文書ファイルからの情報漏えい、取り扱いは正しいですか？：会社に潜む情報セキュリティの落とし穴（1/2 ページ）

「相手に見せない情報を隠したはずなのに漏れてしまった……」。文書作成が簡単になった一方で、操作のミスや知識を知らないことで情報が露見してしまうことがある。文書ファイルの正しい取り扱い方を見直そう。

[萩原栄幸，ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

　今回は、PDFやワードファイルなどの文書ファイルにおける注意点について解説しましょう。

事例1　日本最大の情報漏えい事件

　2004年にYahoo! BBで発生した情報漏えい事件は、漏えい数が450万人とも660万人ともいわれており、実際の漏えい数は2004年6月18日午後7時30分に公開された報道発表が最後の公開情報とみられますが、その発表でも明らかにはなっていません。最大数としては、当時の会員数670万人のうち、ソフトバンクを恐喝した犯人が自供している660万人という数字を事実として提示しました。

　この事件は後に、日本弁護士連合会（日弁連）のコンピュータ委員会シンポジウム2004にて詳細な説明が行われました。日弁連の講堂がほぼ満席となり、この事件に対する関心の高さがうかがわれました。コンピュータ委員会副委員長の高橋郁夫護士の支援をしていたわたしにとっても、情報セキュリティの重要性における啓蒙へつながった喜ばしい出来事だと記憶しています。

　Yahoo! BBの事件では、実は2件の脅迫未遂事件がほぼ同時に発生したことなどが公表されたましたが、このうち1つは内部の従業員からの脅迫事件であったこと、その脅迫文書がワード文書で作成されていたことなどが発表されました。ここで、ある関係者から「萩原さんのセミナーを犯人が聞いていたらこんなに簡単に捕まらなかったかもしれない」と言われたことがあります。それは、ワード文書にあるメタデータの存在でした。

　わたしはセミナーなどで、作成者が意識しないメタデータを簡単に閲覧、変更、消去する方法が公表されていないという問題を指摘したことがあります。メタデータとは、当時の最新版であったWord 2003のマイクロソフトサポートオンラインによると、以下のような情報で構成されています。

• 名前
• 頭文字
• 会社名と組織名
• コンピュータ名
• 文書を保存したネットワークサーバまたはハードディスクの名前
• そのほかのファイルのプロパティと概要情報
• 埋め込みOLEオブジェクトの非表示部分
• 文書の変更履歴
• 文書のバージョン
• テンプレートの情報
• 隠し文字
• コメント

　犯人は、このような情報がワードファイルの中に含まれていることを知らずに、社内で文章を作成し、それを脅迫状にしたようです。これは脅迫状に作成者のサインをしたものをそのまま送付しているようなものです。特に大企業ほどライセンス購入の際に会社名や組織名など固有の情報をその中に埋め込むのが半ば常識となっており、当然ながらYahoo! BBの運営会社であるソフトバンクBBもそうしていたと想定されます。これでは、直ぐに犯人が逮捕されたとしても納得できるでしょう。

　この内容が基になって、米国では訴訟事件も発生しています。例えば代理店に対する仕切り値をうっかり下書きや変更履歴を付けてA代理店向けに作成し、そのファイルを基にB代理店用の異なる仕切り値を記載したものをそのまま送付していました。B代理店は隠されているだけでファイル内には存在しているA代理店の仕切り値を知ることができるので、競合相手の対策が容易にできます。このようなケースは、さまざまな学会の場でも警告されていました。

　ただし、現在では特にOffice 2007以降にそのツール（メタデータの削除など）が充実し、メタデータを適切に管理したいというニーズに対応しています。