情報漏えいにつながる危険な PDF 利用 - マスキングは有効だが「プロパティ」から漏えい可能性(新潟県) | ScanNetSecurity
2024.03.29(金)

情報漏えいにつながる危険な PDF 利用 - マスキングは有効だが「プロパティ」から漏えい可能性(新潟県)

新潟県は7月10日、総務省Webサイト上の「行政不服審査裁決・答申検索データベース」に公表したPDFファイルに誤って個人情報が含まれていたことが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 2 枚 拡大写真
新潟県は7月10日、総務省Webサイト上の「行政不服審査裁決・答申検索データベース」に公表したPDFファイルに誤って個人情報が含まれていたことが判明したと発表した。

これは総務省Webサイト上の「行政不服審査裁決・答申検索データベース」上に公表した審査請求に対する裁決書のPDFファイルにて、本文の個人情報はマスキング処理していたものの「文書のプロパティ」上に審査請求人の姓、または姓名が含まれたというもので、7月8日午前10時頃に他の自治体からの連絡により発覚した。

誤って掲載されたのは審査請求人6名分の姓、または姓名。

同県では発覚後、ただちに個人情報部分を削除し再公表を行うとともに、対象者に説明と謝罪を行った。また現在、「行政不服審査裁決・答申検索データベース」以外に、新潟県Webサイト等他の公開ファイルに同様の事案がないか調査を行っており、まとまり次第公表予定。

ScanNetSecurityの取材に対し同県の担当者は「昔のものもあるので担当者の記憶も曖昧だが、恐らく作成した資料をPDFに変換する際に、担当者が意図的に設定したのではなく、ソフトの設定で自動的に文書のプロパティの「タイトル」上に個人情報が表示されるようになってしまった。使用したソフトについては、何種類かあるので、どのソフトでそういった事象が起きたのかははっきりしていない。同データベース内に新潟県が掲載しているファイルは全件チェックしたが、個人情報が残っていたのは6件のみだった。マスキングについては、黒塗りではなく個人名を●●や××などに置き換えている。」と述べた。

PDFは中高年ビジネスパーソンや自治体関係者に愛される一方で、正しい操作方法の知識がユーザーに普及していない。

個人情報をマスキングしたはずのPDFファイルからの情報漏えいの危険性について、ScanNetSecurityでは7月7日、ワープロソフトの網掛け機能の誤解による大船渡市の事例を掲載したが、今回新潟県から回答のあった個人名の記号(●●や××等)への置き換えなら、全件置換すれば文字情報は消える上に塗り忘れも無い(全文の目視は必要)。

同県では今後、公表する文書をPDFファイルに変換する際に「文書のプロパティ」に個人情報が表示されないよう設定変更するとともに、外部にPDFファイルを提供する際は複数人で確認するよう周知し再発防止に努めるとのこと。

《高杉 世界( Sekai Takasugi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る