Windows 秘話: 見たという事実は取り消せない
ユーザーがカメラを取り出して、モニターの写真を撮ることは、どうしても阻止できない場合があります。
Raymond Chen
最近、Microsoft Office Information Rights Management (IRM) のセキュリティ上の脆弱性を見つけた顧客から、ある報告を受けました。「社外秘の電子メールのスクリーンショットを簡単な手順でキャプチャできます。画面に電子メール メッセージを表示し、画面の取り込みアプリケーションを使用して、スクリーンショットをキャプチャするという手順です。"IRM で保護された内容が開いている場合、スクリーンショット機能は使用できません。画面の領域を取り込む前に、IRM で保護されているドキュメントまたはメッセージを閉じてください" というエラー メッセージが表示されると思っていましたが、表示されませんでした」という報告です。
この問題は、実際のところ、無視できないレベルの議論を引き起こすことになったので、手遅れになる前に、混乱を抑える必要があると感じました。画面の取り込みアプリケーションでは、単純に (GetDC(NULL) 関数を呼び出して) 画面にアクセスし、BitBlt 関数を使用して、コンテンツをビットマップ形式でコピーします。
この動作については、数年前「Windows 秘話: 消えるカーソルの話」というコラムで説明しました。私が正直者でなければ、以前のコラムは今回のコラムのお膳立てとなるように意識して執筆したものだと主張するでしょうが、残念ながら、そうではありません。
IRM で保護されているドキュメントも、画面上に表示されているピクセルの集合にすぎません。ですが、グラフィック システムでは、このピクセルが特別なもので、読み取られないようにする必要があることを判別できるわけではありません。
グラフィック システムによって IRM の保護をピクセル レベルでコンテンツに適用したとしても、この保護は回避することが可能です。必要な操作は、リモート デスクトップ接続 (RDC) を使用してコンピューターに接続し、接続元のクライアントで PrintScreen キーを押すだけです。RDC では、グラフィック システムで "保護" されているピクセルと、保護されていないピクセルを判別しません。
RDC に、サーバー上で IRM で保護されているピクセルを特定する機能があったとしても、この保護は回避できます。必要な操作は、リモート デスクトップ クライアントで、ProtectPixels 関数を無効にするだけです。または、ProtectedPixels のフラグを無視して、すべてのピクセルを保護されていないものとして処理する独自のクライアントを作成することもできます。
RDC サーバーで、クライアントが ProtectedPixels のフラグの設定に従っていないことを検出できたり、クライアントが危険にさらされ、ピクセルを保護できていないことを検出した場合でも、保護を回避することはできます。必要な操作は、Web サイトを通じてドキュメントを表示し、PrintScreen キーを押して、Web ページをキャプチャするだけです (Web サイトを通じてドキュメントを表示する方法としては、ドキュメントを Exchange メールボックスに配置して、Outlook Web Access を使用することができます)。Web ブラウザーでは、当然のことながら、IRM で保護されているピクセルと保護されていないピクセルを正確に判別できません。
Web ブラウザーで、IRM で保護されているピクセルを判別し、そのピクセルに対して ProtectPixels 関数を呼び出せたとしても、デジタル カメラを取り出して、モニターの写真を撮ることは可能です。何枚か写真を撮って、イメージ処理アプリケーションを使用して不鮮明な部分を修正したり、付属の修正機能を使用したりできます。
デジタル カメラを使用できないようにする、モニターで特殊な光の周波数を使用できたとしても、この保護を回避することは可能です。必要な作業は、モニターの前に座って、紙と鉛筆を使用して単語を写し取るだけです。また、ドキュメントの内容を (少なくとも概要だけでも) 暗記して、友人に話すこともできます。
Microsoft Office の IRM 機能は、コンテンツを表示したときに、受信者が複写できないことを保証するものではありません。これは複製を抑止する機能であって、セキュリティ境界ではありません。IRM の目的は、 (電子メール メッセージをプロジェクト チームのメンバー以外に送信するなど) ユーザーがドキュメントの情報ポリシーに誤って違反する可能性を抑えることです。
詳細については、office.microsoft.com を参照してください。このページでは、IRM を使用しても "あらゆる脅威、人物、環境から情報を保護できるわけではありません" と説明されています。さらに、"高度な技術で武装した高い報酬を取る本格的な産業スパイに対しては、一時的な抑止にしかなりません" とも説明されています。実際のところ、この Web ページでは、画面の取り込みアプリケーションをブロックできないことが明言されています。
つまり、顧客の報告に対する回答としては、「その手順を使用して、IRM で保護されたコンテンツをコピーすることは可能です。ユーザーが電子メール メッセージの内容を記憶し、権限のないユーザーに伝えることを技術的に防止する方法はありません。機密情報を共有することについて信頼できない相手とは、機密情報を共有しないようにしてください」となります。
Raymond Chen は自分の Web サイト「The Old New Thing」および同じタイトルの書籍 (Addison-Wesley、2007 年) で、Windows の歴史、Win32 プログラミング、およびパワーポイント カラオケについて扱っています。