IT導入支援

会員限定

株式会社大塚商会、アドビシステムズ株式会社提供コンテンツ

2017年02月27日

「PDFファイル」から情報漏えいの危険が!標的型攻撃やWeb改ざん対策の落とし穴

誰もが利用できる信頼性に優れたファイル形式として広く普及している「PDF」。しかし、WebからダウンロードしたPDFファイルが改ざんされている、あるいは自らが作成したPDFファイルに個人情報が含まれている可能性を否定できるだろうか。実は、PDF化すれば安全であるというのは誤解であり、PDFにもきちんとセキュリティ設定を施さなければならないのだ。標的型攻撃やWeb改ざん対策、内部統制にも有効なPDFファイルのセキュリティ対策について解説しよう。

photo

今すぐチェックすべき「PDFセキュリティ」



今すぐチェック! PDFファイルから個人情報漏えいの可能性も

 PDFは、企業間でファイルをやりとりしたり、Web上にファイルを公開したりする際に利用されているファイルフォーマットだ。

 1993年にアドビ システムズによって開発されたPDFは、2008年にISO(国際標準化機構)に仕様を委譲して標準化された。現在ではPDFファイルを作成したり閲覧したりするためのツールは数多くのサードパーティから配布され、無料で使用できるものも多い。

 日常的に利用しているがゆえに見落としがちなのが、PDFファイルの「セキュリティ対策」である。PDFはあらゆるデバイスから同じ書式やフォーマットで閲覧できる標準化された規格だが、一方で攻撃者に狙われやすい側面があるということも忘れてはならない。

 ここで、普段利用しているPDFファイルの設定をチェックしてみていただきたい。PDFファイルを開き、「右クリック」して「文書のプロパティ」を開くと、PDFファイルの持つメタデータが表示される。

 「概要」タブには作成者の名前や社員番号、あるいはマシン名といった情報が含まれていないだろうか。Wordで作成した文書をそのままPDF化すると、作成者の実名がプロパティに入ってしまったり、場合によっては、社員番号などが表示されたりすることもある。

photo
(クリックで拡大)

PDFの「文書のプロパティ」の概要タブを見ると、作成者だけでなく、PDF変換ツールや、PDFのバージョンなどが判明する。場合によっては、作成者が社員番号になっているケースも


 これらの情報を元に実在する社員になりすまして同社の従業員にメールを送れば、仕掛けが施された添付ファイルの開封率も上がるため、危険に晒される。またこれらのプロパティ情報をドメイン名と組み合せれば、場合によってはメールアドレスが推定できてしまい、標的型攻撃の格好のターゲットになりかねない。

 文書をPDFに変換することだけなら、フリーウェアだけでなくWebブラウザやOffice製品などからでも行える。しかし、PDFに書き出すだけでは、公開するべきではない情報がそのまま残ってしまったり、改ざんされて誤った情報を流布されてしまったりするリスクも高まってしまうのである。

「サンドボックス」で標的型攻撃からPDFファイルを守れ

この続きは会員限定です