(cache)「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた

2019年12月6日、インターネットオークションで落札したハードディスクから行政文書とみられるデータが復元されたと報じられました。その後の調査でこのハードディスクはリース会社が委託した処理業者の従業員が転売して事実が明らかになりました。第一報を報じた朝日新聞は今回の流出事案を「世界最悪級の流出」と表現しています。ここでは関連する情報をまとめます。

発端は落札者のデータ復元

IT会社の男性が仕事で使うためにネットオークションで中古のHDDを落札。
使用しようとしたところ、エラーメッセージが表示されたため過去の経験からHDDのデータを確認。
復元ソフトを用いてデータサルベージを実施し、神奈川県の公文書情報とみられるデータを発見。
同じ落札者から同じ製造元のHDDが出品されていたことからその後も落札した。
朝日新聞を通じて神奈川県へ情報提供し事案が発覚した。

以下は関連する出来事を整理したタイムライン。

日時	出来事
2015年	男がブロードリンクへ中途採用で入社
2016年3月頃	男が盗んだHDDの横流しを始める。
2019年2月末～	リース契約終了に伴い神奈川県のファイルサーバーを交換
：	富士通リースがブロードリンクへファイルサーバーのHDDの廃棄を依頼。
2019年7月以降	ブロードリンクでHDDの廃棄作業開始。*1
：	男が富士通リースから受領したHDDを窃盗。
2019年7月～8月	男がネットオークションへHDDを出品。*2
2019年7月21日	出品されたHDDをIT会社の男性が落札。
：	落札した男性が安全性確認のためHDDのデータを復元。神奈川県の行政情報が含まれていることが判明。
：	落札した男性が朝日新聞へ情報提供。
2019年11月26日	男性が朝日新聞を仲介して神奈川県へ情報流出の可能性があると指摘。
2019年11月27日	神奈川県がデータを確認し、複数の内部情報と思われるものを確認。
：	神奈川県から富士通リースへ事実確認をするよう指示。
：	ブロードリンクへ外部から不正行為に関する情報提供。
2019年12月3日	社内調査で退勤時に男のロッカーからHDD数個を発見。
2019年12月5日	男が出品したHDD18本全てが落札されていることが判明。
2019年12月6日	朝日新聞がブロードリンク従業員の不正行為について朝刊一面で報道。
同日 9時45分	ブロードリンクが大森警察署へ被害届を提出。男を告発。
同日午後	神奈川県が情報流出について記者会見。
同日夕方	ブロードリンクが問合せ窓口を設置。
同日	警視庁捜査3課は男を窃盗の容疑で緊急逮捕。

ネットオークションへ横流しされたHDD

復元されたデータや提供されたHDD1台のシリアルナンバーが神奈川県使用のものと合致したことから県は情報流出が発生したと覚知。
ファイルサーバーは神奈川県各部局のファイル共有サーバーに使用されていたもの。
税務調査内容の通知、自動車税申告書、法人提出書類、県職員の業務記録、名簿等が含まれる。
2019年春に交換時期となり、メンテナンスで交換されたHDDだった。
今回報道されたHDDは落札された18台の内の9台。また落札した男性同意のもと神奈川県へ提供されている。

リース先は富士通リース株式会社横浜支店

神奈川県から富士通リース株式会社横浜支店に対し返却されたHDDは全部で504台。*3
この内、ネットオークションへは合計18台出品・落札されていた。
残りのHDDは溶解処理や解体・圧縮処理済みで流出は確認されていない。（県が継続調査中）

報ステが出品ページを報道

f:id:piyokango:20191207070046p:plain — Aucfreeに残っていた問題のオークションの出品情報

報道ステーションが報じた落札男性の復元したHDDの情報は以下の通り。

HDDは3.5インチで容量は3TB。7200 rpm。HGST製（台湾）。2013年9月製造。
シリアルナンバーは0F19455MPKAC00P39
「DISK1-1」というテプラシールが貼られていた。（出品した画像にはそのようなシールは見受けられず）
2019年12月6日に報道ステーションが報じた出品ページには次の記述があった。

