ESETの調査チームがテスト環境を構築するために中古のルーターを数台購入したところ、メンバーの間で衝撃が走りました。多くのルーターで、以前に使用した設定が消去されておらず、さらに悪いことに、ルーターにあるデータから以前の所有者とそのネットワーク設定の詳細を特定できることがわかったのです。

そこで、より大規模なテストを実施すべく、より多くの中古デバイスを購入し、簡単な方法でこれらのデバイスにデータが残っているかどうかを確認することにしました。合計で18台のルーターを取得しましたが、1台は到着時に破損しており、2台はミラーリングされていたため1台としてカウントしました。 いくつかの調整をし、最終的に56％以上の端末で設定の詳細やデータを確認することができました。

• 56 %以上の端末に、認証情報、VPN情報、暗号キーなど機密情報が含まれていました。
• このデータが悪用されれば、データ漏えいにつながるサイバー攻撃を開始するのに十分であり、その企業だけでなくパートナーや顧客を危険にさらすことになります。
• 今回の調査で、企業がハードウェアを廃棄する際のセキュリティプロトコルやプロセスを十分に遵守していないことが明らかになりました。
• 適切にルーターを廃棄していない企業の多くは、ESETの情報開示やコミュニケーションに応答することはなかった。

顧客データ、ルーター間の認証キー、アプリケーションリストなど、デバイスから得られるデータは、サイバー攻撃に悪用される恐れがあります。サイバー攻撃者はアクセス情報を取得すると、会社の価値の高いデジタルアセットがどこにあるのか調査を開始します。アクセス情報が窃取されると、ランサムウェアなどのマルウェアが展開され、深刻な被害が生じることになります。

サイバー攻撃者がマネタイズを目的として企業にサイバー攻撃を行う手法が近年変化していることは、多くのレポートで報告されています。サイバー犯罪者は、ネットワークへ侵入して攻撃の起点を確立し、洗練された手法で企業のネットワークに常駐しています。そして、時間と労力をかけて高度な方法でデータを外部に持ち出し、セキュリティ対策を回避する方法を模索しながら、最終的にランサムウェア攻撃などの危険なサイバー攻撃を仕掛けて、深刻な被害をもたらします。

企業ネットワークに最初に侵入するために利用できる情報には高い価値があります。サイバー犯罪の予防や防止のためのソリューションを提供しているKELAが実施した調査によると、企業ネットワークにアクセスするための認証情報の現在の販売価格は平均約2,800ドルになっています。数百ドルで購入した中古のルーターに含まれる情報から、手間をかけずにネットワークにアクセスできるようになれば、サイバー犯罪者は効率的にアクセス情報を収集する可能性があります。サイバー攻撃を自ら実行するのではなく、不正アクセスに悪用できるデータを抜き取ってダークウェブのマーケットで販売することも考えられます。

この調査で気掛かりだったのは、企業のデータが公開される問題について、注意を促そうとしても、なかなか真剣に取り合ってもらえないことでした。ESETからの問い合わせに対応した企業もありましたし、安全に破壊するか、データを完全に消去する企業にデバイスを回収してもらっていることを確認している企業もありましたが、明確なプロセスを確立していない企業や、何度連絡しても無視する企業もありました。

今回の調査から得られた教訓は、企業が廃棄するデバイスのすべてのデータを完全に消去しなければならないことです。また、会社の重要な機密データが中古ハードウェア市場から抜き取られ、公然と販売されていないことを確認するために、厳格な消去のプロセスを確認し、定期的に監査しなければなりません。

企業名や企業の特定につながるデータ以外の詳細な情報は、ホワイトペーパーで公開しています。また、このホワイトペーパーには、米国国立標準技術研究所（NIST）が発行した「メディアのサニタイズに関するガイドライン」（800.88r1）など、遵守すべきプロセスに関するガイダンスも含まれています。思いがけずに自社のデータが開示されることがないように、今回の調査結果の詳細をお読みいただき、自社のプロセスを確認することを強く推奨します。