文書ファイルからの情報漏えい、取り扱いは正しいですか？：会社に潜む情報セキュリティの落とし穴（2/2 ページ）

[萩原栄幸，ITmedia]

「知らない」じゃ済まされない

事例2

　2006年8月に千葉市教育委員会のサイト内に掲載された議事録（PDFファイル）の中で、公開に不適切な文章が約20カ所にわたり黒く塗りつぶされていましたが、この黒い塗りつぶしはPDFの機能を利用していたために、容易にその内容を閲覧できてしまいました。

事例3

　2007年2月に最高裁判所のサイトで公開された東京地方裁判所の判例文において、黒く塗りつぶされていた部分が簡単に読み取れる事態が発生しました。

　事例2や事例3は、PDFなどのソフトで「黒く塗りつぶした結果」をそのまま掲載したということです。これはわたしたち人間の目からはいかにも黒く塗りつぶされたものでも、デジタルデータではそのように表示されているという事象にすぎません。塗りつぶされていない元の状態へ容易に戻すことができるという、極めて初歩的な事実を担当者が認識していなかったということです。

　このような事件は、数年前にも――もっと言えば毎年のように――米国などで発生しており、NSA（米国家安全保障局）が「黒く塗りつぶすのは危険である」として電子文書の安全な公開方法を指南しています。ホワイトハウスや国防総省、国際連合などでも同様な事件が発生しているので、デジタルに馴れていない人間の脆弱な側面が垣間見える事件でもあると言えます。

　しかし、このような事件があまりにも多く発生したためか、Acrobatのバージョン8からは今までの機能に加え「墨消し機能」が加わっています。これは黒く塗りつぶすという今までの機能に追加して、該当部分のテキストやメタデータもすべて消去します。ただし、元に戻すこともできませんので、利用する際には注意すべきでしょう。

　文書ファイルの取り扱いについて、具体的にはどのような注意をすべきでしょうか。簡単にまとめると以下のようになります。

「無知は罪悪」

　当然ながら、機能を知らないとその対応すらできません。ITの世界は日々進歩しており、昨年まで常識だったものが今年はそうではないという事例が山のようあります。ぜひアンテナを高くして、最新情報を入手することに努めてください。

デジタル世界は人間の世界とは違うという認識を持つ

　先ほどの事例でも紹介しましたが、「黒く塗りつぶす」という事実に対してわたしたちの住んでいる世界とデジタルの世界では「違う」という認識が必要です。文書作成では、「黒く潰せばもう見られないだろう」と思いますが、デジタルの世界では「文書を黒く潰したけど元の文書に戻したい」ということがよくあります。ですので、通常の文書ソフトではすぐに戻せるように以前の文書がどこかに保存されているわけです。

　情報が漏れた場合、Webサイトに塗りつぶした文書を掲載した担当者の言い訳は、「簡単に戻せるとは知らなかった」というものが圧倒的多数を占めるそうです。しかし、担当者は普段から文書を編集している時に何の疑問もなく黒く潰した部分が誤っていると、元に戻して正規の場所に変更するといった操作をしているのです。ちょっと考えるとすぐに分かるはずです。常にこのような思考を持って作業にあたるべきだと思います。

実効性のある対策　その1

　ソフトに墨塗りなどの便利な機能がない場合は、どうすべきでしょうか。一番簡単なことは、その部分の文字列を黒い「■」に置き換えることです。これをサイトに公開しても戻すことができません。

　変更履歴などが残存している可能性がある場合には、そのソフトを使用できない「別の環境」で利用することをお勧めします。例えば、ワード文書をそのままテキスト文書としてコピーし、そのテキストファイルを公開します。そうすることで、Wordの機能を利用することが論理的にできなくなります。もしくは画像ファイルにして公開するという方法もあります。公開文書そのものをスキャナなどで画像ファイルにすれば、黒塗りを戻すことは絶対にできません。このような対応策を講じるのが一番容易です。

実効性のある対策　その2

　先ほど挙げたソフトにわたしたちが欲するメタデータ消去機能などが備わっていれば、それを使うに越したことはありません。しかし、さまざまな制約からどうしてもWord 2003で対応しならなければならないといった場合などにはどうすべきでしょうか。一番確実なのは、それぞれのソフトメーカーが公開している対応策を活用すべきです。例えばWord 2003の場合、マイクロソフトから次のような情報が提供されています。

• Word 2003でメタデータを最小限に抑える方法
• [WD2003] Word文書に保存されている個人情報と個人情報の削除方法について
• [WD2003] Word文書に保存されている隠し情報と隠し情報の削除方法について

　いずれもマイクロソフトサポートオンラインからの情報なので信頼できると思います。このような対策をきちんと行い、試行によって検証してから実施するといいでしょう。

　今後もさまざまな新しいソフトやOSが登場します。その度に「知らなかった」「そういうような結果になるとは……」という言い訳をするよりも、「賢い利用者」として普段から情報入手と新しいものへ対応できる「デジタルな思考」が重要となると思います。もちろんアナログな思考も疎かにしてはいけないのですが、バランスのいい思考を持ちながら、今後の事象に備えるべきではないでしょうか。

過去のセキュリティニュース一覧はこちら

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから