androidのスマホを下取りしてもらうのは要注意。初期化しても個人情報が漏れる危険性が高いようです。
パソコンやスマホなどを中古ショップに売る場合は、初期化して販売するのが鉄則ですし、販売する側も初期化などの各種手続きを踏んだものを販売しています。
しかし、そのような初期化手続きをすり抜けて個人情報を復元する方法が見つかってしまったようです。この方法を使えば、かなりの確率で復元されていまうようですのでこれからは、日常に使ったスマホを下取りで販売しようなどと考えないほうがよいのかもしれませんね。
ケンブリッジ大学のルーセント・サイモン博士とロス・アンダーソン博士は、Androidスマートフォンが初期化してもデータを復元できる可能性があることを論文で発表しました。2人の研究者は、Android 2.3からAndroid 4.3までを搭載した5メーカーから発売された21のスマートフォンについて、「ファクトリーリセットをした後、どれだけデータを復元できるか」を調査したところ、すべての端末から、復元前に保存していた連絡先・Facebook・画像・ムービー・SMS・Eメールなどを、断片的ではあるもののデータとして取り出すことに成功したと発表しています。
さらに80%の端末については、GmailやGoogleカレンダーの情報にアクセスするための資格証明であるマスタートークンについても復元できたと表明しています。つまり、ほとんどのAndroidスマートフォンではファクトリーリセットを実行した後でも個人情報を復元することができたというわけです。
さらに深刻なことは、Androidスマートフォンのデータ暗号化機能である「端末の暗号化」を使ってすべてのデータが暗号化されていたとしても、データが復元できてしまうという点。研究者らは、データが暗号化されていたとしても復号鍵を格納するファイル自体はファクトリーリセットによって消去されないため、暗号化された情報も時間をかけてアタックすればパスワードを突破することは可能であると指摘。なお、このパスワードクラックを防ぐためには、数字やアルファベットの大文字・小文字をランダムに組み合わせた11文字以上のパスワードを用いるという方法が比較的、有効そうですが、キー入力が不便なスマートフォンでは現実的ではなさそうです。
研究者らによるとデータの復元を予防する有効な方法は、ファクトリーリセットを実行した後で、ストレージ上のすべての未割り当て領域を上書きする目的でランダムバイトのデータを書き込むことだとのこと。ただし、このようなデータ上書きアプリを使う場合でさえも、Googleのマスタートークンをも上書き消去するためには、アプリをGoogle Playを介さずに手動でインストールする必要があるため、簡単な作業ではないそうです。
研究者らは「データ流出被害を防ぐ方法は、使い古したスマートフォンを売るのではなく手元に残しておくか、もしくは物理的に破壊することだ」と述べています。なお、今回の論文で実験されたAndroidスマートフォンはAndroid 4.4 KitKatより前のOSであるため、Android 4.4以降のスマートフォンについても同様のデータ流出リスクがあるかどうかは不明な点には注意が必要です。
最終的には、ハードウェア的な破壊がもっとも確実ということで、オフィスで使われてきたPCのデータ抹消の確実な方法と同様の結果になっているのが興味深いですね。