古い携帯電話のデータが過去から蘇り、あなたを悩ませることがあります。売り手が怠惰だったり、世間知らずだったりするせいで、捨てられた携帯電話には、以前のユーザーに関する膨大な情報が詰まっています。携帯電話がますますスマートになるにつれ、銀行口座のパスワード、個人のメールアドレス、プライベートな写真などが保存されている可能性が高まり、正当な動機があれば誰でも悪用できる可能性があります。
PCWorldの過去の調査によると、ノートパソコンやデスクトップパソコンを処分する前に、古いパソコンのハードドライブ上のデータを適切に消去していない人がいます。たとえ、そのデータに自分自身や他人の機密情報が含まれていたとしてもです。また、古い携帯電話のデータ消去についても、消費者は同様に無知なようです。
この問題がどれほど深刻であるかを検証するため、サンフランシスコ・ベイエリアのeBay、中小企業、フリーマーケットの様々な出品者から、インターネット対応の携帯電話13台を購入しました。その結果、13台のうち5台にはまだ情報が残っていたことがわかりました。
再販業者から購入した、完全にデータ消去されていない最初の携帯電話には、通話時間データがまだ残っていました。これは、たとえ匿名であっても、適切に工場出荷時設定にリセットしたとしても、一部の情報は携帯電話に残るということを示しています。携帯電話リサイクルを専門としている会社から購入した別の携帯電話には、連絡先情報、ボイスメール、テキストメッセージが保存されていました。カリフォルニア州オークランドのフリーマーケットで購入した2台の携帯電話には、かなりの量のメール、テキストメッセージ、連絡先情報、写真が保存されていました。また、個人から購入した1台の携帯電話には、メールと連絡先情報がまだ保存されていました。
携帯電話を消去して二度確認する
スマートフォンには通常、少なくとも2つのメモリが搭載されています。SIMカードと本体メモリです。多くのスマートフォンでは、取り外し可能なSDカードにも追加データが保存されています。私たちが購入したすべてのスマートフォンからSIMカードとSDカードは取り外されていました。しかし、スマートフォンの本体メモリを消去することを忘れている(あるいは知らない)人がいるようです。そこで、まだデータが残っていた5台のスマートフォンからデータが見つかりました。SIMカードを取り外すと、スマートフォンはネットワークとの通信を停止しますが、スマートフォンに既に保存されているメールや連絡先リストは消去されません。
この記事のために入手した携帯電話の一つは、eBayで購入したSamsung BlackJack IIでした。売主は、ペンシルベニア州行動健康・高齢化連合の事務局長、レベッカ・メイ=コール氏です。この携帯電話は、メイ=コール氏の下、高齢者のうつ病やメンタルヘルス問題に関するアウトリーチ活動に従事していた臨時従業員のものでした。その従業員への助成金が終了したため、メイ=コール氏はこの携帯電話を売却することを決意しました。
PCWorldのオフィスに届いた電話機はSIMカードが抜かれた状態でしたが、内部メモリには前月のメールや連絡先が保存されていました。さらに悪いことに、BlackJack IIはWindowsベースの電話機なので、コンピューターに接続すると、電話機のインターフェースではすぐには表示されなかったダウンロード済みのドキュメントにいくつかアクセスできてしまいました。
「なんてこった、恥ずかしい」とメイ=コールさんは私が連絡したとき、うめき声をあげました。「SIMカードを抜いたら、すべての情報が消えたと思って、売る前に端末を確認することすら考えていなかったんです。」メイ=コールさんの弁明としては、昔のフィーチャーフォンはそういう仕組みだったということです。SIMカードには、端末のメモリを供給していた連絡先、テキストメッセージ、通話履歴のほとんどが保存されていました。しかし、携帯電話メーカーは長年、スマートフォンの内蔵メモリをどんどん増やしてきました。つまり、SIMカードを抜くだけでは、情報保護の効果はますます薄れていくということです。
もちろん、13 台の携帯電話それぞれについて、以前の所有者または販売者に連絡した後、元のユーザーに携帯電話を返却するか、情報を破棄することを提案しました。
企業がデータを消去してくれるとは思わない
