サーマルカメラの処分にはご用心 - 意図しない情報漏洩リスク - ラック・セキュリティごった煮ブログ

ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

サーマルカメラの処分にはご用心 - 意図しない情報漏洩リスク

寒暖の差が激しい今日この頃、皆様いかがお過ごしでしょうか?DP部日野です。

HDDやSSDなどの記憶媒体やサーバー・ネットワーク機器などと同様、その処分に際してはデータの消去という視点がとても重要です。

このごった煮ブログでは以前にも、サーバー・ネットワーク機器、HDD・SSD記憶媒体などの安全な処分方法について紹介しましたが、今回はそのスポットライトを新型コロナウイルスの影響で身近な存在となったサーマルカメラ*1にあててみたいと思います。

devblog.lac.co.jp

 

devblog.lac.co.jp

新型コロナウイルスの影響により身近な存在となったサーマルカメラですが、適切な処理を行っていない、あるいは処理できていない場合、顔認証情報などが流出してしまう恐れがあります。

実際にオークションサイトで入手したサーマルカメラを解析したところ、実際に以前設置された場所で記録された情報、つまり体温を測定した人の顔写真などの機微な情報が残っていた、というSNS・ブログでの投稿も見かけました*2

筆者自身も以前からサーマルカメラ自体は回路や家にあるようなネットワーク機器の発熱を見られるようになると嬉しいのと、中のファームウェアがどうなっているのか気になっていたので目を付けていたのですが、如何せんこの手のカメラは新品の場合、そこそこのお値段するため、手を出せずにいました。

しかし、最近になり状態の比較的良い中古が出回るようになったようで、ごった煮ブログの執筆順が近づいていた私にとって調査するには絶好の機会かと思いました。さらに、もしうまく破壊せず、ちゃんと消去したうえであれば、リユースできたりするのでは…?そんな淡い期待を抱きつつ、調べてみることにしました。

ここからは普段DP部のIoTデバイスペネトレーションテストサービスで行っている調査に近い流れで進めていきます。レッツ、分解!

機器の入手と開封

こちらが今回入手したサーマルカメラ(とその同梱物)です。

入手したサーマルカメラと同梱物

御覧の通り、付属品がかなり充実しているうえに、写真ではわかりづらいのですが、カメラ本体の液晶パネル部のフィルムが剝がされていなかったりと、ジャンクという割にはかなり状態がいいように見えます。というかこれ絶対倉庫で寝ていたようなものの在庫処分でしょ…

ちなみに、裏面の表記やモジュールの外見等から、このサーマルカメラは冒頭に挙げたSNSで話題となっていたものとは別の会社が販売していたものとみられます。

入手したサーマルカメラの背面

データが残っているかもしれないから気を付けよう、という趣旨で解析をするにはだいぶ雲行きが怪しくなってきた気がしますが、実際に中身を見てみないことには始まりません。普段の調査でもデータの抽出は最優先事項で行うことが多いため、まずは分解を進めることにしました。

開腹~ファームウェア・データの抽出

先ほどの状態から、中身の基板を露出させたものがこちらになります。

メイン基板上のデバイス


ARMのCortex-A53シリーズを採用したSoCが搭載されていたり、裏面にもSTM32 SoCがあったり、SAMスロットが搭載されていたりするなど、それなりにリッチな構成になっていることがうかがえます。

今回の目的はいくつかありますが、そのうちの一つはデータが残っているかを確かめることとファームウェアの抽出と解析を行うことであるため、eMMCを剥がし、中に記録されたデータとファームウェアを抽出しました。その後eMMCは再実装を行いました。

しかし、電源を投入しても、いくつかのLEDが点灯しブザー音が鳴るだけで、液晶パネルは点灯しないという状態に。おそらくはeMMCのリボール不良か、デバイスの接続に不備があるかのどちらかなのですが、分の悪いことに動作確認前に早々に分解してしまったためにそもそも正常系がわからないということに気が付きました。ある意味やらかしです。

普段のIoTデバイスペネトレーションテストの場合、お客様にテスト対象の機材を2セットご提供いただき、片方を分解用、もう片方を動作確認用として使うことが多く、また、IoTデバイスに限らず電源投入前でないと得られないデータもしばしある*3ため、この"分解が先"か"動作確認が先か"は結構難しい問題です。ただ、今回は最終的には再利用を目論見ていたこともあり、正常時の挙動は知りたいと頃です。お財布的にはちょっと痛いですが今回は追加でもう一台調達することとしました。

果たしてデータは残っているのか…?

もう一台の到着を待つ間にeMMCのデータの解析を進めたところ、幸いにも、最初に分解した個体は当初の見立て通り、ほぼ工場出荷時の状態で、懸念していた顔認証情報のような機微な情報は残っていないことがわかりました。

抽出したデータの一部

一方でテスト動作とみられるログの一部は残存していました。また、ここまでの表層的な解析では、一部のバイナリを除き、暗号化の有無は確認できていません。のちに到着したもう1台についても、今回はほぼ同様の結果となりました。

ログの一部(加工済み)

これらのことから、サーマルカメラを適切な処理を行わずに処分してしまった場合、ある程度の難易度はありますが、顔認証情報など機微なデータが流出しうるものである、ということが改めて示唆されるものと考えられます。さらに、このことはサーマルカメラに限らず、機微な情報を扱う可能性のあるIoTデバイスに共通して言えることでもあります。

まとめ

サーマルカメラの導入と撤去、これらがコロナ禍で急速に進む中で、その後の処分について悩んでいる方も多いのではないでしょうか?私の調査した機材は幸いにもほとんど使用されておらず、工場出荷状態に近いデータだけが残っている状態でしたが、安全な消去方法が提供されていない機材や、消去方法が存在しながら何もせずに処分されてしまうケースでは、顔認証情報などの機微な情報が再資源化や二次流通の過程で漏洩するリスクがあります。

リユースやリサイクルは、持続可能な社会を目指す上で重要な取り組みです。しかし、その前提は情報保護の確実な実施です。以前当ブログでも紹介したような物理破壊は、情報保護の最終手段としては考えられますが、処理者の安全や環境への影響を考慮すると、これは最終手段の一つに過ぎません。

そのため、メーカーや販売事業者は、安全なデータ消去方法を用意し、それを利用者に明確に案内する責任があります。我々ユーザーの側も、SSDやHDDなどの記憶媒体スマホやパソコン・サーバーと同様に、サーマルカメラなどのIoTデバイスの処分に際しては注意を払い、適切な処理を行う必要があり、こうした配慮と行動の積み重ねが、情報保護と環境負荷低減の両立に繋がるといえます。

*1:主にカメラ付き非接触式体温測定器

*2:

例: カメラ付き顔認識体表温度計を中古で買ったら中に全員の顔写真以下略って全部言っちゃった! - honeylab's blog

*3:初回起動時にアップデートを確認する、バッテリーの状態を記録するなどの挙動を示すデバイスもあります