今や文書の標準フォーマットとなっているPDF。世界中の政府機関も、公的な文書はPDFファイルにして公開することが多い。だがその中には、機微な情報が含まれたまま公開されている文書もあるという。
フランスのグルノーブル・アルプ大学およびフランス国立情報学自動制御研究所(INRIA)に所属する研究者らは2021年3月、世界中のセキュリティー機関(治安機関)が公開しているPDFファイルを詳細に分析した論文「Exploitation and Sanitization of Hidden Data in PDF Files」を発表した。
47カ国・地域のセキュリティー機関が公開している約4万件のPDFファイルを分析した結果、多数の機関の「弱点」が明らかになったという。セキュリティー機関の情報システムに関する重要な情報がPDFファイルによって漏洩しているというのだ。
政府機関などが公開するPDFファイルの調査は以前から行われているが、これだけ大規模なのは初めてだという。今回はこの論文をひもといて、PDFファイルによる情報漏洩の危険な現状を紹介しよう。
75のセキュリティー機関を調査
調査対象にしたのは、47の国や地域に属する75のセキュリティー機関。論文によれば、Wikipediaの「Security agency」(https://en.wikipedia.org/wiki/Security_agency)を参考に選択したという。日本のセキュリティー機関としては公安調査庁などが対象になったようだ。
公開しているPDFファイル、つまり調査対象となったPDFファイルの件数は国・地域によって異なる。5件から約6000件と幅がある。研究者らはwgetコマンドを使って調査対象のWebサイトをクロールし、PDFファイルをダウンロードしたとしている。
論文では、これらのPDFファイルの中に機微な情報が含まれていないかどうかを調べた。
「PDFファイルからの情報漏洩」というと、秘匿したい箇所の墨塗りミスを想起する人は多いだろう。マーカーや図形などで表面的に墨塗りして文字を隠しても、データは残るので簡単に読み出せてしまう。国内でも定期的に話題になるセキュリティー事故だ。
さすがにそのようなPDFファイルはなかったようだ。ここでの情報漏洩とは、PDFファイルの作成者やPDFファイルの作成に使用したソフトウエアなどに関する情報の漏洩である。
通常、こうした情報は非表示情報として埋め込まれている。ビューアーでは表示されないが、ツールを使えば簡単に抽出できる。
