kamuyの日記: 知らぬ間にファイルに摺り込まれる情報、気にしてますか? 55
日記 by
kamuy
日経BP KEN-Platz ユビキタス・アイ/土木 イエイリ建設ITラボ から。例えばMS-Excelなら、OSのセットアップ時やソフトウェア自体のインストール時に登録された「企業名」「担当者名」などの情報が標準状態では全てのファイルに書き込まれる(当人が意識できていない状況では、むしろファイル自体に摺り込まれていると云えるかも)訳ですが、それが元で談合の嫌疑がかけられたという事例が報告されております。実態としては過去の類似案件にて施工業者から提供された(おそらくは納品物である)特定のファイルをそのまま転用してしまったと言う事のようですが、なるほど、確かにそのようなプロパティの存在を知らずに外部提供のファイルをそのまま転用しているという人は結構存在していそうです。
/.Jな皆さんはその辺は気にしているとは思いますが、それでもうっかり忘れで痛い目にあったり、逆に取引相手からもらったファイルが競合他社からの提出物(そのもの、或いは、転用物)だったり、ということがあるかもしれません。また、MS-Officeのファイルに限らず、この手の「ファイル自体が持ち出してしまう情報の紐」というものは結構色々あると思いますが、皆さん、全てに対してちゃんと気をつけていますか?
ネットカフェでの体験 (スコア:5, 興味深い)
それに比例して消し忘れファイルも増えています。
大抵の店では再起動させるとファイル自動消去ソフトが働いて履歴等を削除してくれますが、中にはデータの一時保存用の領域を確保しているところもあります。
そのような店では自己責任で使用ファイルを管理しなければいけませんが、忙しいのか無知なのか、契約書や顧客リストが丸々のこっていたりします。
それが個人客リストだったら立派な個人情報流出事故なので、明らかに社内文書とわかるものについてはその場で所有者の属すると思われる企業に連絡しています。
その際にメタデータが証拠やヒントになります。
企業名、部署名、担当者○○、などが記載されていればその部署に直電して「そちらに○○さんいますか」とやると会話がスムーズに行きます。
で、同僚なり上司に事情を説明して最後に「こんな調子で個人情報をばら撒かないように注意してくださいね」と一言念押ししてやりますが、相手の対応はそれぞれなのがなんともですね。コトの意味がピンと来ない人もいる。
メタデータがファイルにに刷り込まれていること自体が知られていないようです。
どうして担当者名までわかったのか不思議がられます。
連絡先の上司や同僚でシステムに詳しい方でも「差分はサーバーで管理しているものだと思っていた」みたいな認識でして、わかってない相手だと「すぐ消してください」とか言い出す始末。「ここで作業していった人がきちんと修正後のバックアップをとって行ったか確認なされた方がよろしいのでは」とアドバイスしてみたり。
店で修正してそのままプリントしてバックアップしないで出て行くケースもありえますよ、と。
この種のファイル置き忘れのような単純ミスでも含まれるメタデータの内容によっては社内秘密の漏洩に繋がりますが、システム管理部門で注意喚起する必要性がありそうですね。
そうやって管理者の仕事が増えていくと。
Re:ネットカフェでの体験 (スコア:1, 参考になる)
自動消去するのではなく、常に起動時の状態を一定に保つだけです。
Re:ネットカフェでの体験 (スコア:0)
# 当時バイトしてた時の話なので A.C.
気になるなら消せばいいじゃない (スコア:4, 参考になる)
Re:気になるなら消せばいいじゃない (スコア:5, 参考になる)
黒塗りしたつもりが (スコア:4, 参考になる)
岩手県が氏名を「非表示」にしただけで個人情報を公開
http://srad.jp/article.pl?sid=02/06/01/1616224 [srad.jp]
なんてのも。
悲しくなる時~(古) (スコア:4, 興味深い)
パワーポイント(提案)とエクセル(見積もり)のファイルを提出したら、
その案件の元請けだったらしい御得意様のB社さんから、
「こーゆー内容をこの金額以下で出来る?」と、
ウチの作ったファイルを少しいじったものが返って来た事があります。
もちろんファイルのプロパティ等はそのままでした。
狭くてケチな仕事ばかりしてると珍しい事ではないらしいよ。
# 電器系N社系列はそんな事無いらしいが、印刷系D社系列だとほぼ確実に残ってる。
これを逆手に取って (スコア:4, 興味深い)
本当の価格より割高に設定した「原価」の情報を埋め込んで覗き見た奴に
偽りの割安感を与えるとか、虚偽の「作成者名」で他人を陥れるとか。
根本的解決 (スコア:3, 参考になる)
今ではむしろ自分の実名を入れる必要性に迫られることは滅多に無いのでは・・・・と考えてます
Re:根本的解決 (スコア:2, すばらしい洞察)
ファイルサーバ上のドキュメントを誰かが編集で開いてるときに別の人が開こうとすると、「Officeに設定しているユーザー名」が編集中です(意訳)、とでちゃいます。このときマシン名までは出ませんので、犯人捜しに大わらわになります:(
