Airpods

スマートデバイス、愚かなミス - 機密データを確実に消去する方法

スマートデバイス、愚かなミス - 機密データを確実に消去する方法
(ビッグストックフォト)

ここ数年はモノのインターネット(IoT)にとって大きな転換期であり、コネクテッドデバイス業界の未来はさらに明るくなっています。調査会社IHSは、IoT市場が2020年までにアクティブデバイス数を307億台、2025年までに754億台に拡大すると予測しています。IoTデバイスへの目に見える変化が進むにつれ、かつては未来的だったアイデアが私たちの身の回りで現実のものとなり、世界を体験する方法を変えつつあります。こうしたデジタルラグジュアリーは新たなレベルの利便性をもたらす一方で、コネクテッドデバイスのセキュリティに関する懸念は十分に裏付けられています。しかし、これらのIoT製品を売却、再贈与、あるいは廃棄する場合はどうなるでしょうか?次の所有者がアクセスできる個人データの痕跡を残さないようにするにはどうすればよいでしょうか。

この記事では、個人情報やデータを安全に削除するための様々なヒントと、接続されたデバイスにおける一般的なセキュリティのベストプラクティスについて概説します。まずは、よくあるシナリオから始めて、他のIoTテクノロジーについても見ていきましょう。

コンピューター、タブレット、スマートフォン

アップルフォト

ノートパソコン、タブレット、またはスマートフォンをそろそろ使い切って、新しいデバイスに乗り換える時が来たと決心しました。さて、次は何をすればいいでしょうか?まずは、Craigslistの広告を見て乗り換える前に、すべてのデータをバックアップしておきましょう。クラウドアカウントを使えば、様々なデバイスから簡単にファイルにアクセスでき、タブレットやスマートフォン向けのオンラインサービスでは、個人データが自動的に同期されることがよくあります。重要なファイルは、様々な理由から、定期的に予備バージョンを保存しているはずですが、古いデバイスを処分する前に、移行したいものがあれば必ずバックアップコピーを取っておきましょう。

次に、コンピューターのハード ドライブ、またはタブレットやスマートフォンから、すべてのデータと機密性の高い可能性のある設定を消去します。デバイスを安全に消去するために、考慮すべき点が 2 つあります。まず、ファイルや連絡先リストだけが心配なわけではありません。デバイスには、クラウド サービスに接続したり、新しい所有者にあなたに関する情報を公開したりする設定が多数ある可能性があります。デバイスのすべての設定も必ずリセットする必要があります。次に、コンピューターのストレージから何かを「削除」するだけでは、完全に削除されない可能性があります。詳細には立ち入りませんが、ファイルを削除したり、ハード ドライブをフォーマットすると、コンピューター (または携帯電話) はそれらのファイルの検索方法を「忘れる」だけで、必ずしもファイルを上書きするわけではありません。上書きされていない場合、そのデータを見つけて復元できるフォレンジック ツールや回復ツールがいくつかあります。データを安全に消去するには、ファイルを少なくとも数回上書きする必要がある場合があります。

デバイスの安全なワイプ手順は、デバイスによって異なります。幸いなことに、多くのスマートフォンやタブレットでは、一部のモバイルオペレーティングシステム(OS)にワイプ処理機能が組み込まれているため、ワイプが簡単です。例えば、iOSデバイスの設定メニューから「一般」→「リセット」→「すべてのコンテンツと設定を消去」を選択すると、すべての機密データを削除できます。この機能は、スマートフォンがデータの保護に使用していた暗号化キーを破壊し、データに完全にアクセスできなくなるか、古いiOSバージョンでそのデータを数回上書きします。また、iCloudアカウントと「電話を探す」からもスマートフォンが削除されます。つまり、これはiOSデバイスのセキュリティワイプをワンボタンで簡単に実行できる方法です。

