セキュリティ専門企業で発生したセキュリティインシデント(転載)~持ち出しPCからの情報漏洩はリモートワークのリスクか!?~

私物ハードディスク売却後に起きた社内情報の流出についてまとめてみた
ラック、業務データの社外流出を公表--原因は元社員のルール違反 

ラックは2022年1月14日、元社員が社内ルールに違反して行ったデータのバックアップから過去の業務データが社外に流出したことを明らかにした。第三者の通報で発覚したもので、同社は調査対応などを既に完了し、情報のさらなる拡散が無いことを確認して公表したとしている。

同社によると、この事案は2021年10月31日にフリマ―ケット(フリマ)サイトでHDDを購入したという匿名の人物からの通報で発覚した。購入したHDDを使用できず、HDD復元ツールを使用したところラックの業務データが見つかり、同社に連絡したという。ラックは、通報者から提供された一部データのスクリーンキャプチャーの画像を元に調査し、2021年11月2日に業務データが流出したと判断、同5日に緊急対策本部を設置して対応を本格化させた。

同者は、通報者とHDDの譲渡などを交渉しつつ、流出した業務データに関係する人物の調査を進め、同30日に退職済みの元社員を特定。元社員がHDDをフリマサイトで販売した事実を確認したという。12月17日に通報者からHDDを回収し、同時に通報者がHDD復元時に発生した流出情報のデータを全て削除、拡散しない旨の契約を、弁護士を通じて取り交わしたとしている。

ラックが通報者から回収したHDDは、復元ツールによって簡易フォーマットされた状態だったといい、同社ではフォレンジック作業でHDDに格納されていた業務データを復元。復元されたデータは、2003~2017年に作成されたビジネス文書が2069件(うち取引先のものは628件)、個人情報(社員および取引先社員の会社名、部署名、氏名または姓、メールアドレス、会社の電話番号)が最大1000件だった。影響する可能性のある取引先には11月8日から報告対応を行い、調査とデータ復元で影響が判明した取引先とは、12月20日から2022年1月12日にかけて確認作業を実施した。

同社が元社員に聞き取りをしたところ、元社員は業務PCを入れ替えた際に、PCの業務データを社内ルールで禁止されていたクラウドストレージサービスの「Dropbox」にバックアップしたという。元社員は複数の機器でDropbox上のデータを同期できるようにしていたとのこと。そのうちの1つとして自宅でMacを使用しており、同期していたデータがMacに標準搭載のバックアップソフト「Time Machine」によりMacのHDDにバックアップデータとしてコピーされてしまったという。

その後、元社員はこのHDDをほとんど使用しなかったため、データ消去ツールでデータを消去し、フリマサイトで販売したという。しかし、データが適切に消去されていなかったと見られ、HDDの購入者が使用した復旧ツールで業務データが復元されてしまったとしている。

調査で元社員が業務PCの入れ替え時以外に、社内ルールに違反してクラウドストレージサービスにデータをバックアップしていた事実は確認されなかったとし、元社員の行為が悪意ではなく不注意で発生した可能性があるという。なお、当時はルールで禁止している業務データのコピーを技術的に防止する対策が不十分だったといい、その後、本事案とは別に、社内ネットワークからDropboxへのアクセスを禁止する技術的な講じているという。

同社は、調査で元社員の所有する別の機器に流出した業務データが残存していないことを確認し、元社員とは過去に業務で知り得た情報を退職時の誓約書に基づいて外部に一切明らかにしないことを確認したとする。通報者から回収したHDDと記録されていた情報は、この事案の対応が全て完了した後に普及できないよう完全に破壊するとしている。

公表について同社は、「事態を厳粛に受け止め、社外への情報流出を防止するために、業務データの複製の制限と監視の技術的対策の強化、社員の異動や退職時などの機器の回収や情報廃棄など社内プロセスの強化により再発防止を図ってまいります」とコメントしている。

プレスリリースアーカイブ