Google・Microsoft・Adobeなどの「トリミングツール」で切り取られた画像は簡単に元のデータを復元できるという指摘

画像や写真の見せたい部分だけを強調したり、見せたくない部分を切り取ったりするために、「トリミング」という画像編集を使ったことがある人は多いはず。トリミングはほとんどの画像編集ソフトに備わっていますが、GoogleやMicrosoft、Adobeの画像編集ソフトのトリミングツールを用いて切り抜かれた画像は、トリミングを解除して元の画像を見ることができるという欠陥があると指摘されています。

Whistleblowers Take Note: Don’t Trust Cropping Tools
https://theintercept.com/2023/02/14/whistleblower-image-crop-document/

トリミングツールを備えた画像編集ソフトの取扱説明書には、自身でトリミングを行った後に、トリミングする前に戻すことができると記載されている場合があります。プライバシー問題を専門とするセキュリティー研究者のニキータ・マズロフ氏は「しかし、このような説明書には、画像の編集者ではなくその画像を閲覧する人でも、同じ操作で画像をトリミング前に戻すことができることに、言及していない場合があります」と指摘しています。

実際にGoogleのヘルプページでは、Google DocsやGoogle Slidesでトリミングを行った画像を元に戻す「Reset an image」の手順が示されていますが、このページでは、「他の人が作成したGoogleドキュメントを閲覧する読者が、画像の編集を元に戻したい場合にも、画像をリセットできる」ということは明記されていません。

マズロフ氏はGoogleドキュメントで編集前の画像を見ることができる例を示しています。マズロフ氏が用意したGoogleドキュメントにアクセスすると、以下の画像のような文書を見ることができますが、権限が「閲覧のみ」になっているため、編集することはできません。ただし、赤枠で囲われた部分は画像ファイルのため、右クリックして「コピー」することが可能。

その後、編集可能なドキュメントを作成して、そこに画像をペースト。

自身が編集権限を持つドキュメントになったため、右クリックすると画像の編集メニューが表示されます。その中から「画像をリセット」を選択。

すると、以下の画像のように、ネコの写真と追加の文章が隠れていたのが分かりました。このように、Googleドキュメントの「画像を切り抜く」機能でトリミングをおこなった場合、元の画像のデータを保持しているため、編集権限を与えていない読者でも元の画像を見ることができます。また、ブラウザに読み込ませることでトリミングされていない画像をデフォルトで公開するスクリプトも、一部のユーザーに用いられているとマズロフ氏は指摘しています。

Microsoft Officeの場合は、公式のドキュメントに従って画像のトリミングを行った際に、完全な画像が保持される可能性があることを注記しており、ドキュメントにはトリミングした元画像を削除するための手順も記載されています。Officeアプリに貼り付けられた画像の元バージョンは、ただトリミングされる前の画像というだけではなく、写真が撮影されたGPS座標や日時などのメタデータも含まれている場合があるため、より注意が必要です。

その他、Adobe Acrobatには画像をトリミングするだけではなく、PDFのページをトリミングできる「ページクロッピングツール」があります。Adobe Acrobatの説明書には「情報は単に隠されるだけで、破棄されるわけではありません」と表記されており、実際に手動で簡単な操作をするだけで、PDFファイル内の切り取られた領域を復元することが可能となっています。

マズロフ氏は「重要なことは、プロフェッショナルレベルのアプリケーションや、その他の画像・文書編集ソフトウェアやサービスのトリミング機能を、決して信用しないということです。トリミングがオリジナルを維持して編集する非破壊式であること、そしてトリミング後に元に戻すことができるという前提を認識することが、常に賢明です。機密性の高い資料をオンラインツールで編集するべきではなく、特にデリケートな情報を扱う場合は、アナログなハサミを使うというのが最も安全かもしれません」と結論付けています。