米国と英国で中古で購入されたUSBメモリの約3分の2には、復元可能なデータや機密データが含まれている場合もあり、調査対象となったデバイスの5分の1では、以前の所有者を特定できた。
これらの結果は、英国のハートフォードシャー大学が消費者製品比較ウェブサイトのコンパリテックの委託を受けて実施した調査から今週発表された。
研究者らは、2018年1月から5月にかけて、eBay、中古品店、そして従来のオークションで、米国と英国でそれぞれ100個ずつ、計200個のUSBドライブを購入した。少なくとも米国では、ほとんどの販売者がデータ消去の必要性を認識しており、消去の痕跡が見られなかったドライブは1個のみだった。英国では、19個に消去の痕跡が見られなかった。
厄介なことに、回収された資料には機密性の高いものが多かった。中年男性のヌード写真と連絡先、捜索令状やリスク評価書といった法的文書、何年も前の財務書類と個人情報、納税申告書や給与明細書なども含まれていた。
発見されたデータから、米国で20人、英国で22人の元デバイス所有者が特定されました。しかし、研究者たちはこれらの個人に連絡を取り、データの衛生管理が不十分であることを警告する努力をしませんでした。
米国では64人、英国では47人がデータ消去を試みましたが、実際には成功しませんでした。米国では8本、英国では16本のUSBメモリが再フォーマットされていましたが、データは「最小限の労力で」復元できました。
ほぼ同数の人々(おそらくデータ消去ツールを使用した)が、データを正常に消去することができました。米国では 18 人、英国では 16 人です。
また、まったく読み取れないドライブもいくつかありました(米国に 6 台、英国に 1 台)。また、英国には BitLocker で暗号化されていたために読み取れない USB スティックが 1 台ありました。
ドライブを廃棄する際にデータを削除する必要があることを知らないわけではありません。むしろ、データを復元不可能にする方法を知らないのです。ファイルをゴミ箱にドラッグして「ゴミ箱を空にする」を選択したり、ストレージメディアを一括でフォーマットしたりするといった手順で、実際にファイルが消去されると思い込んでいる人が多いのです。
ITセキュリティについて少しでも知識のある人なら誰でもそう言うでしょうが、それは事実ではありません。データの削除にはかなりの労力が必要です。だからこそ、米国標準規格機関NISTは、このテーマに関する60ページ以上のガイダンスを公開しているのです。
「この調査によると、米国ではUSBメモリからデータを削除する取り組みが99%のケースで行われていたのに対し、英国ではその割合はわずか81%だったことが示唆される」と調査は述べている。「これは、米国では潜在的な問題に対する認識がより高いことを示唆している」
それにもかかわらず、米国の人々がデータを正常に削除する可能性は、英国でドライブを廃棄する人々よりも高くありませんでした。
コンピューターメーカーは、「ゴミ箱を空にする」メニューの名称を「ファイルを整理する」など、より正確なものに変更することでこの状況を改善できるかもしれないが、最終的にはコンピューターユーザーが自らの利益を守る必要がある。
コンパリテックの編集者、ポール・ビショフ氏は、 The Registerへのメールで、データ消去の際に手抜きをしないようアドバイスした。「捨てる場合は、まずハンマーかドリルで破壊してください」と彼は述べた。「売る場合は、安全なデータ消去ソフトウェアを使用するか、『クイック』フォーマットではなく、完全なローレベルフォーマットを使用して、残留データを完全に削除してください。」®
