使っている端末を処分するときや売りに出すとき、あれこれデータを消去してリセットせねばならないというのは、もはや常識です。
ただ、常識だからってみんながやっているとは限らない。つい、まぁ大丈夫だろ…って思ってしまうことも。
セキュリティファームESETのリサーチチームの調査では、企業向けの中古ルーターのうち、内部データが消去されているものは半数にも満たないことがわかりました。
これ、ルーターを売りに出した会社にとってはもちろん、その会社の顧客にとってもリスクある行動です。
捨てる前に初期化を
調査について取材したネタ元のWiredによれば、リサーチチームが中古で購入した企業向けルーター18台のうち、データが消去されていたのはたった5台。
残りのうち9台は何の処理もされていない状態、2台はデータが残っているものの暗号化された状態、1台は故障状態、そして最後の1台は別端末のコピーだったとのこと。
そのままだったという9台のルーターに残ったデータは、前所有者を特定するに十分な情報があっただけでなく、企業のVPNログイン情報、コミュニケーションツールの認証IDなどが残っていました。さらに、うち2台には顧客データまで…。
ESETのセキュリティリサーチャーのCameron Camp氏は、Wiredの取材でこう語っています。
「コアルーターは組織のすべてに関わるので、使っているアプリケーションや組織の性質などを知る手がかりとなり、その組織のなりすましが容易にできてしまいます。
あるケースでは、とある大手会計事務所の社外秘情報とダイレクトピアリング情報が残っていたことも。我々はリサーチャーなので助けてあげたいと思いますが、他のルーターはどうなってるのか、どこにあるのかと考えると怖いですね」
情報そのままの9台のうち8台には、前所有者のネットワークキーとルーターのアプリケーション接続方法がそのまま。4台には前所有者が共に働いていた人々のネットワークログイン情報が、3台にはサードパーティの前所有者ネットワークへの接続方法が残っていました。
リサーチされたルーターは18台とサンプル数としては少ないものの、リサーチチームいわく、他の調査でも似たような結果が出ているそう。
ルーターをモニターやスピーカー感覚で扱ってはいけません。中にはマザーボードが搭載されており、そのパワーはPS2のゲーム程度ならプレイできるほど。
ルーターはミニコンピューターとして考えるべきであり、データ消去をせずに手放すことは明らかにリスクがあります。使用しているルーターを手放す場合、工場出荷時リセットは必須(ルーターのメーカーによってやり方が異なるので、しっかり調べよう!)。
適切にデータ消去されていない端末は、情報漏洩のリスクがあるだけでなく、不要な電子ゴミを増やす原因にもなるのです。
Source: Wired
からの記事と詳細 ( 企業秘密はここから漏れる… 中古ルーターのリスク - GIZMODO JAPAN )
https://ift.tt/FDMofZq
科学&テクノロジー
No comments:
Post a Comment