• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を

浅川 直輝=日経コンピュータ 2014/07/29 日経コンピュータ

 ベネッセコーポレーションによる個人情報漏洩事件では、容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされる。貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、なぜ容疑者はスマートフォンにデータを書き込めたのか。

 複数のセキュリティ技術者が「有力な可能性」として指摘するのが、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である。

 一般的なUSBメモリーは、Windowsのデバイスクラスでは「USBマスストレージ」として認識され、ドライブ名が割り当てられる。一方でスマートフォンでは、USBマスストレージのほか、ドライブ名が割り当てられないWPD(Windows Portable Devices)クラスとして認識されることがある。

 USBマスストレージではPCがファイル制御を担うのに対し、WPDではファイル転送方式としてPTP(Picture Transfer Protocol)やMTPを使い、デバイス側がファイルを制御する。これにより、例えばファイル書き込み中にデバイスを引き抜く、PCとデバイスでファイルを同時に書き換えるなどしても、ファイルが破損しにくくなる。PTPは画像ファイルの転送に対応し、PTPの拡張規格であるMTPはそれ以外のファイルの転送にも対応する。

 このMTPの存在は、情報漏洩対策の盲点になり得る。デバイス制御ソフトやActive Directoryのグループポリシーの設定でUSBマスストレージの使用を制限しても、MTPあるいはWPDデバイスの使用制限を忘れると、スマートフォン経由で簡単にPCからデータを持ち出せてしまう。例えばAndroid端末の場合、機能としては2011年9月に公開されたバージョン3.1、本格的には2011年10月公開のバージョン4.0から、MTPによるファイル転送に対応している。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ 商用のデバイス制御ソフトでは一般に、USBマスス...
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る