私たちが購入した携帯電話の一つは、コロラド州ラブランドに拠点を置くAccess Computer Productsという会社の子会社、G0g0gadgets製のVerizon LG Dareでした。届いた携帯電話には、前のユーザーに関する膨大なデータが含まれていました。カップルがキスをしている写真付きのテキストメッセージが複数件、さらには幼児の写真の下に「かわいい赤ちゃんのいとこ」と書かれたメッセージまで含まれていました。
Verizonで携帯電話の電子シリアル番号を確認したところ、G0g0gadgetsのeBay出品には不正なESNに関する記載はなかったにもかかわらず、携帯電話は紛失または盗難として登録されていると報告されました。たとえ不正なESNであっても、携帯電話を工場出荷時設定にリセットするだけで、前の所有者の情報は消去されていたはずです。
G0g0gadgetsの代表であるアマンダ・マーズ氏は、「当社の携帯電話は検査済みであるはずなのに、なぜ見落としてしまったのか分かりません。これらの携帯電話を誰が検査したかは確認できていますし、今後は当社の基準に沿って検査が行われるように徹底できます」と回答しました。また、G0g0gadgetsはeBayに常時約600件の出品をしており、1日に約100台の携帯電話を販売しており、携帯電話の検査と再生のために2人の担当者を雇用していると述べました。この2人からはコメントを得られず、同社のマネージャーもコメントを求める電話に応答しませんでした。【追記】金曜日の朝に連絡を試みた後、アクセス・コンピュータ・プロダクツのマネージャー、ブライアン・レッサー氏から月曜日に連絡がありました。彼は、G0g0gadgetsはこのような違反が二度と起こらないよう、スタッフのポリシーと手順を強化すると述べました。
元の所有者のプライバシーをこれほどまでに著しく侵害することは、想像するほど珍しいことではないかもしれません。古い携帯電話の取り扱いを怠っても、テクノロジーリサイクル事業への参入障壁がかなり低いため、簡単に見逃されてしまうのです。この事業に必要なのは、古い携帯電話とeBayのアカウントだけです。経費はほとんどかからず、匿名性も比較的高いため、無能な、あるいは無関心な転売業者が「リサイクルされた携帯電話」に便乗し、あなたの安全と個人情報のセキュリティを危険にさらすのも無理はありません。
ボストンに拠点を置くテクノロジー再販業者Gazelle.comのような、より評判の良い企業は、人々が自分の情報を不注意に扱うことを身をもって知っています。Gazelle.comのシニアマネージャー、クリスティーナ・ケネディ氏によると、Gazelleの倉庫に毎日持ち込まれる携帯電話の50~65%には、前の所有者の情報が保存されているとのことです。この問題を解決するため、同社はスタッフに対し、持ち込まれるすべてのデバイスを手動で工場出荷時設定にリセットするとともに、SIMカードやSDカードが同梱されている場合はそれらを破棄し、フォーマットするよう教育しています。(ちなみに、私たちはGazelleに許可なく携帯電話を購入しましたが、情報は全く残っていませんでした。)
PCWorldは、オクラホマ州の自宅リビングルームでSoonerSoftという会社を経営するジェイソン・ミルズ氏から、携帯電話2台も購入しました。ミルズ氏は、不要になった携帯電話をデータ消去して再販するために、携帯電話会社から一度に数千台の中古携帯電話を受け取ります。以前のユーザーのデータが少なくとも一部残っている携帯電話がどれくらいあるか尋ねると、彼はためらうことなくこう答えました。「ええ、おそらく99%でしょう。携帯電話のデータ消去はしない人が多いですが、すべきです。賢明ではありませんから。石油・ガス会社などの競合他社が手に入れたいメールが入った業務用携帯電話や、土地や鉱業権に関する情報が入った携帯電話も受け取ります。」
携帯電話の適切なデータ消去方法を知らない人は、ミルズのような仲介業者が転売プロセスの一環として携帯電話をデータ消去してくれるだろうと考えるかもしれません。しかし、すべての携帯電話販売店がミルズのように誠実であるとは限りません。多くの顧客が、見知らぬ人に売る前に携帯電話をデータ消去することに無頓着であるという事実は、なりすまし犯やその他疑わしい動機を持つ人々にとって、簡単に手に入る獲物が多くあることを意味します。
