Understanding PDF Metadata: What It Reveals About You - pdf0.ai

三年前、私はフォーチュン500企業がたった一つのPDFファイルによって4,000万ドルの契約を失うのを見ました。私はサラ・チェンで、過去12年間、文書メタデータ分析を専門とするデジタルフォレンジックコンサルタントとして働いてきました。その日、弁護士や経営者たちと会議室に座っていた私は、「クリーン」と思われる提案書の文書が、前回の失敗した入札についての機密情報を明らかにしていたことを説明しなければなりませんでした——その機密情報は、PDFのメタデータに目に見えない形で埋め込まれており、競合他社は60秒以内にそれを抽出していました。

文書を準備した経営者は何も知らなかった。彼は単に昨年の提案書を更新し、一部のテキストを変更して新しいPDFをエクスポートしただけだった。しかし、メタデータは異なるストーリーを語っていた：競合入札の元の著者名、機密のセクションが変更されたときの編集タイムスタンプ、そして内部プロジェクトのコードネームを示すファイルパス。これは、目に見えないデータがどのように非常に目に見える結果をもたらすかに関するマスタークラスだった。

その事件以来、私は法律事務所から政府機関に至るまで、15,000を超えるPDF文書を分析してきました。私が学んだことは、多くの人々を驚かせるだろう: あなたが作成するすべてのPDFは、本質的にあなた、あなたの組織、そしてあなたの作業習慣について、自分が意図的に共有する以上のことを明らかにするデジタルフィンガープリントなのです。今日は、PDFメタデータが何を明らかにするのか、なぜそれが重要なのか、そしてどのように自分を守るかを正確に示します。

隠れた層: PDFメタデータが実際に含むもの

ほとんどの人がPDFについて考えるとき、彼らは目に見えるコンテンツ——画面上で見ることができるテキスト、画像、レイアウト——を想像します。しかし、その目に見える層の下には文書のDNAのように機能する複雑なメタデータの構造があります。私のフォレンジック作業では、標準のPDFファイルが一般的に含む23の異なるメタデータカテゴリを特定しており、それぞれのカテゴリがストーリーを語ります。

最も基本的なメタデータには、「ダブリンコア」要素と呼ばれるものが含まれます: タイトル、著者、主題、キーワード、作成アプリケーション、プロデューサー、作成日、変更日。これらは一見無害に見えますが、私は「機密」文書が実際には外部コンサルタントによって作成されたことを示す著者フィールドを見たことや、創作日が競合他社の類似文書の数ヶ月後であることを証明したケースを見たことがあります。

これらの基本的なものを超えて、PDFには私が「技術的フィンガープリント」と呼ぶものが含まれています。作成アプリケーションフィールドは、PDFを生成するために使用されたソフトウェアとバージョンを正確に示します。私は、あなたがAdobe Acrobatを使用したのか、Microsoft Wordのエクスポート機能を使用したのか、オンラインコンバーターを使用したのか、または専門のソフトウェアを使用したのかを判断できます。これは思った以上に重要です——かつて私は、230人の組織の中で特定のバージョンのAdobe Creative Suiteにアクセスできたのはたった3人だけだったため、情報漏洩の出所を特定したことがあります。

次には、変更履歴があります。多くのPDFは、文書の以前のバージョンを保存するための増分更新セクションを含んでいます。私はクライアントがクリーンだと考えていたPDFから「削除された」コンテンツを回収しました。ある記憶に残るケースでは、最終文書に見えたものに14の以前の契約バージョンが埋め込まれており、クライアントの絶対的な底値を示す交渉ノートを含んでいました——その情報は間違った手に渡ると数百万ドルの価値がありました。

位置データは、もう一つの重要なカテゴリを表します。写真からPDFを作成する場合や、モバイルデバイスで文書をスキャンする場合、GPS座標が埋め込まれることがあります。私は、特定のオフィスビル、家庭の住所、さらにはあるケースでは、従業員が企業方針に反して機密資料に取り組んでいたコーヒーショップにまで文書を追跡しました。メタデータは、位置だけでなく正確なタイムスタンプも示し、セキュリティ映像と照合することを可能にしました。

ソフトウェア署名: あなたのツールがどのように裏切るか

すべてのソフトウェアは、その作成するPDFに独特なマーカーを残し、私はキャリアの中で400を超えるユニークなソフトウェア署名のデータベースを構築しました。このフォレンジック能力は、認証ケース、知的財産争い、セキュリティ調査において非常に貴重なものとなっています。このウサギの穴がどれほど深いかお見せしましょう。

"あなたが作成するすべてのPDFは、本質的にあなた、あなたの組織、そしてあなたの作業習慣について、自分が意図的に共有する以上のことを明らかにするデジタルフィンガープリントなのです."

