Bizコンパス

相次ぐ黒塗り文書からの情報漏えい。正しい対策は?
2018.06.28

今知っておきたいITセキュリティスキルワンランクアップ講座第1回

相次ぐ黒塗り文書からの情報漏えい。正しい対策は?

著者 北河 拓士

 今回から次始まる「今知っておきたいITスキルワンランクアップ講座」。第1回目は黒塗り文書からの情報漏えいの対策について解説していきます。

 中央省庁や地方自治体のホームページなどで公開したPDF文書から、本来、非公開とすべき情報が漏えいするという事故が相次いでいます。いずれも個人情報などを「黒塗り」にした部分が簡単な操作で外せる状態で公開されていたというものです。

 この1年の間にも数多くの黒塗り文書からの情報漏えいが発生しています。事例について公開されている情報だけでも以下のように散見されます。

 

相次ぐ情報漏えいはなぜ起きたのか

 初めに、どのような原因でこれらの事故が起きたのかを見てみましょう。発表された資料や報道などから、多くの場合、以下の2つに原因に分かれるようです。

 1つ目が、Wordなどで作成された元の文書を、Wordの蛍光ペン機能で文字を黒塗りしたり、黒の図形を文字の上に重ねたりしたものをPDF文書として出力し、公開していたというもの。2つ目が、元のPDF文書を、PDF編集ソフトのハイライト機能や描画ツールを使って黒塗りに編集したものをそのまま公開していたというものです。

図1 Wordの蛍光ペンで黒塗りし、PDFに出力

 これらの方法では、たしかにPDF文書の見た目上は非公開部分が黒塗りされているように見えます。しかし、PDFリーダーソフトで、黒塗り部分を含むテキストを選択しコピー。それをメモ帳などに貼り付けること、で黒塗り部分のテキストがコピーできてしまいます。

図2 PDFリーダーでテキストを選択しコピー、メモ帳に貼り付けることで
黒塗りされた部分のテキストがコピーできてしまう

 また、ある中央省庁の事例では、元の文書が紙をスキャンしたPDF文書で、それにPDF編集ソフトの描画ツールを用いて黒の図形を重ねたものが公開されていました。この場合も、PDF編集ソフトを使えば、図形を選択してずらしたり、削除したりすることにより図形の下にある文書を見ることができてしまいます。

 

正しい対策とは?

 事故を公表した中央省庁や地方自治体の多くは、再発防止策として「黒塗りした電子データを紙に印刷し、それをスキャンしてPDF化する」ということをあげています。

 しかし、この方法は正しい方法なのでしょうか?

 確かに黒塗りした電子データを一度紙に印刷してスキャンすればコピー&ペーストなどして復元されることを防げますが、何より非常に手間が掛かりますし、ページ数が多ければ印刷代もかさみます。また、画像データになるのでファイルサイズが大きくなり、ダウンロードに時間が掛かったり、ページスクロールが重くなったりします。更に、スキャンすることで文字が歪んで表示も汚くなります。

 加えて、このように非常に面倒な作業を強いると、もっと楽にできる方法はないかと、前述したような復元できる方法で手を抜こうとする人が必ず出てきます。

 では、正しい方法はどのようなものでしょうか。最も簡単にできて確実に事故を防げる方法は… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

今もダダ漏れ中!?身近な情報漏えいの防ぎ方

2018.06.12

失敗に学ぶセキュリティ対策

今もダダ漏れ中!?身近な情報漏えいの防ぎ方

注目のSaaSセキュリティ対策「CASB」とは

2018.03.26

クラウド利用のためのセキュリティソリューション

注目のSaaSセキュリティ対策「CASB」とは

最新セキュリティ対策「インターネット無害化」とは

2018.01.17

注目のセキュリティ対策の最新トレンドを解説

最新セキュリティ対策「インターネット無害化」とは

サイバー攻撃にうまく向き合う方法とは

2017.11.10

スペシャリストが語り合うセキュリティ対策の現場

サイバー攻撃にうまく向き合う方法とは

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる