ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

DP部流 機器を処分する際のあれこれ


※こちらの記事は2021年3月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です

デジタルペンテスト部のν(ニュー)です。
(某ごった煮ブログで見かけることができる人と同一人物です)

さて、今回はDP部こと、デジタルペンテスト部で自分が機器を処分する際にどのように行っているかをお伝えしようかと思います。
今回対象とする機器はサーバやネットワーク機器のような、一般的な業務で使われているものです。

最初に、自分が機器を処分する際には以下の2つを心がけています。

・処分先の事業者を信用しない
横流し(再販)されても利益が出ないような状態にする

オークションサイト等を見てればわかりますが、企業からの処分品を集めた上で、その中から売ったら利益が出そうな商品を売るような事業者が居ます(自分は「ヤード系事業者」と呼んでいます)
機器の処分後にヤード系事業者に渡ったら最後、売れそうなものはオークションサイト等で売られてしまいます。

処分先は普通の事業者だったとしても、処分したものが点々としたのちにヤード系事業者に渡ってしまうケースがあります。
意図しない流通の先には、情報漏えいのリスクもあります。
そのため、上に挙げた2つの点を念頭に置いて処分前の前処理を行います。

要するに「ジャンク品としても売れないような状態にしてから処分することで、単なるスクラップとして処理される可能性を高める」という目的があります。

ここからは、処分前の前処理について解説します。
作業の際は、液晶のガラスの飛散やICを破壊する際の粉塵の放出などへの対策を行い、安全に行うようにしてください。

1. シールをはがす

会社名や所属が特定できそうなシールをすべて剥がします。
可能であれば、シリアル番号のシールも剥がすとよいでしょう
(業務用の機器ではシリアル番号が悪用されるケースがあります)

2. HDDやSSDを外す

HDDやSSDを外して、適切な方法で処分します。
適切な処分の方法については、NIST SP800-88「媒体のサニタイズに関するガイドライン」が参考になるでしょう。

3. 付いているフラッシュROMを破壊する

機器に付いているフラッシュROMのICを調べ、以下の方法のうちのどちらかで処分します。

・ICを取り外した後、物理的に破壊する
・ドリルで直接ICに穴を開ける

取り外す方法はICの足が表に出ているようなものに適しています。
全部ホットエアーで外すと面倒なので、マイナスドライバーやタガネで横から叩いて外してもよいでしょう。
またこの方法を使うと、大抵の場合基板が損傷するので修理が困難になって一石二鳥です。
ドリルを使う方法は、BGAのようなICの足が表に出ていないものに適しています。
下に、意外と忘れがちなフラッシュROMの例を挙げておきます。

オンボード実装のSSD
・サーバのBMCイメージが入ったROM
EthernetコントローラのEEPROM
RAIDカードのフラッシュバックアップ用ROM

4. (ある場合)CPUソケットを破壊する

CPUソケットがある場合、破壊することで効果的に価値を下げ、再販のモチベーションを下げさせることができます。
CPUソケット側に電極が出ているようなタイプ(最近のIntel CPUが該当します)の場合、電動ドライバーやマイナスドライバーで引っかくことで簡単に破壊できます。

5. (ある場合)液晶を破壊する

液晶がある機器の場合、液晶を破壊するのが効果的に価値を下げるための方法の一つです。
作業は簡単で、液晶表面を先のとがったもので3回くらい突けば完了です。

6. (必要であれば)追加の破壊を行う

現行世代品など、万が一再販された場合に高値が付くことが予想される場合は以下のようなことを行います。

・筐体をハンマーで叩いてへこませる
・内部の基板を変形させる
・内部のケーブルを切断する(直すのが大変なフレキが効果的)
マイコンなどの主要ICを破壊する

ここまでやれば、処分先の事業者に渡してもいいんじゃないかと思います。お疲れさまでした。

あとがき

大量の機器の入れ替えで上記の作業を15台くらいのラックマウントサーバに対してやったのですが、かなり大変なので腰をやらないようにご注意願います・・・