Microsoft WordがPDFをエクスポートすると、特定のプロデューサ文字列が埋め込まれ、正確なバージョン番号とビルドが含まれます。私は、あなたがOffice 2016、2019、またはMicrosoft 365を使用しているのか、時には特定の月次更新バージョンを知ることができます。この情報は法的案件でのタイムラインを確立するのに役立ちました——誰かが文書が2018年に作成されたと主張しているが、メタデータがそれがOffice 2021によって生成されたことを示している場合、問題があります。

Adobe製品はさらに詳細な署名を残します。Acrobat Proは、アプリケーション内で使用されたツールに関する情報を埋め込みます。私は、OCR機能を使用したか、どの特定のフィルターが画像に適用されたか、赤字体ツールを使用したか（そして重要なことに、赤字体が適切に適用されたか）、さらにはどのフォントが埋め込まれたかまたは置換されたかを見ることができます。ある調査では、ある独立した専門家の報告書が実際には専門家を雇った側と同じAdobe Acrobatインストールを使用して作成されたことを特定しました——ライセンスキー情報が両方の文書に埋め込まれていたのです。

オンラインPDFコンバーターや無料ツールは、自らのメタデータを注入することが多く、時には追跡識別子を含むこともあります。私はユニークなユーザーID、IPアドレス、さらにはメールアドレスをメタデータに埋め込む無料PDF作成ツールを見たことがあります。ある人気の無料ツールは、サービス提供者が自らのソフトウェアで作成されたすべての文書を追跡できるようにするユニークな識別子を挿入していました。ユーザーは、実際にはトレース可能な情報で文書に透かしを入れていることをまったく知りませんでした。

ソフトウェア署名はまた、あなたのセキュリティ姿勢を明らかにします。古いバージョンのソフトウェアや既知の脆弱性を使用している場合、そこから、あなたの組織のセキュリティ慣行について何かを知ることができます。私はクライアントに対し、メタデータが彼らが3年前の古いバージョンのソフトウェアを使用していて、多くのセキュリティの欠陥があることを示した場合、潜在的なパートナーからの文書を拒否するようアドバイスしたことがあります——データ取り扱い慣行の赤信号です。

タイムスタンプと編集履歴: 文書のタイムライン

時間ベースのメタデータは、私の経験の中で他のどのカテゴリよりも多くの調査での決定打となることがありました。PDFは複数のタイムスタンプを含み、これらのタイムスタンプ間の関係は、作成者が決して共有する意図のなかったストーリーを語ります。私は「時間的フォレンジック」と呼ぶ方法論を開発し、タイムラインの争いが調査の中心にあった案件の60%以上での決定的な要因となってきました。

すべてのPDFには、少なくとも2つのタイムスタンプが含まれています: 作成日と変更日。しかし、多くの場合、文書が最後に印刷された日、最後に開かれた日、特定の要素が追加または変更された日についての追加のタイムスタンプが含まれています。一度、メタデータの作成タイムスタンプと埋め込まれた画像の「最終変更」タイムスタンプを比較することで、契約がバックデートされていたことを証明しました——画像は、文書が主張された作成日から2週間後に作成されたものでした。

タイムスタンプに埋め込まれているタイムゾーン情報は特に明らかです。私は、タイムスタンプのUTCオフセットに基づいて文書が作成された世界のどの部分であるかを知ることができます。これは、国際的な詐欺が関与するケースでは非常に重要で、ニューヨークで作成されたと主張されている文書が実際には東欧で作成された、またはその逆であることを示してきました。タイムゾーンデータは、文書の他のすべてが巧妙に欺くために作成されていても、嘘をつきません。