しゅーと (@shutingrz)
しゅーと (@shutingrz)
Security researcher
Sep 29, 2022 5 min read

レンタルカメラで情報漏洩!?付属のSDカードに気をつけろ!

thumbnail for this post

しゅーとです。

先日沖縄旅行に行ったんですが、アクティビティを撮るためにアクションカメラが必要となりました。 ただ1回の旅行のために高い機材を買うのは気が引けたので、最近流行りのレンタルをしてみました。

レンタルしたのはGoProです。短期旅行のときに使うだけなら購入よりも安くて保証もあっていいですよね。

レンタルサービスはカメラの料金にプラスで様々な付属品をレンタルすることができるのですが、その中にmicroSDカードも入っていたりします。レンタル会社の中には無料でmicroSDカードがレンタル可能なことも。

A社のGoPro商品ページ。microSDカードが無料レンタル可能

データは本当に削除されてるの?

筆者がレンタルしたGoProには最初から本体にmicroSDカードが装着されていました。セキュリティエンジニアの習性みたいなもので、こういう場合はいつもデータの消し忘れが気になってしまいます。そこでデータ残存の調査を行ってみました。

GoProを起動する前に本体からmicroSDカードを抜き、PCで読み込みます。

読み込むとGoProでデータフォーマットしたときのフォルダ構造が現れました。ただしGoProで撮影したときに保存されるDCIMフォルダには何もデータはありませんでした。恐らく前利用者かレンタル会社が利用後に削除したのでしょう。

ですが、本当にデータは完全に消えているのでしょうか? Linuxを起動し、microSDカードのファイルシステムを含めた全てのデータ領域をコピーします。 そしてディスクフォレンジックツールを実行し、コピーしたディスクデータを読み込んでみます。

すると削除されたはずのデータがずらずら出てきました。GoProの内部ファイルのほか、mp4、swf、jpgファイル・・・。位置情報が含まれる画像ファイルも存在します。ここから言えるのは、GoProやPCでの単なるフォーマット消去は専用ツールによるデータ復元に対して無防備であるということです。

結果をいうと、動画らしきファイルは全てデータが断片化しており、今回は意味のある動画データに復元することはできませんでした。 しかしながらGoProには写真撮影モードがあり、写真モードで撮影したと思われるjpgファイルのいくつかは完全に復元でき、復元した写真から以前GoProをレンタルした人の姿や、旅行した場所を鮮明に知ることが可能でした。

撮影日、緯度、経度、標高が記録されているため撮影場所の特定は容易

対策

レンタル商品の中でもカメラは非常にプライバシー性の高い商品であるため、情報漏洩は必ず避けるべきです。

今回復元できてしまったのは誰の責任になるのかはここでは論じませんが、結局最後に泣きを見るのはレンタル利用者です。そのためレンタルを行うときは利用者自身がデータの慎重な取り扱いをしなければなりません。

ちなみに今回レンタルした会社は、本体返却時にSDカードのデータ削除を行って欲しい旨を同梱のマニュアルに記載しています。

「SDカードの撮影データの保存・消去も忘れずにお願いします。」

しかし"撮影データの消去"の意味は本当に利用者に届いているのでしょうか。単なるフォーマットは消去ではありません。

企業の情報システム担当者であれば、リースしたPCの返却時はストレージのゼロ書き込み・ランダム書き込みなどを念入りに行うでしょうし、最初からディスク暗号化を行うことでも万全にしています。しかしこういった個人向けレンタルサービスではセキュリティ意識が高くない利用者が大半であるため、レンタルサービスでの記録メディアの使いまわしは必ず情報漏洩を招くことになります。

利用者が行う対策

常に自分で用意したSDカードを使用しましょう。レンタルした機器にSDカードが装着されていた場合はすぐに抜いて返却時まで保管します。

どうしてもレンタルしたSDカードを使いたい場合は万が一のリスクを覚悟しつつ、カジュアルな復元を防ぐためにSDカードの全ブロックにゼロ書き込みなどの消去策を講じます。

カメラ本体に撮影データを保存するための内蔵フラッシュ領域が存在する場合は、カメラの設定で撮影データの保存先を外部SDカードに変更してください。ただそれでも内蔵フラッシュ領域に何らかの撮影データが保存される可能性はゼロではありません(長く残存する可能性は低いとは思いますが)。その場合の情報漏洩リスクが許容できない場合は、カメラのレンタルは行わずに新品を購入して使った方がいいです。

B社のSDカードレンタルページ。残データがある場合は業者が削除するようですが、レンタル品は最初から使わない方が安全です

レンタル会社が行う対策

漏洩事故が起きてレンタル会社に発生するデメリットはレピュテーションリスクです。怖いからレンタルをやめておこうと消費者から思われないように、レンタル会社も自衛をしたほうがいいかもしれません。

セキュリティ面で一番良いのは、SDカードを利用者にレンタルしないこと。レンタルする場合はSDカードの使いまわしを避け、有償でも無償でも常に新品を提供することです。 といってもそれは現実的ではないでしょうから、使いまわしは許容したうえで、貸し出す前にメディアの寿命を縮めることを覚悟で全ブロックのゼロ書き込みなどを行い、カジュアルな復元を防ぐようにします。

同時に利用者にレンタルSDカードの情報漏洩のリスクを十分伝えるようにするといいと思います。

おわりに

最後は少し真面目な内容になってしまいましたが、“シェアする"ことが一般的になった世の中、レンタルサービスを発端としたプライバシーの侵害はこの先必ず問題になるでしょう。レンタル会社、消費者ともにセキュリティを意識して行動できるといいですね。

//何かあれば Twitter:@shutingrz までお願いします。

« 温度センサーを起点にスマートロックを不正開錠してみた~ZigBeeデバイスに対する攻撃手法~ フォールトインジェクションとは?電圧グリッチでnRF52のプロテクションを破って学ぶ »