Bizコンパス

相次ぐ黒塗り文書からの情報漏えい。正しい対策は?
2018.06.28

今知っておきたいITセキュリティスキルワンランクアップ講座第1回

相次ぐ黒塗り文書からの情報漏えい。正しい対策は?

著者 北河 拓士

 今回から次始まる「今知っておきたいITスキルワンランクアップ講座」。第1回目は黒塗り文書からの情報漏えいの対策について解説していきます。

 中央省庁や地方自治体のホームページなどで公開したPDF文書から、本来、非公開とすべき情報が漏えいするという事故が相次いでいます。いずれも個人情報などを「黒塗り」にした部分が簡単な操作で外せる状態で公開されていたというものです。

 この1年の間にも数多くの黒塗り文書からの情報漏えいが発生しています。事例について公開されている情報だけでも以下のように散見されます。

 

相次ぐ情報漏えいはなぜ起きたのか

 初めに、どのような原因でこれらの事故が起きたのかを見てみましょう。発表された資料や報道などから、多くの場合、以下の2つに原因に分かれるようです。

 1つ目が、Wordなどで作成された元の文書を、Wordの蛍光ペン機能で文字を黒塗りしたり、黒の図形を文字の上に重ねたりしたものをPDF文書として出力し、公開していたというもの。2つ目が、元のPDF文書を、PDF編集ソフトのハイライト機能や描画ツールを使って黒塗りに編集したものをそのまま公開していたというものです。

図1 Wordの蛍光ペンで黒塗りし、PDFに出力

 これらの方法では、たしかにPDF文書の見た目上は非公開部分が黒塗りされているように見えます。しかし、PDFリーダーソフトで、黒塗り部分を含むテキストを選択しコピー。それをメモ帳などに貼り付けること、で黒塗り部分のテキストがコピーできてしまいます。

図2 PDFリーダーでテキストを選択しコピー、メモ帳に貼り付けることで
黒塗りされた部分のテキストがコピーできてしまう

 また、ある中央省庁の事例では、元の文書が紙をスキャンしたPDF文書で、それにPDF編集ソフトの描画ツールを用いて黒の図形を重ねたものが公開されていました。この場合も、PDF編集ソフトを使えば、図形を選択してずらしたり、削除したりすることにより図形の下にある文書を見ることができてしまいます。

 

正しい対策とは?

 事故を公表した中央省庁や地方自治体の多くは、再発防止策として「黒塗りした電子データを紙に印刷し、それをスキャンしてPDF化する」ということをあげています。

 しかし、この方法は正しい方法なのでしょうか?

 確かに黒塗りした電子データを一度紙に印刷してスキャンすればコピー&ペーストなどして復元されることを防げますが、何より非常に手間が掛かりますし、ページ数が多ければ印刷代もかさみます。また、画像データになるのでファイルサイズが大きくなり、ダウンロードに時間が掛かったり、ページスクロールが重くなったりします。更に、スキャンすることで文字が歪んで表示も汚くなります。

 加えて、このように非常に面倒な作業を強いると、もっと楽にできる方法はないかと、前述したような復元できる方法で手を抜こうとする人が必ず出てきます。

 では、正しい方法はどのようなものでしょうか。最も簡単にできて確実に事故を防げる方法は… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

今もダダ漏れ中!?身近な情報漏えいの防ぎ方

2018.06.12

失敗に学ぶセキュリティ対策

今もダダ漏れ中!?身近な情報漏えいの防ぎ方

注目のSaaSセキュリティ対策「CASB」とは

2018.03.26

クラウド利用のためのセキュリティソリューション

注目のSaaSセキュリティ対策「CASB」とは

最新セキュリティ対策「インターネット無害化」とは

2018.01.17

注目のセキュリティ対策の最新トレンドを解説

最新セキュリティ対策「インターネット無害化」とは

サイバー攻撃にうまく向き合う方法とは

2017.11.10

スペシャリストが語り合うセキュリティ対策の現場

サイバー攻撃にうまく向き合う方法とは

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは