世界を動かす技術を、日本語で。

スノーデンのPDFからメタデータバージョン分析を通じて抽出された新情報

2026年1月10日原文(libroot.org)

概要

  • Snowden文書 公開時、米国内諜報施設の詳細部分が意図的に削除
  • PDFメタデータ 解析で、削除前のバージョンに隠された情報を発見
  • 削除されたのは 米国内NRO施設 の運用名やカバーネーム構造
  • 公開されたのは 海外施設 (Menwith Hill、Pine Gap)の詳細のみ
  • 次回は PDFメタデータの技術的解析 と失敗した編集事例を解説予定

米国内NROミッション・グラウンド・ステーション情報削除の実態

  • 2016年、2017年に The Intercept および Australian Broadcasting Corporation が公開したPDF文書のメタデータを解析
  • 米国内施設に関する詳細な説明が、公開前のバージョンには存在し、公開版からは完全に削除
  • 単なる黒塗りではなく、 テキスト自体が削除 され、PDFのバージョン履歴にのみ痕跡が残存
  • 削除前バージョンには、以下の米国内施設情報が記載
    • Potomac Mission Ground Station (PMGS) (ワシントンD.C.、カバーネーム:Classic Wizard Reporting and Testing Center, CWRTC)
    • Consolidated Denver Mission Ground Station (CDMGS) (デンバー、カバーネーム:Aerospace Data Facility, ADF)

削除された具体的内容

  • PMGS(CWRTC)

    • 位置:Naval Research Laboratory(ワシントンD.C.)
    • 公的説明:海軍の通信・報告システムのソフトウェア開発・運用支援
    • 実際の機能:NROの衛星諜報ネットワークのミッショングラウンドステーション
    • 「カバーストーリー自体が秘密(S//TK)」という多層的分類体系
    • カバーネーム「CWRTC」は非機密、運用名「PMGS」はS//TK(秘密)
  • CDMGS(ADF)

    • 位置:Buckley Space Force Base(コロラド州オーロラ)
    • 公的説明:Aerospace Data Facility-Colorado(ADF-C)として公開
    • 実際の機能:NROの偵察衛星の指揮・管制
    • 「Aerospace Data Facility」はカバーネームであり、実運用名「CDMGS」は非公開

分類表の構造とカバーネーム運用

  • Pine Gapガイドの分類表で、各施設の運用名・カバーネーム・関連機関の分類を可視化
    • 例:CDMGS(本名)+ADF(カバー名)+FSD(Field Station Denver, カバー名)
    • 例:PMGS(本名)+MSF(カバー名)+CWRTC(カバー名)
  • 米国内施設はカバーネームが二重(例:ADF+FSD)、海外施設は一重
  • 米国内施設の運用名・実態はS//TK(秘密)、カバーネームや一部機関名は非機密やFOUO(内部限定)
  • 議会監督や国内法規制、複数の説明責任への配慮と推察される多層的なカバーネーム戦略

編集過程の証拠と公開判断

  • PDFメタデータから、編集・削除のタイムスタンプや使用ソフト(Nitro Pro 8)を特定
  • 2017年Pine Gapガイドでは、公開3週間前に2分間でバージョン1(CDMGS記載)→バージョン2(CDMGS削除)へ編集
  • The InterceptABC が同一ファイルを共有し、編集は一度のみ実施
  • 2016年Menwith Hillガイドも、米国内施設部分のみ徹底削除
  • 編集方針や削除理由について、調査報道担当記者Ryan Gallagher氏に問い合わせたが、回答なし

今後の技術解析予告

  • 次回は PDFメタデータ から可視化される編集・削除プロセスの技術的詳細を解説

  • NSA職員名、スクリーンショット、監視データなどの編集履歴や、失敗した編集(黒塗りでもコピペ可能な例)も紹介予定

  • pdfresurrect等のツールでバージョン抽出が可能

    • Menwith satellite classification guide(バージョン1・2)
    • NRO SIGINT Guide for Pine Gap(バージョン1・2)

まとめ

  • Snowden文書の公開版 は、米国内NRO施設の実態を意図的に隠蔽
  • PDFメタデータ解析で、 削除過程と隠された情報 の存在が初めて明らかに
  • 米国内施設の運用名・カバーネームの多層管理が判明し、 情報公開と機密保持のバランス が浮き彫り
  • 今後は 技術的側面 と編集失敗事例の解説へ続く予定

Hackerたちの意見

誰かこれがどういうことか教えてくれない?PDFって完全な文書のバージョン履歴を保存してるの?メタデータに差分を保存してるの?文書が編集されるたびにこれが起こるの?

PDFはオブジェクトのテーブルと、そのオブジェクトへの参照のツリーで構成されてるんだ。多分、以前のバージョンは参照なしのオブジェクトとして表現されてたんじゃないかな。

ページの下にpdfresurrectパッケージへのリンクがあって、その説明には「PDFフォーマットは、文書の改訂版に以前の変更を保持することを可能にし、文書の改訂履歴を維持します。このツールは、すべての以前の改訂を抽出し、改訂間の変更の要約も生成します。」って書いてあるよ。

PDF文書内のオブジェクトを置き換えることができるよ。PDFは主に異なるタイプのオブジェクトの集まりだから、リーダーはそれに対して何をすればいいか分かるんだ。各オブジェクトには番号付きのIDがあるよ。PDFを解凍してテキストエディタで読めるようにするにはmutoolをおすすめする:mutool clean -d in.pdf out.pdf 下を見ると、(1 0 obj)が(2 0 R)というページ(2 0 obj)を参照しているPagesリストが見えるよ。1 0 obj > endobj 2 0 obj > endobj PDFをそのまま編集する代わりに、新しい「世代」のオブジェクトを追加してこれらのオブジェクトを上書きすることができるんだ。ここで0が1に増えてるのに気づいてね。これにより、元のPDFをそのまま残しながら編集ができるよ。1 1 obj > endobj PDFの中には本当に何でも入れられるし、孤立してることもあるから、PDFリーダーがそれを拾わないこともあるよ。オブジェクトが参照される必要があるっていうことはないし(あ、PDFの最後に「トレーラー」があって、ルートノードの場所が書いてあるから、どこから始めればいいか分かるんだ)。

https://hackerfactor.com/blog/index.php?/archives/1085-A-Typ...

PDF文書を調べるためのツールがもっと必要だよね。今はqpdfを使ってQDFをエクスポートしてるけど、GUIがあればいいのに… [1] https://qpdf.readthedocs.io/en/stable/qdf.html

そのツール、どんな場面で使うの? あのページは主にPDFをその形式で編集することに関するもので、検査にはあまり関係ないみたいだね。エプスタインのPDFの件があったから、色々試してみたくなるよね。

PDF文書のリバースエンジニアリングページを見てみて(https://docs.remnux.org/discover-the-tools/analyze+documents...)。悪意のあるPDFを調べたり、非悪意の文書を理解するために使えるツールがたくさんあるよ。

% pdfresurrect -w epsteinfiles.pdf

誰かこれ試した?

そのリークの中に偽の文書が挿入されていたという主張を読んだことがあるけど、それは偽情報を広めることを目的としていたらしいよ。

特に「偽情報」についての主張をしているなら、ソースを含めた方がいいんじゃない? :-)

Hacker Newsで議論の続きを見る