今や文書の標準フォーマットとなっているPDF▼。世界中の政府機関も、公的な文書はPDFファイルにして公開することが多い。だがその中には、機微な情報が含まれたまま公開されている文書もあるという。
フランスのグルノーブル・アルプ大学およびフランス国立情報学自動制御研究所(INRIA▼)に所属する研究者らは2021年3月、世界中のセキュリティー機関(治安機関)が公開しているPDFファイルを詳細に分析した論文▼を発表した。世界中のセキュリティー機関が公開している約4万件のPDFファイルを分析した結果、多数の機関の「弱点」が明らかになったという。
75のセキュリティー機関が対象
調査対象にしたのは、47の国や地域に属する75のセキュリティー機関▼。日本のセキュリティー機関としては公安調査庁などが対象になったようだ。研究者らはwgetコマンドを使って調査対象のWebサイトをクロールし、PDFファイルをダウンロードしたとしている(図1)。
論文では、これらのPDFファイルの中に機微な情報が含まれていないかどうかを調べた。ここでの機微な情報とは、PDFファイルの作成者や作成に使用したソフトウエアなどに関する情報である。通常、こうした情報は非表示情報として埋め込まれている。ビューアーでは表示されないが、ツールを使えば簡単に抽出できる。
一見、作成者やソフトウエアの名前などは、それほど機微な情報には思えないだろう。だが、同一機関が公開したPDFファイルを収集および分析すると、その機関のセキュリティー上の弱点が浮かび上がる。
例えば、特定の機関や職員のソフトウエアの更新頻度を調べられる。職員のメールアドレスが非表示情報として埋め込まれている場合もある。古いソフトウエアを使い続けている職員は、標的型攻撃の格好のターゲットになる。
3分の1に作成者名
さて、実際はどうだったのだろうか。作成者の名前は、PDFファイル1万3166件(33%)の非表示情報などに含まれていたという。
また、作成者のものと思われるメールアドレスも52件見つかった。うち47件がPDFファイルを公開する機関のドメインのアドレスで、5件がフリーのメールサービスのアドレスだった。
PDFファイルを作成したソフトウエアの種類とバージョンも、3万155件(76%)のPDFファイルで明らかになった。最も多かったのはAcrobat Distillerで23%。次いで、Adobe PDF Library(16%)、Word(12%)だった。
PDFファイルに含まれている作成者およびソフトウエアの情報と、そのPDFファイルが作成あるいは公開された時期を関連付ければ、ソフトウエアの更新状況を調べられる。つまり、特定の作成者あるいは機関の脆弱性対応状況を探れるのだ。
