ネットワーク機器を廃棄する前に設定情報の消去を

ESET が中古のネットワーク機器から企業の機密情報が取り出せるという研究「How I (could've) stolen your corporate secrets for $100 （100ドルで企業秘密を盗む方法）」の結果を公表していたのでメモ。

設定情報が消去されないままに中古のネットワーク機器が流通しているという実態と、そのリスクを指摘しています。先日の大阪急性期・総合医療センターのインシデント報告書では、脆弱性を持った VPN 機器が侵入の発端であったことが記載されていましたが、きちんとパッチが当たっている VPN 機器であっても接続のための情報がそのまま第三者に渡ってしまうとセキュリティに対して重大な脅威になる可能性があります。

IT 機器の廃棄については、例えば HDD 等では「データ消去技術ガイドブック」などが整備されていたり、ISMS やプライバシーマークなどで破壊等の方法が定められていたりしますが、ネットワーク機器はそのような IT 機器廃棄のライフサイクルから漏れていたりするということですね。

“廃棄された”ルーターが初期化されずに中古市場で流通。深刻なセキュリティリスクに | WIRED.jp

9台のデバイスには、組織が使っていたVPN（仮想プライベートネットワーク）の認証情報や別の安全なネットワーク通信サービスの認証情報、またはハッシュ化されたルート管理者のパスワードが含まれたままだったという。そしてすべてのデバイスに、以前のルーターの所有者やオペレーターが誰であったかを十分に識別できるデータが含まれていた。