パソコンを廃棄する際、個人情報の流出を防止するために、データを消去しなくてはならないことはよく知られている。それも、ファイルを削除したり、ハードディスクをフォーマットしたりしただけでは、完全にデータを消去したことにはならない。データ復元ソフトを使えば、消したはずのデータを読み取ることができてしまうからだ。よって、PCを廃棄する際は正しくデータを消去する必要がある。
では、ルータはどうだろうか。ルータにはPCのような個人情報は格納されていないが、正しい方法で廃棄しないと大変なことになる危険性がある。
ESETの公式ブログ「WeLiveSecurity」によると、同社の研究チームがテスト環境をセットアップするために、中古のルータを購入した時、以前に使用した構成が消去されておらず、チームに衝撃が走ったという。
これを機に、セキュリティチームはさらに中古のルータを購入して調査したところ、56%のデバイスで構成の詳細とデータが発見されたそうだ。デバイスからは、顧客データ、ルータ間の認証キー、アプリケーションリストなどが収集されたが、これらはサイバー攻撃を開始するのに十分なデータとなる。
サイバー犯罪者は、企業のネットワークに侵入して機密データを抽出して、セキュリティ対策を回避する方法を模索したうえで、最終的にはランサムウェア攻撃をはじめとするサイバー攻撃を加えてビジネスを崩壊させる。
KELA Cybercrime Preventionの調査によると、企業ネットワークへのアクセス資格情報の現在の平均価格は約2,800 ドルだという。ESETは、数百ドルで購入した中古ルータがあれば、コストと手間をかけずにネットワークアクセスを提供して、サイバー犯罪者に大きな投資収益率をもたらす可能性があると指摘している。
なせなら、企業のネットワークへのアクセス資格情報があれば、直接サイバー攻撃を行わなくても、ダークWeb市場で販売すれば金銭を得られるからだ。
ESETはこの調査結果を踏まえ、企業がデバイスを廃棄する際は必ずデータを消去・削除して、きれいな状態にするよう、アドバイスしている。さらに、廃棄したデバイスが中古品として販売されていないことを確認するために、廃棄のプロセスを認証し、定期的に監査する必要があると指摘している。
