PDFに潜む隠しデータとは?
Wordドキュメントから作成されたPDFには、元の作成者名、会社名、編集のタイムスタンプ、変更履歴、コメントといった情報が、PDFとして保存した後もそのまま残ってしまう場合があります。 ドキュメントのプロパティには、通常、作成者名と所属組織、作成日や更新日、作成に使用したソフトウェア、改訂履歴や古いバージョン、そして非表示にされたはずのコメントや注釈などが含まれています。 法務・医療・ビジネスといった文書にとって、こうしたメタデータは深刻な機密漏洩のリスクとなります。実際、黒塗りされたはずのPDFに、その黒い矩形の下に選択も検索も可能なテキストがそのまま残っていた、という裁判事例も存在するのです。
PDFを安全に扱う方法
- 1PDFを共有する前には、必ずそのメタデータを確認する習慣をつけましょう。ドキュメントのプロパティを開き、作成者名、使用したソフトウェア、改訂情報といった項目が意図せず埋め込まれていないか、しっかりとチェックします。
- 2機密性の高いコンテンツは、適切な方法で削除または墨消し(黒塗り)しましょう。真の墨消しとは、テキストデータそのものを上書きすることを意味します。単にテキストの上に黒い矩形を描いただけでは、その下にテキストが残ったままになり、選択も検索もできてしまうので注意が必要です。
- 3機密情報を含む文書には、パスワード保護を設定しましょう。閲覧のために必要となるオープンパスワードと、コピー・印刷・編集といった操作を制限するためのパーミッションパスワードの、両方を設定しておくのが理想的です。
PDFセキュリティのベストプラクティス
メタデータの含まれていないバージョンが必要な場合は、元のソースからそのままエクスポートするのではなく、クリーンなアプリケーションから「PDFに印刷」する方法を使いましょう。 法的な意味を持つ墨消しには、テキストの上にただ図形を重ねるのではなく、コンテンツを確実に上書きすることが認証された、専用のツールを使用してください。 出所のわからないPDFには十分な注意が必要です。埋め込まれたJavaScript、トラッキングURLへのハイパーリンク、PDFリーダーの脆弱性を突くエクスプロイトコードなどが仕込まれている場合があります。 PDFリーダーは、常に最新の状態に保つようにしましょう。PDFリーダーの脆弱性は、攻撃者にとってありふれた侵入経路となっています。