ベネッセコーポレーションによる個人情報漏洩事件では、容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされる。貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、なぜ容疑者はスマートフォンにデータを書き込めたのか。

 複数のセキュリティ技術者が「有力な可能性」として指摘するのが、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である。

 一般的なUSBメモリーは、Windowsのデバイスクラスでは「USBマスストレージ」として認識され、ドライブ名が割り当てられる。一方でスマートフォンでは、USBマスストレージのほか、ドライブ名が割り当てられないWPD(Windows Portable Devices)クラスとして認識されることがある。

 USBマスストレージではPCがファイル制御を担うのに対し、WPDではファイル転送方式としてPTP(Picture Transfer Protocol)やMTPを使い、デバイス側がファイルを制御する。これにより、例えばファイル書き込み中にデバイスを引き抜く、PCとデバイスでファイルを同時に書き換えるなどしても、ファイルが破損しにくくなる。PTPは画像ファイルの転送に対応し、PTPの拡張規格であるMTPはそれ以外のファイルの転送にも対応する。

 このMTPの存在は、情報漏洩対策の盲点になり得る。デバイス制御ソフトやActive Directoryのグループポリシーの設定でUSBマスストレージの使用を制限しても、MTPあるいはWPDデバイスの使用制限を忘れると、スマートフォン経由で簡単にPCからデータを持ち出せてしまう。例えばAndroid端末の場合、機能としては2011年9月に公開されたバージョン3.1、本格的には2011年10月公開のバージョン4.0から、MTPによるファイル転送に対応している。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら