ベネッセコーポレーションによる個人情報漏洩事件では、容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされる。貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、なぜ容疑者はスマートフォンにデータを書き込めたのか。

 複数のセキュリティ技術者が「有力な可能性」として指摘するのが、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である。

 一般的なUSBメモリーは、Windowsのデバイスクラスでは「USBマスストレージ」として認識され、ドライブ名が割り当てられる。一方でスマートフォンでは、USBマスストレージのほか、ドライブ名が割り当てられないWPD(Windows Portable Devices)クラスとして認識されることがある。

 USBマスストレージではPCがファイル制御を担うのに対し、WPDではファイル転送方式としてPTP(Picture Transfer Protocol)やMTPを使い、デバイス側がファイルを制御する。これにより、例えばファイル書き込み中にデバイスを引き抜く、PCとデバイスでファイルを同時に書き換えるなどしても、ファイルが破損しにくくなる。PTPは画像ファイルの転送に対応し、PTPの拡張規格であるMTPはそれ以外のファイルの転送にも対応する。

 このMTPの存在は、情報漏洩対策の盲点になり得る。デバイス制御ソフトやActive Directoryのグループポリシーの設定でUSBマスストレージの使用を制限しても、MTPあるいはWPDデバイスの使用制限を忘れると、スマートフォン経由で簡単にPCからデータを持ち出せてしまう。例えばAndroid端末の場合、機能としては2011年9月に公開されたバージョン3.1、本格的には2011年10月公開のバージョン4.0から、MTPによるファイル転送に対応している。