カズレーザー起用し「PDFセキュリティチェック」啓発キャンペーン展開、日本市場からPDFの誤解を一掃できるか | ScanNetSecurity
2022.05.20(金)

カズレーザー起用し「PDFセキュリティチェック」啓発キャンペーン展開、日本市場からPDFの誤解を一掃できるか

アドビ株式会社は3月15日、「Adobe Acrobat DC」のPDFセキュリティ関連機能や、デジタル化が進むビジネス文書の安全な管理運用を啓発するキャンペーン「PDFにセキュリティを、ビジネスに信頼を。」を開始すると発表した。

製品・サービス・業界動向
Adobe Acrobat DC 啓発キャンペーン「PDFにセキュリティを、ビジネスに信頼を。」(出典:2021年3月23日:アドビ株式会社:https://acrobat.adobe.com/jp/ja/acrobat.html)
  • Adobe Acrobat DC 啓発キャンペーン「PDFにセキュリティを、ビジネスに信頼を。」(出典:2021年3月23日:アドビ株式会社:https://acrobat.adobe.com/jp/ja/acrobat.html)
 アドビ株式会社は3月15日、「Adobe Acrobat DC」のPDFセキュリティ関連機能や、デジタル化が進むビジネス文書の安全な管理運用を啓発するキャンペーン「PDFにセキュリティを、ビジネスに信頼を。」を開始すると発表した。

 同社は本キャンペーンで、Adobe Acrobat DCのブランドカラーと同じ「赤色」の服装がトレードマークであるメイプル超合金のカズレーザー氏を起用し、CM動画「PDFセキュリティチェック! オフィス篇」および「PDFセキュリティチェック! テレワーク篇」を様々なメディアで展開予定。セキュリティに特化した同社のキャンペーンも、CMも、これまでに例が無かった。

 アドビ社の提供する「PDF」フォーマットは、同社の共同創設者の一人であるジョン・ワーノック氏が約30年前に「紙の書類でできることのすべてをデジタルに、そしてさらにデジタル書類でしかできないエクスペリエンスを世界に」という発想から開発をスタートした技術で、本来は編集できるファイル形式であり、PDFにロックをかけて第三者による編集を防止し、セキュリティをコントロールすることが必要である。

 きわめて優れたファイル形式であったゆえに、全世界に多くのPDFユーザーが、特にビジネスユーザーが多数存在するようになったため、サイバー犯罪者にとってPDFは格好のターゲットのひとつとなった。様々なPDFの脆弱性が発見され、2010年のデータによれば、MS-Office製品よりも標的型攻撃に悪用されるという負の栄冠を獲得してもいる。

 当時の状況について、フィンランドのセキュリティ企業F-Secure社の、TEDに複数回の登壇経験を持つ著名なセキュリティ研究者ミッコ・ヒッポネン氏はPDF(Portable Document Format)の「Portable」は「Problematic(問題のある、問題の多い)」の間違いであると、皮肉を込めて揶揄している。

 その後、アドビ社の責任ある態度によって脆弱性のハンドリングとパッチ配信が行われるようになり、技術的な面での「PDF」のセキュリティ問題は一定の収束をしたかに見えた。

 しかし、なお残った問題が、デジタル先進国とはいまや決していえない日本のビジネスシーンでの、誤ったPDFの理解と、それに付随して全国各地でPDFファイルの特性を理解しないことが原因で発生する情報漏えいだ。

 世間を騒がせたあの森友学園問題でも、財務省が2018年5月23日に公開した墨塗り(したつもり)のPDF文書が、実は見かけだけで、実際には容易に墨塗り部分が閲覧できる状態だったと翌24日に同省が公表した。目も眩む高学歴官僚が牛耳る中央官庁の総本山財務省ですらPDFファイルに対する理解はなされていなかったことが明らかになった。

 PDFファイルはIRや公的な資料に用いられることが多く、ミニマルで美しいルックのため多くの職場に「PDF大好きビジネスパーソン」が少なからず存在する。彼らのPDFの適切利用への無理解・無関心がこれら情報漏えいの原因のひとつとして挙げられる。

 アドビ社も手をこまねいていたわけではない。これらの問題に対しては2018年7月3日に「 [ 使い方紹介 ] あなたが公開したPDF文書は大丈夫?情報漏えい対策に効く、「墨消し」と「非表示情報の消去」の方法 #AcrobatDC」というタイトルのブログ記事で注意喚起を出していたが、形式的なものだったと言わざるをえない。その記事の読者対象がブログ記事など読むはずもなく検索も行うとは思えない。情報発信の方法と、伝えたい受け手の間に溝があった。

 それに対し、今回のCMキャンペーンは、目的としては単なる「Adobe Acrobat DC」の販促には過ぎないが、知性派の人気芸人を起用して「PDFは編集可能なものであり、だからこそ正しく編集ロックをかけて保護することが必要である」というPDFファイルのよくある誤解に直球でメッセージを送る点は高く評価できる。少なくともPDFにはセキュリティの課題が存在すると公式が情報発信を行った意義がある。PDFの脆弱性への責任ある対応のときのように、PDFファイルへの誤解を、もはやデジタル先進国とはいえない近年の日本から一掃することが、ISO標準ともなったファイル形式を開発した営利企業の義務である。

 なお、PDFファイルによる情報漏えいは様々なバリエーションがあり、本誌が近年紹介しただけでも以下の通りだ。

 たとえば岩手県大船渡市では2020年7月、Microsoft Wordの網掛け機能を使用して個人情報を塗りつぶし、その後PDFファイルに変換したが、文字情報が残っていたままだったという森友事案と似た事故が発生した。

 2020年7月の新潟県のように、マスキングは有効だったものの、プロパティに個人情報が残っていた例もある。

 こうした事故がほんの一端であることを鑑みると、PDFを採用することによる日本の社会コストが上昇している可能性がある。アドビ社は電子サインの分野などでも優れた製品を持つが、日本市場はそれ以前の段階である。現に新潟県は2020年8月に、県庁が公開している9万件のPDFファイル等に情報漏えいがないかチェックするという勇気ある施策を実施している。公表されている情報によれば9万件のPDFファイル等の目視チェックをボランティアが行ったという記載はなかった。

 古くからのネットユーザーに惜しまれつつも、セキュリティ上の問題が指摘され、2020年末に葬り去られた同社のAdobe Flash Playerのように日本国内でならないための第一歩としても、PDFのセキュリティ向上と継続的啓発活動の実施を、本稿を執筆するPDF大好き記者は願ってやまない。
《高杉 世界( Sekai Takasugi )》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 2022年9月以降はe-Govで「SSL3.0」「TLS1.0」「TLS1.1」を利用禁止

    2022年9月以降はe-Govで「SSL3.0」「TLS1.0」「TLS1.1」を利用禁止

  2. イエラエ CSIRT支援室 第 24 回 システムに侵入したあと、ペンテスターは何を調査・探索しているのか?

    イエラエ CSIRT支援室 第 24 回 システムに侵入したあと、ペンテスターは何を調査・探索しているのか?

  3. ラック、2022年3月期の通期決算を発表

    ラック、2022年3月期の通期決算を発表

  4. 20年間 Windows OS の裏をかき続けた徳島のホワイトハッカー ~ ティエスエスリンク(TSS LINK)開発者インタビュー

  5. 技術とビジネスをバランスするセキュリティリスク評価手法 "OCTAVE"

  6. 個性あふれるホワイトハッカーチームをまとめる名監督シスコシステムズ

  7. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  8. 脆弱性診断ソフト「QualysGuard」をクラウド型で提供(NTT Com)

  9. 佐々木良一氏によるメタバース上のセキュリティ課題整理

  10. TSS LINK、国産DLP製品「トランセーファー PRO」をActive Directoryと連携

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×