ESET調査レポート:破壊されずに廃棄された古いルーターから企業の機密情報の流出が多発
多くの企業では、日常的に古くなったルーターを新しい製品に入れ替えています。廃棄するルーターを適切なプロセスで処分することは、新しいルーターをスムーズに設置して導入するのと同じくらい、あるいはそれ以上に重要です。しかし、残念ながら、多くの企業がルーターを適切に廃棄していないことがESETの調査で明らかになりました。
多くの企業では、日常的に古くなったルーターを新しい製品に入れ替えています。廃棄するルーターを適切なプロセスで処分することは、新しいルーターをスムーズに設置して導入するのと同じくらい、あるいはそれ以上に重要です。しかし、残念ながら、多くの企業がルーターを適切に廃棄していないことがESETの調査で明らかになりました。
ESETの調査チームがテスト環境を構築するために中古のルーターを数台購入したところ、メンバーの間で衝撃が走りました。多くのルーターで、以前に使用した設定が消去されておらず、さらに悪いことに、ルーターにあるデータから以前の所有者とそのネットワーク設定の詳細を特定できることがわかったのです。
そこで、より大規模なテストを実施すべく、より多くの中古デバイスを購入し、簡単な方法でこれらのデバイスにデータが残っているかどうかを確認することにしました。合計で18台のルーターを取得しましたが、1台は到着時に破損しており、2台はミラーリングされていたため1台としてカウントしました。 いくつかの調整をし、最終的に56%以上の端末で設定の詳細やデータを確認することができました。
顧客データ、ルーター間の認証キー、アプリケーションリストなど、デバイスから得られるデータは、サイバー攻撃に悪用される恐れがあります。サイバー攻撃者はアクセス情報を取得すると、会社の価値の高いデジタルアセットがどこにあるのか調査を開始します。アクセス情報が窃取されると、ランサムウェアなどのマルウェアが展開され、深刻な被害が生じることになります。
サイバー攻撃者がマネタイズを目的として企業にサイバー攻撃を行う手法が近年変化していることは、多くのレポートで報告されています。サイバー犯罪者は、ネットワークへ侵入して攻撃の起点を確立し、洗練された手法で企業のネットワークに常駐しています。そして、時間と労力をかけて高度な方法でデータを外部に持ち出し、セキュリティ対策を回避する方法を模索しながら、最終的にランサムウェア攻撃などの危険なサイバー攻撃を仕掛けて、深刻な被害をもたらします。
企業ネットワークに最初に侵入するために利用できる情報には高い価値があります。サイバー犯罪の予防や防止のためのソリューションを提供しているKELAが実施した調査によると、企業ネットワークにアクセスするための認証情報の現在の販売価格は平均約2,800ドルになっています。数百ドルで購入した中古のルーターに含まれる情報から、手間をかけずにネットワークにアクセスできるようになれば、サイバー犯罪者は効率的にアクセス情報を収集する可能性があります。サイバー攻撃を自ら実行するのではなく、不正アクセスに悪用できるデータを抜き取ってダークウェブのマーケットで販売することも考えられます。
この調査で気掛かりだったのは、企業のデータが公開される問題について、注意を促そうとしても、なかなか真剣に取り合ってもらえないことでした。ESETからの問い合わせに対応した企業もありましたし、安全に破壊するか、データを完全に消去する企業にデバイスを回収してもらっていることを確認している企業もありましたが、明確なプロセスを確立していない企業や、何度連絡しても無視する企業もありました。
今回の調査から得られた教訓は、企業が廃棄するデバイスのすべてのデータを完全に消去しなければならないことです。また、会社の重要な機密データが中古ハードウェア市場から抜き取られ、公然と販売されていないことを確認するために、厳格な消去のプロセスを確認し、定期的に監査しなければなりません。
企業名や企業の特定につながるデータ以外の詳細な情報は、ホワイトペーパーで公開しています。また、このホワイトペーパーには、米国国立標準技術研究所(NIST)が発行した「メディアのサニタイズに関するガイドライン」(800.88r1)など、遵守すべきプロセスに関するガイダンスも含まれています。思いがけずに自社のデータが開示されることがないように、今回の調査結果の詳細をお読みいただき、自社のプロセスを確認することを強く推奨します。