だれかさんねっとです

不動ジャンクのMacintosh IIciを無事起動させるなど、ジャンク運がいつも以上に良くてイキイキしております。

日曜日だったかな
SCSIのCDドライブ転がってねえかな～と近所のリサイクルショップのジャンクコーナーをうろついていると、そんなに古くなさそうなマザーボードを発見。

DELLのデスクトップパソコンから取り外したもので、Skylake世代のもののようだ。しかもこいつはM.2スロットにSSDが付いている。

外し忘れかな？

嫌な予感はするものの、値段が手頃なので買ってみた。

マザーボードの方は手元に検証用のパーツが無いので放置。とりあえずSSDをはずしてみてみることに。

SSDを確認してみる

とりあえずネットや自前のストレージにつながっていないサブ機に挿して電源を入れる…

普通にWindows10が起動した。
前の持ち主のものと思われるユーザーアカウントもある。

そう、案の定SSDのデータが消去されずに売られていたのだ。
店の人は気づかなかったのだろうか。まあSSDとかHDDって箱型のパーツでケースに固定されてるのが一般的だったもんな。とはいえこのような形でマザーボードに載せるM.2タイプのSSDが流通するようになってから6年は経つわけだが。

このまま消去して他のことに使うでもよかったのだが、前の持ち主がどのようにパソコンを使っていたのか少し気になるので調べてみることにした。

こじ開ける

1つあるユーザーアカウントにはパスワードがかかっている。
とりあえず、姑息な手を使って管理者アカウント(Administrator)を有効化し、ログオンすることにした。

(ログオン画面で最上位の権限で実行されるアクセシビリティ系の機能をコマンドプロンプトに置き換えることでなんでもできちゃう攻撃手法がある)

もとあったユーザーアカウントはMicrosoftアカウントでログオンしているため、管理者アカウントからパスワードを初期化することができないらしい。
とはいえ、ログオンできなくても管理者アカウントからファイルを覗くことは可能だ。

どんな人が使ってたのかなあ？

まずインストールされているアプリを見てみた

- Steam
- Origin
- Uplay
- 有名なAAAゲームタイトルの数本
- GomPlayer
- RealPlayer
- タスクバーに天気表示するアドウェア

ソフトのラインナップを見るに相当ヘビーなPCゲーマーだろう。
ゲーム本体はこちらのSSDではなくHDDに保存されていたようだ。
ちょっぴり変なアプリが入ってるあたり、パソコンにはそこまで強くないといった感じか。

ヤバいファイルを発見

次にドキュメントフォルダを開いてみた。テキストファイルが十数個ほど。ファイル名はそれぞれ「有名なオンラインサービスの名前」となっている。

開かなくたってわかる。そう、これはIDとパスワードを忘れないように記したファイルだ。

せっかくなんで中身も見よう。ざっと見ただけで、

- オンラインサービスのIDとパスワード
- 生年月日
- メールアドレス
- 獣姦モノのポルノサイトのURL（なんで？？？）
- パスワードの傾向（基本的に名前+生年月日、それぞれのサービスの条件に合わせて少しずつ変えているものと思われる）

がわかった。

うーん、だいぶヤバいな。見なかったことにしてさっさと初期化するか…
でももちっと気になるな

パスワードの手がかりが見つかったので

そうだ、この中のパスワードでログオンできるか試してみよう
こちらでもパスワードを使いまわしているに違いない

C:\WINDOWS\system32> runas /user:foo whoami
foo のパスワードを入力してください:
whoami をユーザー "bar\foo" として開始しています...
RUNAS エラー:  実行できません - whoami
1326: ユーザー名またはパスワードが正しくありません。

んーどれもだめか… そうだ！生年月日だけ入れてみよう。

C:\WINDOWS\system32> runas /user:foo whoami
foo のパスワードを入力してください:
whoami をユーザー "bar\foo" として開始しています...

あれっ、エラーなし？ということは…
ユーザー切り替えでログオンしてみる

うわっ、ログオンできた… ん、メール？

IEの履歴、Edgeの履歴、Chromeの履歴、どれもまっさらだな…
そういやメールクライアントがインストールされてたな…見てみるか…
うわっ、メール残ってる！！！

某老舗ISPのメールアドレスだ。or.jpドメインなんすね。
SMTP+POP3という昔ながらの方法でメールを送受信していたようだ。つい2年前のことだ。
間違ってネットに繋ぎでもしたら現在進行系でやりとりしてるメールを受信しちゃってたかもしれん
こわっ

受信トレイをざっと見ただけで

- 住所
- 氏名
- 電話番号
- 勤務先
- 通販で購入したもの
- Steamアカウント

がわかった

もう完全にどこの誰か把握できちゃうじゃん…
忘れよう…

そういえばiTunesが入ってるな？音楽は入ってないようだけど…

iPhoneのバックアップを漁る

iTunesでiPhoneをバックアップしていたようだ。iPhoneのバックアップはサードパーティー製のアプリで内容を見ることができる（ググればすぐ見つかる）。

バックアップデータは暗号化されていたが、さきほどと同じ方法でパスワードを突き止めて開くことができてしまった。

このアプリでは、

- 家族の写真
- アドレス帳
- LINEのやりとり
- 通話履歴

を見ることができた。

LINEのやりとりまで見れるんですね…おそろしい…
有料版を使えば他にもいろんな情報が見れたのだろう

と、大体全部見てお腹いっぱいなので、SSDはセキュアイレースでキレイさっぱり消去して寝た。

セキュアイレースとは、SSDに備わっているフラッシュメモリの論理番地と物理番地の対応表を破棄することでデータを復元できなくする命令。
HDDと違ってフルフォーマットするじゃダメなんだとか。

Aさん(仮称)

特にメモとかスクショとかコピーとかしてないけれど、記憶では元の持ち主のAさん(仮称)はこんな感じの人だった。

- 小学校の先生
- 教科書の出版社と直接コンタクトを取るなどかなり熱心な先生
- Steamアカウントに140個のゲームを所有
- スバルWRXやトヨタ86などのスポーツカーが好き
- 新しいテキスト ドキュメント.txtに獣姦モノのポルノサイトのURLが書いてある

さいごに

- パソコンを処分するときは確実にデータを消去してくれそうな業者に頼もう
- パスワードの使いまわしや、名前や生年月日を用いた推測しやすいパスワードは避けよう
- 多要素認証が使える場合は使おう
- 見つけても誰かにチクったりせずそっと消去しよう

皆さん良いジャンク漁りライフを。