DP部流機器を処分する際のあれこれ - ラック・セキュリティごった煮ブログ

※こちらの記事は2021年3月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です

デジタルペンテスト部のν（ニュー）です。
（某ごった煮ブログで見かけることができる人と同一人物です）

さて、今回はDP部こと、デジタルペンテスト部で自分が機器を処分する際にどのように行っているかをお伝えしようかと思います。
今回対象とする機器はサーバやネットワーク機器のような、一般的な業務で使われているものです。

最初に、自分が機器を処分する際には以下の2つを心がけています。

・処分先の事業者を信用しない
・横流し（再販）されても利益が出ないような状態にする

オークションサイト等を見てればわかりますが、企業からの処分品を集めた上で、その中から売ったら利益が出そうな商品を売るような事業者が居ます（自分は「ヤード系事業者」と呼んでいます）
機器の処分後にヤード系事業者に渡ったら最後、売れそうなものはオークションサイト等で売られてしまいます。

処分先は普通の事業者だったとしても、処分したものが点々としたのちにヤード系事業者に渡ってしまうケースがあります。
意図しない流通の先には、情報漏えいのリスクもあります。
そのため、上に挙げた2つの点を念頭に置いて処分前の前処理を行います。

要するに「ジャンク品としても売れないような状態にしてから処分することで、単なるスクラップとして処理される可能性を高める」という目的があります。

ここからは、処分前の前処理について解説します。
作業の際は、液晶のガラスの飛散やICを破壊する際の粉塵の放出などへの対策を行い、安全に行うようにしてください。

1. シールをはがす

会社名や所属が特定できそうなシールをすべて剥がします。
可能であれば、シリアル番号のシールも剥がすとよいでしょう
（業務用の機器ではシリアル番号が悪用されるケースがあります）

2. HDDやSSDを外す

HDDやSSDを外して、適切な方法で処分します。
適切な処分の方法については、NIST SP800-88「媒体のサニタイズに関するガイドライン」が参考になるでしょう。

3. 付いているフラッシュROMを破壊する

機器に付いているフラッシュROMのICを調べ、以下の方法のうちのどちらかで処分します。

・ICを取り外した後、物理的に破壊する
・ドリルで直接ICに穴を開ける

取り外す方法はICの足が表に出ているようなものに適しています。
全部ホットエアーで外すと面倒なので、マイナスドライバーやタガネで横から叩いて外してもよいでしょう。
またこの方法を使うと、大抵の場合基板が損傷するので修理が困難になって一石二鳥です。
ドリルを使う方法は、BGAのようなICの足が表に出ていないものに適しています。
下に、意外と忘れがちなフラッシュROMの例を挙げておきます。