メタデータに残る微かなカオリ：セキュリティ・ダークナイト（7）（1/4 ページ）

「位置情報へのアクセスを許可しない」設定にしていたはずなのに、アップロードした写真のメタデータに情報が残るなんてこと、あるんです。本人が意図せず、把握しないうちにアップロードされる情報とは……（編集部）

[辻 伸弘（ソフトバンク・テクノロジー株式会社），＠IT]

※ご注意
本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。

また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。

あらためて高まったSNSの存在感

　皆さんは、普段、ソーシャル・ネットワーキング・サービス（以下SNS）をいくつ利用しているだろうか。

　Facebook、Twitter、Flickr、Instagram、FourSquareなどなど、世の中にはさまざまな形、さまざまな特徴を持ったSNSがリリースされている。東日本大震災のときには、携帯電話のメールは輻輳が発生してしまい安否確認が取りにくくなったが、代わりにSNSが大活躍した。これを機にアカウントを作成した方も多いようで、筆者の周りではTwitterやFacebookを新たに始めた人が目立った。

　SNSはプライベートの垂れ流しとなり危険だという意見もあるが、あくまで1つのツールであり、存在そのものが危険だというわけではないと筆者は考えている（もちろん未成年など保護すべき対象は存在するが）。

　筆者自身、SNSを通じて、従来ならばコンタクトすら取れなかったはずの読者の方々とコミュニケーションを取り、貴重な経験をすることが可能となった。ユーザーが節度を持ち、選択し、正しい使い方をすれば、SNSは情報収集ツールにもコミュニケーション促進ツールにもなる。

　「情報は、発信するところに集まる」

　どこかで聞いた記憶のある言葉なのだが、SNSの活用はこの言葉を体現しているのではないだろうか。

　しかし、SNSでは、「自分が発信している」と認識している情報のみが公開されているものなのだろうか。知らず知らずのうちに発信してしまっている情報によって、寄せ付けたくないものを吸い寄せている可能性はないだろうか。

知ってますか？ 豊富な情報を含む「EXIF」

　ところで、「EXIF」（“イグジフ”または“エグジフ”）という言葉を見聞きしたことはあるだろうか。

　あまりご存じない方のために、簡単に「EXIF」について説明する。EXIFとは「Exchangeable image file format」の略で、1994年に富士フイルムが提唱したデジタルカメラ用の画像メタデータのフォーマットだ。平たくいえば、さまざまなメタ情報を画像の中に埋め込むことができるというものである。記事執筆時点での最新バージョンは、EXIF 2.3である。

　埋め込み可能な情報は多岐に渡っている。「撮影日時」や「撮影機器メーカー名」などの情報はもとより、「シャッタースピード」や「撮影方向」「フラッシュの有無」といった撮影時の細かい情報、また、素早くアプリケーションで表示させるためのサムネイル（160×120画素）も埋め込むことが可能となっている。

意外と簡単に見えるEXIFの情報

　では、いくつかのツールを使って、EXIFの情報を実際に見てみよう。

　そのまま見るだけでは面白くないので、画像サンプルには「DEFCON CTF 2007 Qualifications」の「Forensic 100」で出題されたファイルを用いる（CTFの問題に記された数字はおおよその難易度と点数を示しており、100から500までが用意される）。

図1　DefCon CTF 2007 Qualifications」の「Forensic 100」で出題された画像ファイル。実際のファイルは ここ からダウンロードしてみてください（http://n.pentest.jp/darknight/f100.jpg）

　問題文は以下の通りだ。

What is the name of the city where this image was taken? (and no, the image is NOT photoshoped)

　ツールは以下のどれかを用いるとよいだろう。どのツールも目的の画像ファイルを開くだけで情報を得ることができるという簡単なものなので、個別の解説は割愛させていただく。

　今回は、「Exif Viewer（Chrome用拡張）」を例に紹介する（ちなみに、筆者お気に入りの「RockMelt」でも動作確認が取れている）。

Exif Reader（Windows用アプリケーション）

画面1　Exif Readerのユーザーインターフェイス

【関連リンク】 http://www.rysys.co.jp/exifreader/jp/

Exif Viewer（Firefox用アドオン）

画面2　Exif Viewerのユーザーインターフェイス

【関連リンク】 https://addons.mozilla.org/ja/firefox/addon/exif-viewer/

Exif Viewer（chrome用拡張）

Exif Viewer（Chrome用拡張）のユーザーインターフェイス

【関連リンク】 https://chrome.google.com/extensions/detail/degoicjbkidnmcfidnohffepopnhhpkk?hl=ja

　Exif Viewer（Chrome用拡張）を導入したChromeで、筆者が用意した画像にアクセスして、Exif Viewerのボタン（画面4）をクリックすると、しばらくすれば情報が表示される。さまざまな情報が表示されるが、下の方にスクロールしていくと地図が表示されるはずだ。これは「EXIF」の中にGPS情報が含まれていたためである。

画面4　Chrome上のExif Viewerのボタン

　さて、もともとの問題文は何だっただろうか。もう一度見直してみると

What is the name of the city where this image was taken? (and no, the image is NOT photoshoped)

　つまり「この画像が撮影された都市はどこか」と尋ねている。地図を見れば一目瞭然だが、答えは「Bernardston」だ（図2）。

図2　EXIFに含まれた情報から、回答の場所が分かる

　この問題が示すように、EXIFには位置情報を埋め込むことも可能なのである。

　もし、「画像は公開したいが、EXIFデータは含めたくない」といった場合には、「ExifEraser」や「Free EXIF Eraser」を利用するとよいだろう。