覚えておくべき重要な点は、中古携帯電話の販売業者にデータ消去を強制する規制機関がないということです。例えば、米国国立標準技術研究所(NIST)は、中古携帯電話のデータ消去に関するガイドラインのみを発行しています。また、国防総省はデスクトップパソコンのハードディスクを消去するための規格を公開していますが、スマートフォンについては同等の規格を設けていません。事前に調べない限り、第三者に携帯電話を消去してもらうのは、なりすまし詐欺のルーレットをプレイするようなものです。
次のページ: スマートフォンはいつ事故が起きてもおかしくない
あなたのスマートフォンはいつ事故に遭うか分からない
カリフォルニア州オークランドの暑い土曜日、私はコロシアムのフリーマーケットを歩き回り、偽のMAC化粧品や古くなった電動工具の屋台を通り過ぎ、中古のスマートフォンを探した。
この土曜日、私は探していたものをすぐに見つけました。オレンジ色のテーブルクロスの上に、あらゆる色と形の BlackBerry と Razr がきちんと並べられた小さなテーブルです。
Samsung Rogueの代金を支払っていると、ボロボロの初代Motorola Droidが目に留まりました。心臓がドキッとしました。3ヶ月前に自分のDroidを盗まれ、データも全て盗まれてしまったのです。もしこの携帯が私のものだったらどうしよう? もちろん私のものではありませんでしたが、値切って家に持ち帰るまでは確信が持てませんでした。Rogueと同じように、このDroidもバッテリーが切れかけていました。充電したとしても動くかどうかさえ分かりませんでした。
家に帰って携帯電話を充電してみると、両方の携帯電話に非常に多くの情報が詰まっていて、携帯電話がそれぞれの持ち主の手から離れる前の 1 か月間の生活を詳細に描写できそうだった。
銀行のメール、家族や友人の写真、オーナーが両親に付けていたニックネームなどすべてにアクセスできた。たった 60 ドルとフリーマーケットでの午後 1 日ですべて手に入った。
電話の元の持ち主に連絡を取ったところ、彼らの話は似通っていた。電話は盗まれ、持ち主は必死になって取り戻そうとしたが、リモートワイプアプリをインストールしていなかったため、データが野放しになっているという事実を受け入れざるを得なかったという。Motorola Droidの持ち主、エミリー・スミスさんは、リモートからボイスメールにアクセスし、犯人が自分の電話として使用していることを突き止めた。しかし、その知識は電話を取り戻す助けにはならず、サンフランシスコでスミスさんと会ったとき、彼女は、将来盗まれた場合にAppleのMobileMeを使ってリモートでロックできるため、AndroidからiPhoneに切り替えたと話した。私はDroidをスミスさんに返却した。Samsung Rogueの持ち主は私と会うことができず、その情報を破棄するよう依頼した。
スミスさんの体験はよくある話です。多くの人が携帯電話を盗まれていますが、スマートフォンがよりスマートになるにつれて、データの損失はより深刻なものになるでしょう。携帯電話を紛失すると、自分の情報だけでなく、連絡先、他の人が写っている写真、他の人から送られてきたメッセージなども失われます。遠隔操作で携帯電話をロックし、情報を消去できるアプリをインストールしておくことは、壊滅的なミスを防ぐための優れた方法です。
とはいえ、もし誰かが本当にあなたを狙っていたり、個人情報を盗み取ろうとしているなら、携帯電話を掴んでファラデーバッグ(ネットワークから携帯電話へのあらゆる通信を遮断し、リモートワイプツールの使用を防ぐ特殊な素材で作られている)に入れるだけで済みます。あるいは、さらに簡単な方法として、ネットワークとの通信にSIMカードが必要なGSMベースの携帯電話(AT&TやT-Mobileなど)をお持ちの場合は、SIMカードを抜くだけで、リモートワイプアプリによる情報破壊を阻止できます。
携帯電話からは得られない情報
電話の情報の種類によっては、指示に正しく従っても消去できない場合があります。
最後に情報を見つけた携帯電話は、ジェイソン・ミルズ氏のSoonerSoftから販売されたWindowsベースのスマートフォン、HTC SMT5800でした。ミルズ氏はこの携帯電話を完全に工場出荷状態にリセットしており、メールや連絡先は残っていませんでした。しかし、携帯電話のメニューの奥深くに「通話時間」オプションがあり、以前のユーザーが行った発着信の通話回数が時間と分単位で表示されていました。
「一部の携帯電話では、通話時間は消去できません」とミルズ氏は言います。「連絡先などのデータは消去できますが、通話時間のリストは保存されます。そのため、携帯電話を再販する場合、(再販業者は)この携帯電話が再生品か新品かは言えず、中古品と言わざるを得なくなります。」
