今知っておきたいITセキュリティスキルワンランクアップ講座(第1回)

相次ぐ黒塗り文書からの情報漏えい。正しい対策は?

2018.06.28 Thu連載バックナンバー

 今回から次始まる「今知っておきたいITスキルワンランクアップ講座」。第1回目は黒塗り文書からの情報漏えいの対策について解説していきます。

 中央省庁や地方自治体のホームページなどで公開したPDF文書から、本来、非公開とすべき情報が漏えいするという事故が相次いでいます。いずれも個人情報などを「黒塗り」にした部分が簡単な操作で外せる状態で公開されていたというものです。

 この1年の間にも数多くの黒塗り文書からの情報漏えいが発生しています。事例について公開されている情報だけでも以下のように散見されます。

 

相次ぐ情報漏えいはなぜ起きたのか

 初めに、どのような原因でこれらの事故が起きたのかを見てみましょう。発表された資料や報道などから、多くの場合、以下の2つに原因に分かれるようです。

 1つ目が、Wordなどで作成された元の文書を、Wordの蛍光ペン機能で文字を黒塗りしたり、黒の図形を文字の上に重ねたりしたものをPDF文書として出力し、公開していたというもの。2つ目が、元のPDF文書を、PDF編集ソフトのハイライト機能や描画ツールを使って黒塗りに編集したものをそのまま公開していたというものです。

図1 Wordの蛍光ペンで黒塗りし、PDFに出力

 これらの方法では、たしかにPDF文書の見た目上は非公開部分が黒塗りされているように見えます。しかし、PDFリーダーソフトで、黒塗り部分を含むテキストを選択しコピー。それをメモ帳などに貼り付けること、で黒塗り部分のテキストがコピーできてしまいます。

図2 PDFリーダーでテキストを選択しコピー、メモ帳に貼り付けることで
黒塗りされた部分のテキストがコピーできてしまう

 また、ある中央省庁の事例では、元の文書が紙をスキャンしたPDF文書で、それにPDF編集ソフトの描画ツールを用いて黒の図形を重ねたものが公開されていました。この場合も、PDF編集ソフトを使えば、図形を選択してずらしたり、削除したりすることにより図形の下にある文書を見ることができてしまいます。

 

正しい対策とは?

 事故を公表した中央省庁や地方自治体の多くは、再発防止策として「黒塗りした電子データを紙に印刷し、それをスキャンしてPDF化する」ということをあげています。

 しかし、この方法は正しい方法なのでしょうか?

 確かに黒塗りした電子データを一度紙に印刷してスキャンすればコピー&ペーストなどして復元されることを防げますが、何より非常に手間が掛かりますし、ページ数が多ければ印刷代もかさみます。また、画像データになるのでファイルサイズが大きくなり、ダウンロードに時間が掛かったり、ページスクロールが重くなったりします。更に、スキャンすることで文字が歪んで表示も汚くなります。

 加えて、このように非常に面倒な作業を強いると、もっと楽にできる方法はないかと、前述したような復元できる方法で手を抜こうとする人が必ず出てきます。

 では、正しい方法はどのようなものでしょうか。最も簡単にできて確実に事故を防げる方法は… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter