piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

私物ハードディスク売却後に起きた社内情報の流出についてまとめてみた

2022年1月14日、ラックはフリーマーケットで販売されていたハードディスクに過去使われていた社内文書が含まれていたとして関係者へ謝罪しました。ここでは関連する情報をまとめます。

中古ハードディスクに社内情報

  • メルカリで購入した外付けのハードディスクにラックの社内文書が含まれていたとして、報告者からメールが届いたことが発端。*1
  • ラックは報告者との接触を希望するも断られたため内容把握の提示を要求。報告者からは一部文書のスクリーンキャプチャされた画像が送られた。提出された画像を元に社内調査が行われ、問題のハードディスクドライブはラックの元社員が私物として自宅PCのバックアップに使っていたものと判明した。
  • 元社員は業務PC入れ替えの際、規則に反しながらDropboxを使って業務PCから自宅PCにデータ転送を行っていたと説明している。なお現在ラックではアクセス制限が行われておりストレージサービスには接続できない措置が講じられている。(流出した対象時期より2017年頃までは利用できていた可能性。)
  • ラックは報告者からハードディスク1台を回収し、元社員が使用していたものと機種と製造番号が一致したことから同一品であると断定。復元された情報からハードディスクには2003年から2017年の間に作成されたファイルが含まれていたことが確認された。またファイルには所属や氏名、メールアドレス、電話番号といった個人情報も含まれていた。
① 復元された社内ファイル 2069件
② ①に含まれる取引先関連のファイル 628件
③ ①に含まれる個人情報 最大1000件

初期化するもデータ復元成功

  • 元社員はメルカリでの出品前にハードディスクの初期化(具体的な初期化方法は公表や報道はされていない)を行っていたと説明しているが、何らかの理由により行われた報告者によるデータ復元は成功。ラック回収後の調査では、プロジェクト終了時のデータ消去も完全に行われていなかったことも判明した。
  • ラックによれば匿名の報告者と説明しており、弁護士を介してやり取りをする状況で1月14日公表時点でも実名は分かっていない。また報告者とは弁護士を介して今回の件について情報拡散をしないとする契約を取り交わし済みだとしている。*2

再発防止などのラックの対応

今回の件を受け、ラックがとった/とる予定の対応は次の通り。

  • 元社員の所有する他機器類への流出情報の有無の確認(対象無し)
  • 回収済ハードディスクの完全な破壊を予定
  • 業務データ複製に関する制限と監視の技術的強化
  • 異動、退職などの機器回収と情報廃棄のプロセス強化

関連タイムライン

日時 出来事
2021年10月31日 ハードディスク流出に関する報告を受け事実確認開始。
2021年11月2日 報告者から一部の社内文書のスクリーンショット画像を入手し初期調査を開始。
2021年11月5日 緊急対策本部を設置。報告者とハードディスクの譲渡手続きと社内情報流出元の調査開始。
2021年11月8日 情報流出の影響が考えられる取引先への報告開始。
2021年11月30日 データ流出元(元社員)を特定。メルカリでの売却事実を確認。
2021年12月17日 報告者からハードディスク回収完了。売却されたハードディスクと同一品を確認。
2021年12月19日 ハードディスクおよび流出情報の調査を完了。
2021年12月20日 流出情報に関係する取引先企業へ確認開始。
2022年1月12日 関係する取引先企業の確認完了。
2022年1月14日 調査結果を公表。

更新履歴

  • 2022年1月17日 AM 新規作成