また、コメント機能の記入者名もそこから取られます。
# rm -rf ./.
Re:根本的解決 (スコア:1)
そういう運用をされる会社であれば、もちろんマシン名とか、IDのような物を振ってると思いますので、それを使えば良いのかなと思います。
Re:根本的解決 (スコア:0)
コピーしてそちらを編集・オリジナルはゴミ箱に移動で万事解決です。
Re:根本的解決 (スコア:1)
# そもそもそれは「コピー」なのか?
"Patriotism is the last refuge of a scoundrel." - Samuel Johnson
Re:根本的解決 (スコア:0)
>コピーしてそちらを編集・オリジナルはゴミ箱に移動で万事解決です。
……。
Re:根本的解決 (スコア:0)
Re:根本的解決 (スコア:2, 興味深い)
・ユーザ名 nobody
・会社名 unknown
にしています。UNIXだと、nobodyがマズイ場合もありますが...
SCO (スコア:2, 参考になる)
今は個人情報じゃないけれど (スコア:2, 興味深い)
windows では見えないファイルが入ってることよくあるのだけど、
将来あの辺からも色んな情報が漏れたりしないのだろうか。
# unix の dots もね
丸投げ? (スコア:1)
sc2005_oubo.docのプロパティ [srad.jp]
Word 2003 文書ファイル関係(セキュリティホール memo - 2005.05) [ryukoku.ac.jp]
Re:丸投げ? (スコア:3, 参考になる)
セキュリティホール memo - 2005.05.23
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2005/05.html#20050523__Word [ryukoku.ac.jp]
ただの風景でも (スコア:1)
製品名、撮った時間等が含まれていると精神的に良くないので
Re:ただの風景でも (スコア:2, 参考になる)
製品名はまだしも、デジカメによっては撮影者名などが入ることもありますので。また、
そこまで極端な「個人情報」でなく、単に撮影日時と撮影場所のみという場合でも(行動
パターンが丸分かりになるので)知られたくないこともありますし。
悩ましいのは、デジカメの作例として写真を公開するようなときは、撮影条件などは残したい
場合もあるということです。一律全てのケースで情報を削るということもできないので、そこは
ケースに応じてやっています。
Re:ただの風景でも (スコア:1)
ヘッダにソフト名やら何やらが入っているので、Jpeg Cleanerなどのソフトで
そういう情報を抹消しますねぇ。
Re:ただの風景でも (スコア:3, 参考になる)
CMYKカラーだとか解像度設定は引き継げないけど、EXIFは引き継ぎ、ICCは選択。
今、確認のため、Photoshopの複製保存でjpegにした画像をHEXEditorで開いてみたら、plistが丸々入ってた。
Adobeのファイルにありがちな、最終更新日時もちゃんと入ってる。
病的。
Re:ただの風景でも (スコア:1)
>(もしくはImageReadyの最適化保存)、その手の情報は
>何にも残らないので幸せになれると思う。
とりあえず私の手元にあるPhotoshop7の「Web用に保存」の場合、
DuckyとかAdobeとかの一発で丸分かりの特徴的な文字列が
ヘッダに入っているんですが、最新版のCS2のPhotoshopとか
ImageReadyでは入らないんですか?
