PDFにおけるセキュリティインシデントリスクと解決策：SCS評価制度が迫る中小企業の脆弱性対策

サイバー攻撃の「踏み台」にされるリスクは、もはやひとごとではない。経産省のSCS評価制度の運用開始が目前に迫る中、PDFを巡るセキュリティリスクとサプライチェーンを守る武器とは何か。

PR／ITmedia

　ランサムウェアをはじめとする攻撃が猛威を振るっており、日本企業でも長期の業務停止に追い込まれる被害が生じている。現在の企業活動は高度かつ大規模に複数の企業でデジタルデータが受送信されているため、サプライチェーンのどこかに脆弱（ぜいじゃく）な箇所があるとそこから侵入されて被害を受けるというパターンが繰り返されている。この場合、攻撃を受けた被害者だけでなく、取引先企業にも甚大な被害を与えるリスクがある。

　攻撃を阻止するためには、サプライチェーンに脆弱な箇所があってはならない。そのため、経済産業省は2026年度末頃の制度開始を目指して「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）に関する制度構築方針」を発表した。中小企業も自社の被害を防ぐだけではなく取引先に被害を及ぼさないための対策を講じる必要がある。

PDFで気を付けるべきセキュリティリスク

　経済産業省が進めるサプライチェーンセキュリティ評価制度では、運用体制の整備に加えて、外部型攻撃の入り口であるネットワーク機器や監視サービス、デバイスのマルウェア対策、ID管理が主な対策となっている。ここでサプライチェーンにおけるデジタルデータの受け渡しを考えると、業種・業界に特化したEDIシステムを導入したり、PDFやCSVといったファイルをメールでやりとりしたりするといったことが考えられる。ネットワーク監視やマルウェア対策、ID管理の強化に対しては、EDIなどはセキュリティ対策として非常に有効な手段だが、メール添付した電子データの受け渡しの場合は考慮するポイントが異なる。

サプライチェーンにおけるシステム連携（提供：アドビ）《クリックで拡大》

　紙ベースで伝票やFAXをやりとりしていた時代のスタイルとあまり変えずに扱えることから、PDFはそうした環境との親和性が高い。しかし、PDFはプリントアウトとは異なる利便性を備えたデジタルデータなので、その特性を理解していないと思わぬところからセキュリティリスクが生じる可能性がある。

アドビの岩松健史氏（デジタルメディア事業統括本部　営業戦略本部　ビジネス兼教育市場戦略部）

　アドビの岩松健史氏は、PDFをプリントアウトと同様に扱ってしまったことで、本来提供するべきでない情報や不正な処理が含まれたデータを外部へ発信してしまい、セキュリティインシデントへ発展してしまう事例を挙げる。マルウェアを含めた不正な処理の拡散としては、PDFへの添付ファイルやリンク、JavaScriptなど、単純な文書の表示に現れない情報が含まれているPDFを外部へ送信することでインシデントへと発展してしまうケースが存在する。情報漏えいのインシデントとしては、文書を公開する際に個人情報を黒塗りにして伏せるなどの処理を施す行政機関の例が挙げられる。「PDFの場合、黒く塗りつぶされているように見えてもデータはそのまま残っていることがあります」

　一般的な文書スタイルでは白の背景の上に黒文字で記述する。伏せておきたい文字列の背景色を黒に変更すれば黒地の上に黒文字になるため、画面では判読できなくなる。とはいえ、データは残っている。コピー＆ペーストすればデータを取り出せるため、情報漏えいが起こるリスクがある。岩松氏は、「PDF関連のセキュリティインシデントとして多いのがこうした黒塗りの失敗や、表面上は見えていないメタデータに起因する機密情報の漏えいです」と指摘する。PDFファイルが改ざんされてBEC（ビジネスメール詐欺）に悪用された例もあるという。