確かに、通話時間の合計だけでは、脅迫キャンペーンを成功させたり、個人情報を盗んだりするには不十分です。しかし、携帯電話の過去のデータの痕跡が肉眼で確認できる程度に残っていれば、有能なフォレンジック専門家、あるいは趣味でハッキングをするだけの非常に頭の切れるハッカーでさえ、その携帯電話に保存されていたファイルの一部を確実に取得できる可能性があります。「きっと驚くでしょう」と、vNet Securityのオーナーであり、セキュリティおよびフォレンジックアナリストでもあるポール・ヘンリー氏は指摘します。「要するに、携帯電話に表示されるものはすべて不揮発性RAMに書き込まれており、文字通り上書きされない限り永遠に存在する可能性があるのです。」
携帯電話をワイプする vs. フォレンジックワイプ
すべてを正しく行い、指示通りに携帯電話を消去したとしても、端末を渡すかどうかは再考した方が良いかもしれません。「携帯電話はパソコンとよく似ています。何かを削除しても、実際には消えたわけではありません。熟練した調査員なら、探している特定の項目を見つけ出すことができます」と、モバイルフォレンジック企業Cellebriteのエンジニアリング担当副社長、クリストファー・シン氏は述べています。
Cellebriteは、様々な携帯電話のOSとハードウェアに対応した幅広いツールを開発しています。同社のフォレンジック製品は、iPhoneからGarminのGPSシステムまで、約3,500種類のモバイルデバイスモデルから情報を取得できます。
もちろん、セレブライトは法執行機関にのみ機器を提供しているため、犯罪者がスマートフォンタウンの鍵を持って街中を歩き回っているわけではありません。また、ハッキング経験のない人が携帯電話から削除されたデータを復元するのは、廃棄されたハードドライブから削除されたデータを復元するよりも、実際にははるかに困難です。これは、特に2、3年前のフィーチャーフォンでは、非常に多くの異なるモバイルOSが存在するためです。そして、今日廃棄されている携帯電話の多くは、インターネットからボタンをクリックするだけでダウンロードできる無料のデータ復元ソフトウェアでは動作しない独自のOSを搭載しています。
とはいえ、Androidデバイス、BlackBerry、iPhoneなど、どんなスマートフォンでもフォレンジック分析が不可能というわけではありません。また、スマートフォンを分析する専門家全員が善人というわけでもありません。iPhoneの分析を行っているForensic Telecommunications Servicesのマネージングディレクター、ショーン・ヒップグレイブ氏は、Appleがどんなセキュリティ対策を施しても、ハッカーは必ずそれを破ると述べています。「ハッカーコミュニティは金銭的な利益のためではなく、知的刺激のためにハッキングを行っているのです」と彼は言います。
では、自分のデータが自分だけのものになるようにするにはどうすればいいのでしょうか?まず、携帯電話を他人や企業に売る前に、必ず自分でデータを消去しましょう。携帯電話によって手順は異なります。ほとんどのモデルでは、本体メニューから工場出荷時の設定に戻すことができますが、多くの場合、パスワードを1回、あるいは複数回入力する必要があります。正しく復元するには、取扱説明書を確認するか、Googleで検索して手順を説明した動画を探してください。
データの不正な復元が本当に心配な場合は、BlackBerryがよい選択です。携帯電話を工場出荷時の状態にリセットし、30日間触らなければ、メモリが自動的に再編成され、ハッカーが法医学的分析でデータの一部を切り出すのが難しくなります。https://www.pcworld.com/appguide/app.html?id=95492などのiPhoneアプリやShreDroidなどのAndroidアプリは、工場出荷時の状態にリセットした後、携帯電話上の削除されたデータをランダムな1と0で上書きします。
これらの解決策はどれも完璧ではなく、中古の携帯電話から情報が漏れてしまう可能性も否定できません。特に心配な方は、vNet Securityのポール・ヘンリー氏が自身の古い携帯電話や家族の携帯電話で行っているように、携帯電話を分解し、ハンマーでメモリチップを粉々に砕いてみましょう。もしかしたら、スクラップになった金属からいくらかお金がもらえるかもしれません。