日立HGST 3.5インチHDD 3.0TB HUS724030ALA640 3個セット
NTFSフォーマット済み。CrystalDiskInfoで正常判定です。
発送完了後、6日以内に動作確認を行ってください。
不良の場合のみ返品可能です。返送していただき、申告の不具合が当方で確認できた場合、返送料を含む代金を返金します。
申告の不具合が当方で確認できなかった場合は再度送料をお支払いいただいた後、再送します。
発送後6日経過以降は一切対応できかねます。
発送は、ゆうパック、東京発送、60サイズです。

未回収のHDD9台への対応

3回にわたって出品されており、異なる3つのアカウントから落札が行われていた。*4
神奈川県は落札先について把握していない。*5
神奈川県は未回収のHDD9台について警察の捜査にゆだねることを選択。

HDD廃棄の実態

f:id:piyokango:20191207090423p:plain — 転売事案関連図

神奈川県の運用

神奈川県は格納したデータの暗号化は行っていなかった。
返却の際は初期化作業を行いデータ全ての消去作業を行っていた。
返却から7カ月経過した後も富士通リースからHDDの消去証明書の提出を受けていなかった。
神奈川県の担当者は富士通リースが廃棄処理をブロードリンクに委託していたことは把握しておらず、社名も知らなかった。
直接的な契約がないことから廃棄の現場の立会は行っていなかった。

富士通リースとの契約

神奈川県との契約「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」に基づく作業で行われるもの。具体的な指定はされていない。
富士通リースからブロードリンクへデータ復元不可の状態にする作業を委託していた。

ブロードリンクの廃棄

廃棄対象の資機材は東京大田区のデータ消去施設に集積。
この施設でデータ消去や情報機器の破壊作業が行われる。
HDD管理を行っていたデータ消去室では指紋認証等が行われ、有資格者のみが入室可能。
データの消去にはBlancco社製ソフトウェアを採用。元々この18個のHDDはデータ消去後再利用される予定だった。
退去時の持ち出し防止のため作業着のポケットは縫い付けられていた。
過去には退社時に抜き打ちで手荷物検査も行っていたが、男性はこれまで対象となったことはなかった。
消去処理ではなく、HDD廃棄の際は室内のカゴに保管される。
廃棄するHDDのシリアルナンバーを管理しているが、破壊をしたかについては確認していなかった。
破壊処理後にリサイクル業者に売却することから、外部への持ち出しに気付けなかった。

男が取材に回答

この事案に関与したとするブロードリンク社員を名乗る男が朝日新聞の取材に答えていた。
男はブロードリンクで技術職としてデータ消去を担当。
男は横流しを認めた一方、HDDに神奈川県の行政情報が含まれることは知らなかったと回答している。
男は会社に対して売却目的でHDDを横領。18台のHDDをオークションへ出品したと話している。
HDDを破壊される前にカバンに入れて持ち出していた。
ロッカーに監視カメラはないことから男が実際どのように持ち出していたかは不明。
12月3日の社内調査で男のロッカーから5，6個のHDDが新たに発見されたがこれは神奈川県使用のものではなかった。

窃盗容疑で逮捕

2019年12月6日、警視庁が男を窃盗容疑で緊急逮捕。*6
2019年12月3日6時40分頃に社内の消去施設から保管されたHDD12台を窃盗した疑い。*7
男は容疑を認めており、さらに複数回盗んだと供述している。
シリアルナンバーからこの12台は神奈川県の18台とは別のものと確認されている。*8

富士通リース取引先への取材

富士通リースと取引実績のある自治体等へ取材が行われている。*9

防衛省	平成30年度に約40万円の契約有り。この事案の影響を受けたかは調査中。海上自衛隊のHDD処理の際は全てドライバーで穴をあけ破壊してから引き渡ししていた。
国土交通省	2016年～2017年度に端末廃棄を委託。*10
埼玉県	県庁複数の部局で同社とサーバーリースの契約を結んでいる。廃棄の詳細を確認中。同様の流出は確認されておらず。
千葉県	財務、給与に使用するシステムで同社からサーバー（HDD込み）をリース契約している。廃棄方法に問題がなかったか報告を求めている。同様の流出は確認されておらず。
茨城県	富士通リースから4台のHDDを借りている。メール添付のファイルにウイルスが含まれていた場合の無害化装置に利用。過去返却したハードディスクがあるか確認中。