そうだとしたら確かにちょっと幸せになれるかもなぁ。
#ちなみにDuckyてのはImageReadyのイースターエッグ由来(と思う)
楽しいよ (スコア:1, 興味深い)
プロパティ情報もそうだけど、見た感じよりサイズが妙にでかくなってるファイルなんて、リンクした他のファイルを表示用に丸ごと取り込んでることがあって、これがまた…
Re:楽しいよ (スコア:1)
Re:楽しいよ (スコア:0)
Re:楽しいよ (スコア:2, おもしろおかしい)
Re:楽しいよ (スコア:2, 参考になる)
リンクの含まれたセルやシートを削除すればその取り込まれた内容も消えますが、そのリンクに“名前”をつけていた場合、名前が残っている限り、見た目がブランクシート一枚だとしても、取り込まれた内容は消えません。
名前は、印刷の機能で勝手につけられる場合があるので要注意。
Re:楽しいよ (スコア:1, 参考になる)
見積書とかを流用し続けると、どこにどんな見積を出したのか等がバレバレになったりして。
MACアドレス (スコア:1, 興味深い)
確かに、メーカー製PCなら突き止められなくもないかも。
Re:MACアドレス (スコア:0)
# というか、もうこんな昔の話だったっけと、時の流れに恐怖する中年AC
個人的にはPDF出力で (スコア:1)
元データのExcel丸見えで、原価まで判っちゃったとか言うのは良くあります。(笑)
個人的には少しでもやばげなファイルは全てPDF出力して送るようにしているくらいかな?
PDFにも勝手に紐がつくようなプロパティありますかね?
PDFにも個人情報が‥‥ (スコア:3, 参考になる)
最新のデジカメで撮ったJPEGは、時刻や位置情報まで記録されることがあるので、要注意です。
詳細は「配布ファイルに個人情報を残さない [pahoo.org] 」をご覧下さい。
Re:PDFにも個人情報が‥‥ (スコア:3, おもしろおかしい)
メタ部分に勤務先と実名が書いてあってその人のネカマが発覚したこともあるなww
見なかった事にしたけどwww
Re:PDFにも個人情報が‥‥ (スコア:1, すばらしい洞察)
Re:PDFにも個人情報が‥‥ (スコア:1, おもしろおかしい)
内容はOO.oとかStarOfficeとかThinkFreeとかその辺の事情を書いていて『へー、面白ーっ』って内容だったんだけど、
読み終わった後にpdfのプロパティみたら「Mac上のMS Office」で作られたpdfだったんで一気に萎えたこと思い出しました。
#ま、それも広い意味で「PC UNIX上でのデスクトップ」か?
##その文書どれだっか思い出せず、この件/.Jでコメントしたはずだけど見つけられないのでAC。
Re:個人的にはPDF出力で (スコア:0)
PDF変換プログラムによってはWordやExcelのドキュメントのプロパティをそのままもってきます。
ファイルばかりじゃなくて (スコア:1)
人に貸したCFカードが返ってきたときに
ファイルリカバリーツールを動かしたら
見てはいけない写真がワンサカとかありえますから。
案外いろんなところに (スコア:1, 興味深い)
Thunderbirdの場合、以前は
user_pref("general.useragent.override","");
で消せたんですが、現行ではなぜかできないようです。
それに電話がかかってきたときにも、相手が携帯電話なのか
IP電話なのか固定電話なのか、はたまた日本にいるのかアメリカ
にいるのかなどもまるわかりです。
偽装できないこともありませんが。
単に (スコア:0)
客先提出なら、普通はそれなりに対処するものでは?
Re:単に (スコア:0)
まぁプロパティなんてのはまだ見える部分だけどね…
Re:単に (スコア:1, すばらしい洞察)
それはツールを使う人ではなくツールに使われる人といいます。
Re:単に (スコア:0, フレームのもと)
# Mac の場合は,Mac 丸ごとも「ツール」として意識してないかも? …今となっては,Windows も似たようなものか。
"Patriotism is the last refuge of a scoundrel." - Samuel Johnson
単価表 (スコア:0)
設計図面なんかだともろ怪しまれますよね。
裏せ...っふがふふ
関係者に近いかもしれないのでACにて
逆手にとって (スコア:0)
Re:逆手にとって (スコア:0)
世の中変わってたかもしれませんね。
以前に出たような気も (スコア:0)
WordかExcel絡みの話だったと思うんですけど。
定期的に出るほどお約束ってことなんでしょうけど。
Re:PE形式のバイナリの謎データ (スコア:1)
メモリの内容が (初期化せずに使用している為) 意図せずバイナリに含まれてしまう、
ってな事例があったような。それと同じような感じじゃないでしょうか。
私の場合だと、そこにコメントを埋めこんだりしてました。:-)