Androidデバイスは、OSに多くのバリエーションがあり、それぞれ動作が異なるため、データ消去が少し難しい場合があります。ほとんどのAndroidバージョンには「データの初期化」オプションが搭載されているはずです。しかし、過去の研究者たちは、これは安全なデータ消去ではないことを発見しました。デバイス上のデータが上書きされないため、適切なソフトウェアを持つ攻撃者はデータを復元できる可能性があります。Androidデバイスのデータを本当に完全に消去したい場合は、まず暗号化することをお勧めします。デバイスを暗号化してから工場出荷時設定にリセットすれば、新しい所有者はデータを読み取るために必要なキーを入手できなくなります。

最後に、古き良きノートパソコンやデスクトップパソコンの場合、ハードドライブ上のデータを専用のセキュアワイプツールで上書きすることが重要です。Eraserのような無料のWindowsオプションをはじめ、削除したデータを永久に消去できるツールは数多くあります。また、SSDドライブのセキュアワイプには異なる手順が必要になる場合もありますが、オンラインで多くの手順ガイドが見つかります。

パソコン、タブレット、スマートフォンのデータを消去するのは当たり前のことですが、時間をかけてきちんと行うことが非常に重要です。古いデバイスを完全にリセットしないと、個人データが次のユーザーに漏れてしまうリスクがあります。

スマートカー 

自動車業界はますます高度化しており、現代の自動車はBluetoothハンズフリー通話、GPSナビゲーションシステム、さらにはWi-Fiまで搭載して生産ラインから出荷されるようになりました。運転中に電話帳、位置情報、お気に入りのアプリに簡単にアクセスできる利便性は、もはや魅力的と言えるでしょう。しかし問題は、自動車が高度化するにつれて、PCやスマートフォンと同様に、個人データがますます多く保存されるようになることです。

(BigStock Photo)。

古い車を売却する興奮の中で、忘れがちなステップの一つが、個人情報の削除です。実際、私は中古車を購入したばかりですが、前のオーナーの連絡先から複数の名前と電話番号がアーカイブされているのを見つけました。コネクテッドカーを売却する際は、設定からログイン情報、連絡先、個人データをすべて削除してください。このステップを忘れると、ソーシャルメディアアカウント、連絡先リスト、自宅住所などへのアクセスを、車の新しいオーナーにプレゼントしてしまう可能性があります。一部のディーラーはこの点を考慮し始めているかもしれませんが、私の場合は、前のオーナーが保存していたBluetoothデバイスを見つけることができました。

余談ですが、レンタカーのBluetoothシステムにデータを残してしまうのもよくあるミスです(レンタカーの手続きだけでも十分面倒なのに)。出張でも休暇でも、アドレス帳などのデータをレンタカーに同期している場合は、返却前に必ず登録済みの電話番号や通話履歴などの情報を消去してください。

ちなみに、これまでこの問題について、売り手が買い手に機密情報を残さないようにするという観点から話してきました。しかし、この問題は買い手にとってもリスクとなる可能性があるため、スマートカーをリセットすることでメリットを得られる可能性があります。最近、IBM X-forceの研究者が、売却した車に付属のアプリからアクセスできることを発見しました。車のローカル設定は消去されていましたが、メーカーのクラウドは消去されていませんでした。つまり、前の所有者は依然としてドアロックを解除し、新しい所有者の車にアクセスできたのです。

ゲーム機

Xbox One S。(Xbox Photo)

例えば、古いXbox 360をXbox Oneに買い替えるのが待ちきれないとしましょう。長年にわたり、ゲーム機は攻撃を受けるのが最も難しいデバイスの一つとなっています。これは主に、著作権侵害を防ぐためのハードウェアとソフトウェアのアップデートによって、セキュリティがますます強化されてきたためです。しかし、騙されてはいけません。ゲーム機は市場で最も安全なIoTデバイスの一つかもしれませんが、エンターテイメントのワンストップショップへと進化したため、ゲーム機は貴重なデータをパソコンと同じようにハードドライブやSDカードに保存するようになりました。

古いゲーム機を売却する際には、オンラインアカウント(PlayStation Network、Xbox Liveなど)の無効化と、ゲーム機内のデータの削除が主な問題となります。アカウントの無効化は基本的な手順ですが、多くの人が忘れがちです。以前、中古のPS3を購入しましたが、前の持ち主のPlayStation Network(PSN)アカウントがそのまま残っていました。もし自分でアカウントを無効化していなければ、彼のアカウント情報を使ってゲームを購入し続けることができたかもしれません。様々なゲーム機のアカウントを無効化する方法は、オンラインで簡単に見つけることができます。

本体には、リセットやデータ削除を行うメニューオプションもあります。繰り返しになりますが、パソコンと同様に、削除しても必ずしも完全には削除されない場合があります。しかし、新型PlayStationのような最近の本体では、クイック削除と完全削除の両方が可能です。確実にデータ消去を行うには、必ず完全削除を選択してください。

Xbox Oneで『Halo Wars』をプレイするのが待ち遠しいのは当然ですが、古い本体を売る前に必ず安全なデータ消去を忘れないようにしてください。そうしないと、次の所有者があなたの個人的な画像、動画、クレジットカード情報、さらには閲覧履歴にアクセスできてしまう可能性があります。そうなれば、ゲームオーバーになりかねません。

スマートホームデバイス

引っ越しをする場合は、どのようなコネクテッドデバイスとデータが残っていく可能性があるかを考えてみましょう。住宅購入契約の中には、新しい所有者が前の所有者が設置したIoT製品を継承できるという条件付き条項が含まれているものもあります。Nestサーモスタットのようなスマートホーム製品から個人データを削除する手順は比較的簡単ですが、引っ越しの過程で忘れてしまう可能性があります。Nestなどのスマートホーム製品では、オンラインアカウントからデバイスを削除し、製品自体を工場出荷時の状態にリセットすることができます。これにより、デバイスからあなたの情報が効果的に消去され、新しいユーザーが自分のアカウントを設定する準備が整います。

Amazon EchoとGoogle Nestはスマートホームデバイスの一例です。(画像提供:Nest)

自宅に残したコネクテッドホームデバイスのデータ消去を忘れると、個人情報の痕跡が家の新しい持ち主に残ってしまう可能性があります。彼らが悪意を持ったハッカーではない可能性は高いですが、それでも保護されていないデータは恐ろしいものです。

Nest製品、そして他のIoTデバイス全般は、プライバシーに関する懸念から厳しく精査されてきました。ユーザーの好みを分析し学習するように設計されていますが、同時に使用状況データやその他の情報も蓄積し、サービスプロバイダーに送信しています。しかし、これは全く別の問題です。

スマートプリンター、コピー機、その他のオフィス機器

(HP写真)

スマートオフィスデバイスは、非常に重要な情報にさらされています。スマートコピー機やデジタルプリンターなど、これらのデバイスが取得した情報を保存する可能性があるという懸念は長年にわたり聞かれてきました。では、自宅オフィスのプリンターやコピー機を処分する際に、何年もかけて蓄積した情報を他人に漏らさず、第三者に復元されないようにするにはどうすればよいでしょうか?まず、オフィスデバイスに内蔵ストレージが搭載されているかどうかを確認してください。搭載されていない場合は、情報が保存されていない可能性が高いです。プリンターやコピー機にローカルデータのキャッシュが搭載されている場合は、ストレージデバイスを取り外し、通常のコンピューターのストレージと同じように消去できます。

一部の企業では、販売またはリサイクルするコンピューティングデバイスから必ずストレージデバイスを取り外すことを選択している点に注意してください。これらのデータを自身で安全に消去するだけでなく、データ破壊サービスにこれらのストレージデバイスを委託することもできます。これらのサービスでは、ストレージデバイスを物理的に破壊する場合もあります。

一部の高級プリンターには、プリンター本体から直接ファイルをメールで送信できるメール機能が搭載されています。スマートプリンターに保存されているメールアドレスやその他の情報を保護するため、販売または廃棄する前に必ずこれらのデータを消去してください。ほとんどのプリンターメーカーは、そのためのメニューオプションを提供しているはずです。

ウェアラブル

(FitBitの写真)

