ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

できる!ドライブレコーダー 個人情報漏えい対策入門編

f:id:lac_devblog:20210914183807p:plain

オンライン会議でよく「画面映ってますか?」と聞かれることがありますが、だいたい問題なく映っています。でも確認せずに自信満々で進める人に限って映っていません。心の声を認識するだけではなく反抗する時代になったのでしょうか。

お久しぶりです、もんじろうです。

この時代「新しいアイデアを出せ」と雲をつかむような事を言われる時がありますが、当たり前な事を何度か繰り返していると結構斬新なアイデアになったりします。
管理する側になって早〇年。技術的には全く濃い内容ではありませんが、最近身近で起こった出来事に、当たり前な「でしょうね」とつぶやきたくなる事を重ねていった話を書こうと思います。
※ 以降は調査を推奨しているわけではありません。あくまでもコーヒーブレイク的なフィクション話として眺めてください

先日、車を買い替えました
本当は新車が欲しかったのですがお金がないので程度の良い中古車での購入です。
車内には前オーナーが取り付けたドライブレコーダーがおまけでついてきました。今時なデザインで気に入っていたのですが、残念ながら1ヶ月も経たずに電源が入らなくなりました。おまけなので保証外ですが、いつから壊れはじめたのかが気になります。
確認するためにデータが記録されたSDカードを見てみると思ったより綺麗に録画されていて、万が一何かあった際には相手のナンバーどころか顔の表情まではっきりと映りそうなので少々残念でした。ただ録画時間はいずれも数秒程度でしたので、どうやら買った時から故障していたようです。

IT業界あるある?
なのでしょうか。気になり始めると更に追求したくなります。目的はあくまでも「いつから壊れたのか?」を探るためです。ちまたのフリーツールを使ってSDカードのデータを復元してみましたところ、ものの数分で大量にデータが復元されていきます。まぁ単にフォーマットしただけと予想していたので「でしょうね」と言う結果です。

f:id:lac_devblog:20210914190326p:plain

時系列を追いかけたところ半年前からおかしくなったのが確認できました。壊れていたから、そのまま車と一緒に手放されたのかもしれません。

 


・・・と、さらっとここまで書いていますが、もちろん気が付いてますよね?

 

復元したのは前オーナーのデータです
ドライブレコーダーは走行した映像だけでなはく、記録された日時、場所、車内の音声なども記録されています。このデータからは訪れた店からオーナーの趣味嗜好が。休日の曜日や行動範囲、また音声から悩み事も分かりました。前オーナーの顔はもちろん、位置情報を元にGoogleマップストリートビューを使って自宅も、購入した車の数年前の姿も確認できています。

f:id:lac_devblog:20210917154420p:plain

復元した映像 (モザイク マシマシで処理してます)

Googleマップストリートビューは過去の街並みも確認できます。よく「ここつぶれる前って何があったっけ?」と言う悩みも簡単に解決できます。良い時代ですね。
Google マップでストリートビューを使用する - パソコン - マップ ヘルプ

いろいろな機種を試してみる
復元できたのは今回たまたまなのかもしれません。検証するために近くの店でジャンク品をいくつか購入してきました。

f:id:lac_devblog:20210914191835p:plain

買ってきたドライブレコーダーたち

車好きなら知っている有名メーカー。納車時のオプション装備と思われるディーラーの物。聞いたことも無いあやしいメーカーなど多種様々です。もちろんデータは綺麗に消されていました。
結論から書きますと、欠損した動画ファイルを修復するツールを使うこともありましたが、全ての機種で消された記録映像を見ることができました。
まぁ「でしょうね」。

身近に起こる危険性
単にこれだけなら気持ち悪いことで済みますが、視点を変えると非常に危険なデータを他人に渡した事になります。
録画された映像からそれとなく人物像は判明できます。仮に車で移動した先でSNS等の発信をしていたら、日時と位置情報(geocode)検索によって、ある程度の人物やアカウントの特定も可能でしょう。
また車上荒らしや空き巣対策のために、人が車の近くを通ると録画が始まる監視カメラのような駐車監視機能を搭載した機器が増えてきてます。車を停めているのが自宅前なら「その家は何人家族なのか」「何時に出かけて何時に帰ってくるのか」と言った情報も記録されることになります。空き巣犯は入念に下見をしてから犯行におよぶこともあるそうですが、誤った対応をするとこれらの情報を簡単に渡してしまう事になってしまいます。

www.alsok.co.jp

また同様に駐車位置によっては自宅の扉が映りこむこともあります。ボタン式の鍵なら押した番号が。物理鍵なら溝が映りこむ事で合鍵を作製される危険性もあるので注意が必要です。
www.npa.go.jp

ちなみに直近で知り合いが車を手放すとの話を聞いたので上記の話をしたところ、苦虫を噛み潰したようなこんな顔をされて気持ち悪がられました。
・・・「でしょうね」

f:id:lac_devblog:20210914193107p:plain

なぜこのようなことが起きるのでしょう
恐らく機能を実装した側は「データを消す機能」の仕様どおりに作成したと思われます。残念ながらここにはセキュリティの思いはありませんので仕方ありません。ただ実装の前、できれば仕様設計の段階でほんの少し考えたり、相談をしてくれれば結果は違っていたのかなとは思います。
まぁ「でしょうね」との声が聞こえてきそうですが、理想論を並べて頭では分かっていても実際の現場ではなかなか事前に対応することが難しいのが現実です。ですが、どうせ後々考えるなら、何かを作ったりサービスを考える前に「セキュリティって何だっけ?」「守りたいデータって何だっけ?」と一旦立ち止まるのもいいかもしれません。

最後に
不安をあおるような事を書いてますがドライブレコーダーの実用性は十二分に理解していますし安心して使っています。またここで話題にした駐車監視機能については、個人的にもかなり重宝しています。費用も手間もそれほどかけずに設置できますし、何よりしっかりと防犯の役割も果たしてくれています。下の記事によると防犯カメラを設置することにより空き巣などの犯行を思いとどまらせる影響力もあるそうなので、わざと見えるように設置することは非常におススメです。

出展: 日本都市計画学会 「犯罪者の視点から見た防犯環境設計の有効性の検討」
https://www.cpij.or.jp/com/ac/reports/8-2_76.pdf

出展: 警視庁 「住宅における犯罪の防止に関する指針」
https://www.keishicho.metro.tokyo.jp/about_mpd/keiyaku_horei_kohyo/horei_jorei/anzen.files/3.pdf


今回確認した記録メディアは全て物理破壊を行い、知りうる限りの方法で適切に廃棄しました。
彼らは「画面映ってますか?」とは言ってきませんが日々黙々とサラリーマンのように仕事をこなしています。そんな彼らとお別れするときは、お互いのためにそっと記録メディアは取り外しておいたほうが良いかもしれません。

ちなみにこの記事を書くために、あらためて自分用に取り付けたドライブレコーダーを確認したところラーメン屋ばかり映っていました。本格的にダイエットが必要そうです。
では、また。マッチョな姿になったらお会いしましょう。

f:id:lac_devblog:20210914205149p:plain

参照
【ALSOK 綜合警備保障】ホームセキュリティ・防犯対策のアルソック/サイトポリシー
利用規約|警察庁Webサイト
著作権規程|各種規程|学会案内|公益社団法人 日本都市計画学会
権利、リンクについて 警視庁