Adobe Acrobatでできるセキュリティ対策

　岩松氏によると、日本企業のサプライヤー間連携では、メールと添付ファイルによる「半自動」が半分近くを占める。アドビの推定では全世界で毎日約200億通のメールにPDFファイルが添付されている。「このPDFを安全に扱えるかどうかは、サプライチェーンのセキュリティ確保以前に、通常のビジネス活動として重要なポイントです」と同氏は説明する。

　PDFの作成や編集、管理ができるツール「Adobe Acrobat Studio」（Acrobat Studio）は、従来の「Adobe Acrobat Pro」の機能に加えて生成AI機能（AIアシスタント）やドキュメント分析、制作機能を統合している。過去の文書を組織の知識や経験として再活用することで、サプライチェーンのセキュリティ確保だけでなく、業務の効率化にもつながる。

Acrobat Proで講じられる保護策（提供：アドビ）《クリックで拡大》

　不正な処理が含まれているPDFを開いたときの対策としては、Acrobat Proでは保護モードによって、環境が守られる。外部に受け渡すデータのセキュリティ確保のためには、PDFの無害化（非表示情報の削除）、情報漏えいの予防（暗号化、墨消し）、なりすまし／改ざん防止（タイムスタンプの利用、暗号化）、作成元の明確化（電子署名）といった機能を盛り込んでいる。長期保存用のアーカイブ規格「PDF/A」への変換もできる。PDF/Aでは実行可能ファイルやJavaScript埋め込みが禁止されているため、変換すると不正なコードの無効化や破棄が行われる。

　「ガイド付きアクション」機能を使うと、一連の操作手順をアクションとして記録して、他の文書にも同じ処理を適用できる。筑波大学は、これを活用してセキュリティポリシーに沿ったセキュリティ設定を文書に確実に適用できるようにした。

　PDFに限らず、広く普及したファイルフォーマットはサイバー犯罪者もよく研究しているため、マルウェア埋め込みのリスクが付きまとう。Acrobat Proは上記で説明した保護モードにおいて、Windowsの保護機能を利用してサンドボックス内でPDFファイルを開く機能も実装している。マルウェアが仕込まれていても、OSへの感染を防げる。「ISMAP」（政府情報システムのためのセキュリティ評価制度）のセキュリティ基準を満たすツールとして認証されている。

サプライチェーンリスクに備える中小企業の対策

　小規模の会社で国際的な知名度がないからといって、ランサムウェア攻撃の対象にならないとは限らない。「自社には守るべき特別なデータはない」と思っても自社のシステムを踏み台にして取引先企業に侵入されることもある。そのため、全ての企業が一定レベルのセキュリティを確保できるように努力する必要がある。中でも、PDFはIT専任人材が不足しがちな中小企業であっても導入・活用しやすいものなので、ここが弱点にならないように対策を講じることが重要だ。

　SCS評価制度の運用開始まではまだ時間があり、どの程度のインパクトがあるのかも明確ではない部分がある。しかし将来は、SCS評価制度の基準を満たしていない企業はサプライチェーンに参加できなくなる可能性もあるため、先送りにせず準備を整えなければならない。

　Acrobat StudioのAI機能は、PDF文書の扱いに特化した専門性の高いアプリケーションとして開発されているため、きめ細かな処理ができる。AIの回答のベースとなる知識をPDFで与えるとその範囲内で回答する他、根拠を聞けば「このPDFファイルのこの部分が根拠となっている」と明示する。ハルシネーションが発生しにくいチューニングも施されている。

　中小企業もAIを活用した生産性向上に取り組む必要がある。サプライチェーンの中で受け渡しが行われるデジタルデータのセキュリティ対策については、マルウェア感染や暗号化がSCS評価制度の項目となっており、情報漏えい対策などは経産省の評価項目（案）ではほとんど取り上げられていない。「日々の業務で頻繁に行われる外部組織とのPDFの受送信におけるセキュリティ対策は、SCS評価制度の対策だけでなく、通常のセキュリティ強化のための運用として非常に重要です」（岩松氏）。その観点からも、業務でPDFを活用している企業はAcrobat Studioの導入を検討する価値があるという。