スマートウォッチやフィットネストラッカー、健康トラッカーなどのウェアラブルデバイスは、私たちの日常生活にますます深く浸透しており、今後もますます浸透していくでしょう。実際、調査会社IDCは、2019年までに世界中で8,900万台以上のスマートウェアラブルデバイスが出荷されると予測しています。FitBit、Pebble、Microsoft Band、Apple Watchなど、膨大な数の製品が出荷されることになります。

HP Fortifyによる最近の調査によると、多くのスマートウォッチにプライバシー、安全でないファームウェア、認証、暗号化に関する重大な脆弱性が存在します。この調査では、人気のスマートウォッチ10機種を調査した結果、スマートウォッチ間でやり取りされるデータの90%が容易に傍受されることが判明しました。

とはいえ、こうした情報の大部分は別の場所(クラウド)に保存されています。攻撃者が転送中に傍受する可能性はありますが、これらの小型でリソースをあまり消費しないデバイスは、ローカルに多くのデータを保存する傾向がありません。ウェアラブルデバイスを売却または譲渡する予定がある場合は、必ず工場出荷時の状態にリセットし、関連するクラウドアカウントに接続できないようにする必要があります。これらのウェアラブルデバイスのローカルデータを消去するのに、それほど手間はかからないでしょう(ただし、これはデバイスによって異なります)。

IoTデバイスの一般的なセキュリティのヒント

IoTデバイスは本質的に非常に多様であり、それゆえに様々な攻撃プロファイルにさらされます。今日私が最も懸念しているのは、セキュリティを考慮せずに、従来から知られているオペレーティングシステムを非伝統的なコンピューティングデバイスに急遽組み込んだデバイスです。例えば、Linuxオペレーティングシステムを搭載した冷蔵庫、DVR、ウェブカメラを想像してみてください。攻撃者は既にLinuxに精通しているため、これらのデバイスへのハッキングは容易です。さらに悪いことに、これらのデバイスを製造するメーカーは、セキュリティ強化と開発において何年も遅れをとっているように見えます。さらに、これらのデバイスは基本的に単なるコンピューターであるため、機密情報が詰まったストレージを搭載していることがよくあります。

IoTデバイスのセキュリティ問題は、近年のMiraiボットネット攻撃の広範な影響により、大きな注目を集めています。近い将来、より多くのコネクテッドデバイスメーカーが、研究開発から完成に至るまで、製品にセキュリティを組み込むようになることを期待しています。

販売する IoT デバイス上のデータを保護するために何ができるかという点については、次の 3 つの重要な戦略をお勧めします。

  1. デバイスからデータが確実に消去されていることを確認してください。ハードドライブやローカルストレージを備えたIoTデバイスを使用している場合は、再販前に削除する必要があるデータがいくつか含まれている可能性があります。ただし、コンピューターの場合、すべての削除が同じように消去されるわけではないことを覚えておいてください。デバイスの「工場出荷時設定へのリセット」が安全な消去かどうか、少し調べてみましょう。そうでない場合は、データを完全に消去するための別の方法を見つける必要があるかもしれません。
  2. デバイスの設定を忘れずに。データ保護を考えるとき、通常はデバイスに保存されている機密ファイルの消去を心配します。しかし、IoTデバイスの設定の多くは個人データにもリンクしていることを忘れてはなりません。これらのデバイスはクラウドやソーシャルネットワークのアカウントに接続され、接続したすべてのアクセスポイントの記憶を保持し、メールアドレスなど、様々な情報を持っています。デバイスの設定をすべて消去し、リンクされている可能性のあるクラウドアカウントからデバイスを無効化することも忘れないでください。
  3. クラウド上の設定も忘れずに。X -forceの研究者がスマートカーで発見した事実から学びましょう。デバイスのローカル設定をすべて消去したとしても、メーカーによっては、アカウント自体を無効化してリセットしない限り、クラウドアカウントが常にデバイスにアクセスできるような機能を設計している場合があります。モバイルアプリでデバイスを管理できる場合は、工場出荷時設定にリセットした後もデバイスにアクセスできないように注意してください。