Kasperskyのグローバル調査分析チーム(GReAT)は、2020年終盤の2か月間で、中古デバイスのセキュリティに関する調査を実施しました(英語記事)。この調査では、GReAT のDACHチームを率いるマルコ・プロイス(Marco Preuss)とクリスチャン・ファンク(Christian Funk)が、中古のノートPCのほか、ハードディスクやメモリカードといったさまざまな中古の記憶媒体を精査しました。
この調査の目的は、デバイスのタイプ別の違いを見るというよりはデバイス上にあるデータを調べることで、中古デバイスの個人間の売買または二次流通市場での販売が電子データとどのように関連しているのかを知ることです。売り手として、どのような痕跡を残している可能性があるのか?買い手として、中古品を新品同様に動作させるにはどうすればよいのか、そもそも新しく手元に来たデバイスを使用することは果たして安全なのか?調査結果からは以下のようなことが判明しました。
中古デバイス内にあったもの
調査したデバイスの圧倒的多数に、少なくとも何らかのデータ痕跡が残っていました。大半は個人的なデータですが、中には企業データもありました。調査対象デバイスの16%超ではデータを難なく発見することができ、ファイルカービングによってデータを復元できたデバイスは74%に及びました。データが適切に消去されていたのは、わずか11%でした。
プロイスとファンクが発見したデータの中には、害にはならなさそうなデータもあれば、表に出すべきでない情報を露呈するデータのほか、危険なデータもありました。具体的には、カレンダー項目、議事録、会社リソースへのアクセス情報、内部資料、個人的な写真、医療情報、税務書類などです。さらに、ファンクが指摘するように、個人情報は時が経っても価値が失われない傾向にあります。つまり、単純に危険が去るのを待つわけにもいかず、ある程度の時が経てば安心できるわけでもないのです(安心感が得られたからといってリスクが減りはしません)。
電子デバイスに含まれる可能性があるのは、連絡先一覧、税務書類、診療記録のように直接利用可能な(または保存済みパスワードを使ってアクセス可能な)情報のほか、間接的な損害を引き起こしかねない情報もあります。サイバー犯罪者は、他人のSNSのプロフィールや投稿から集めた情報を自分の活動のために悪用することがよくあります。デジタルデバイスに残されたデータは、SNSから得られる情報以上に有益です。
マルウェアの存在
デジタルデバイスのセキュリティに関する許容レベルは、人によって違います。あなたよりもセキュリティに対して厳重な人も当然いるはずですが、中古品を購入する場合、他人のデータだけでなくマルウェアまでついてくる可能性は否定できません。プロイスとファンクが調査したデバイスの17%で、当社テクノロジーがマルウェアを検知しました。
データを見つけた人の反応
Kasperskyはまた、Arlington Researchに委託して別の調査も実施しています(英語記事)。こちらは成人の一般消費者(英国2,000人、ドイツ1,000人、オーストリア500人)を対象としたもので、調査結果は中古デジタルデバイス販売が堅調であること、そして中古デジタルデバイスが確実なデータ漏洩源であることを裏付ける形となりました。購入した中古デバイス上で何らかの写真、いわゆる「露骨なコンテンツ」、連絡先の詳細、パスポートなどの重要文書、ログイン情報を発見した人は、回答者の半数以上に上ります。
売り手の皆さん、ご注意を
こうした情報を発見した人がどういう反応を示すのか、気になるところです。調査対象となった英国の2,000人のうち41%が、データを保存する、SNSにアップする、友だちや家族に見せるという行動を取ったかもしれないと回答しています。さらには、見つけたデータが利益になると思ったら売っていただろうと認めた人が14%ほどいました。
アドバイスとヒント
英国のNational Cyber Security Centreは中古電子機器の買い手と売り手に向けて、実践的なアドバイス(英語)を紹介しています。
売り手向けのヒント
一番に優先したいのは、自分の安全とプライバシーのために、売る予定のデバイスから情報を削除することです。デバイスに何かが感染していないことを確認するのも重要ですが、自分の情報が他人の手に渡らないようにするのがとにかく大事です。
- データをバックアップする:売ろうとしているデバイスからデータを削除する前に、データのバックアップを取っておきましょう。スマートフォンを売る場合も、PCの場合も、メモリカードのような記憶媒体の場合も、バックアップしておきましょう。
- SIMカードとSDカードは、スマートフォンから取り外す:eSIM搭載デバイスの場合には、eSIMを消去してください。
- デバイスで利用していたアカウントは、すべてサインアウトする:2段階認証を設定可能なアカウントでは、2段階認証を有効にしてください。その上で、売却するデバイスで利用していたサービス(オンラインバンキング、メール、SNSなど)のアカウントからサインアウトしましょう。
- デバイスをリセットする:売却するデバイスは、工場出荷時の状態にリセットするか、初期化してください。
- データが復元されないようにする:工場出荷時の状態へのリセットや初期化でも、データを復元できる可能性は残っています。確実にデバイスからデータを消去するには、さらに操作が必要ですが、デバイスの種別や機種、構成によって方法が異なります。自分のデバイスから全データを確実に削除する方法を探して実践してください。
買い手向けのヒント
中古デバイスの買い手へ送るアドバイスとしては、一般的なデジタル製品を購入する場合とほぼ変わりませんが、中古デバイスがマルウェアに感染しているかもしれないことを念頭においた方がよいでしょう。用心するに越したことはありません。
- デバイスを工場出荷時の状態にリセットする、または初期化を行う。
- 信頼できるセキュリティ製品をすぐに(可能であればデバイスを購入する前に)インストールして有効にする:万が一デバイスにマルウェアが存在する場合のリスクを抑えるためです。買ったデバイスを初めて使用するときは、使い始める前にデバイスのスキャンを実行してください。