株式会社ゲットイット
ホワイトペーパー
2021年12月10日
沼田氏が解説:秋葉原での “穴あきSSD” 販売の問題点とは

2021年11月初旬、秋葉原のパーツショップで穴のあいたSSDが売られていたことがSNSなどで話題となり、ショップが声明を出して経緯の説明および謝罪を行うという事案がありました。
声明の中では、「誤って穴が開けられたSSD」の上書き消去を依頼され、これをリユース可能な商品として仕入れ、販売したという経緯が述べられています。本件については、新聞社より、弊社技術顧問であり、データ復旧/データ消去の両分野の専門家である沼田理氏への取材依頼がありました。

以下のQ&Aは、「リサイクル通信」による、沼田氏への取材内容をまとめたものです。新聞社の許可を得て、記事の中では紹介しきれなかった内容も含めて掲載しています。
※ 記事は、2021年12月10日(金)発行「リサイクル通信」第525号2面に掲載されました。詳細はこちら

 

 

沼田理氏
沼田 理(ぬまた まこと)
データ復旧・データ消去のスペシャリスト。データ適正消去実行証明協議会(ADEC)技術顧問。技術情報、web原稿の提供、IDF(デジタル・フォレンジック研究会)講師などを務める。神奈川県情報流出事件以降は、新ガイドライン作成へ向けた行政からの技術諮問に応じるなど活動中。2020年2月より、株式会社ゲットイットの技術顧問に就任。

執筆文献:「データ抹消に関する米国文書(規格)及びHDD、SSD の技術解説」「ADEC データ消去技術ガイドブック 第2版」他。

 

 

Q1:穴あきのSSDにリユース品としての価値はあるのでしょうか?

今回の様に、秋葉原のいわゆるジャンク屋の店頭まで含めれば、動作さえすればリユース品となり得ます。そして、今回の場合、知識を持っている人であれば、破壊されている状態から、一目でデータ漏洩防止のための3.5インチHDD用の物理破壊用機器を使用したものであろうと認識できるので、データ復旧ソフトなどを使用したデータの読み出しを、興味本位に試行する可能性が高くなると言うこともできます。(現実に全数売り切れたとの情報もあります)

このような外観を持つSSDであっても、ノートPCのHDDをSSDに換装する、或いは外付け用のケースに入れて使用する等の場合では筐体内に収まってしまうので、その目的でより安価なものを探している人には興味を引く商品と言えます。また、そのような物が売れなければ(商品性がなければ)ジャンク屋としても取り扱いませんし、これだけ広く知られることは無かったと思います(※1)。

 

 

Q2:誤って穴が開けられたとのことですが、そこからどのようなことが想像されますか?

「誤って穴が開けられた」との表現は、「本来SSDに対する穿孔破壊は有効では無いことに対して、有効であると思い誤った処置を行ってしまった」つまりデータ抹消を目的とした作業を行ったと理解することが正しいと考えます。

穴を開けることで、HDDのデータの読み出しが不可能になることが世の中に広く知られるようになったのは、「ドリル優子」の功績ですが、これがあまりにも有名になったと共に、データ消去用ソフトウェアの場合でも、HDDでもSSDでもどちらにでも同様に効果があると考える人が多いようです。しかし、実際には、HDDの場合は磁気記録であり、SSDの場合はNAND型フラッシュメモリと呼ばれる不揮発型メモリICであり、動作原理が全く異なるため同一に扱うことはできません。このことは、データ消去サービスを提供している事業者においても、正しい知識として所有していない場合が見受けられ、大きな問題と捉えています。

SSDの物理破壊は、少なくとも基板上に半田付けされているメモリIC全てを破壊(通電しても動作しない)状態にすること(NIST SP800-88Rev.1)とされており、NSA/CSSでは長辺が2㎜以下になるように粉砕する事を求めています。この様に、日本でよく行われているHDDに対する穿孔(4つ穴)等は、SSDに対しては「全く役立たず」です。

 

 

Q3:本件について、どのような点が特に問題であると考えていますか?

既に記したように、(少なくとも)「HDDとSSDでは有効なデータ抹消方法は同一ではない」ということが知られていないことも含め、データ消去(情報セキュリティー)に対する意識・知識の乏しさに尽きると考えます(※2)。

3回上書きは、既に過去の物(既にNSAではHDDに対する正式なデータ抹消手段として認めていない)であることも一般的に知られておらず、実際にSSDに対して使用した場合、HPA(OSのリカバリ用データを記録してある隠し領域)やDCO(容量の大きなHDDやSSDを旧型のPCのサービスパーツとして使用する場合にPCの仕様に併せて容量クリップした隠し領域)等が設定されていると、全く上書きされる事無くデータが残存するセクタが残るような現象が発生する場合があることが、ADEC(データ適正消去実行証明協議会 ※3)のデータ消去ソフトの動作検証時に確認されているという事実も存在します。

ーー ありがとうございました。

 

 

注釈

※1 穴あきSSDの商品価値について
リユース品としての価値があるかは、新品同様の品質を求められるBtoB領域のリユースでは論外であり、弊社において穴あきSSDをリユース品として扱うことは決してありません。また、個人使用を想定した場合でも、安全性の面から、使用すべきではありません。

※2 データ消去(情報セキュリティー)に対する意識
米国においては、委託先への監督を怠ったとして、モルガン・スタンレー社に約60億円の罰金が課せられるなど、個人情報保護の厳罰化が進んでおり、データ消去に対する意識も高まっています。本件についてより詳しくは、沼田氏によるホワイトペーパーをご参照ください。
資料:「欧米の実例に学ぶ、電磁記憶媒体廃棄時の情報漏洩防止対策規定」
https://www.get-it.ne.jp/whitepaper_02/

※3 ADEC(データ適正消去実行証明協議会)
2018年2月、CSAJ(一般社団法人コンピュータソフトウェア協会)によって設立。データの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的として活動をしています。
Webサイト:https://adec-cert.jp/