはハイテク機器だけではないと、この専門家は指摘する。企業の従業員が仕事の書類を自宅に持ち帰ることは、いつの時代もあったことだ。だが、新たなテクノロジーの登場で、「より効率的かつコンパクトに」大量のデータを一度に運ぶことが可能になったと、この専門家は語る。その結果、誰かが地下鉄にブリーフケースを置き忘れた場合より、たった1つのハイテク機器から得られる情報のほうが大量になるというわけだ。
この専門家によると、退職時にわざとデータを持ち出す者から単に不注意なだけの者まで従業員が原因となって、銀行はどんなときも機密情報の流出の危険にさらされているという。「大げさに騒ぎ立てたり口外したりということがないだけで、これが現実なのだ」
ニューヨークで上級システムエンジニアとして働くガイ・ダイアメント氏によると、コンピューター使用における機密保持について従業員と話し合い、可能な限りパスワードや暗号化技術を使用するよう教育することは、企業側の責任だという。「ただし、職場で使うファイルを暗号化するだけでは不十分だ。従業員がノートパソコンやハンドヘルド機や自宅のコンピューターとファイルの同期をとる場合、そのファイルもできるだけ暗号化しなければならない」
「従業員が社外に持ち出す機器に、社内ファイルを二重にも三重にも複製することを企業側が許す限り、企業の情報が流出しないという保証はない。これが現実であり、企業は、自衛に全力をつくすしかない」とダイアメント氏は述べた。
[日本語版:米井香織/高森郁哉]
日本語版関連記事
・
http://www.hotwired.co.jp/news/news/technology/story/20030729302.html ベライゾン・ワイヤレス、顧客情報流出につながる欠陥をようやく修正
・
http://www.hotwired.co.jp/news/news/culture/story/20030312202.html 「感情的な電子メール」の送信は慎重に
・
http://www.hotwired.co.jp/news/news/business/story/20021205105.html 電子メール保存義務違反で証券会社5社に多額の罰金
・
http://www.hotwired.co.jp/news/news/culture/story/20020930203.html 政府機関の中古コンピューターによる機密流出を防ぐには
WIRED NEWSのメール購読申込みは
http://www.hotwired.co.jp/reception/index.html こちらへ
(WIRED)
http://headlines.yahoo.co.jp/hl?a=20030828-00000001-wir-sci