技術約7分で読めます

arXiv投稿270万件の88%にPDFへ出ない隠れ情報、LaTeXソースに残ったパスワードやGPS座標は後から消せない

いけさん目次

TL;DR

影響 LaTeXソース付きでarXivに投稿した著者全員。コメント・画像メタデータ・不要な同梱ファイルはPDFに出なくても公開済みで、取り下げ後も旧版は閲覧可能

規模 270万投稿の88%に固有の隠れ情報。実害級はAPIトークン265個、パスワード171個、GPS座標入り7,326投稿、編集可能なGoogleドキュメント699件

対応 投稿前にALC-NG等でソースをクリーニング。露出済みの鍵は失効、共有リンクは権限変更(公開後のソース削除は事実上不可能)


arXiv投稿270万件の88%にPDFへ出ない隠れ情報が残っていた、というRWTHアーヘン工科大学の調査がIEEE S&P 2026に採録された。
Natureが取り上げ、国内でもITmediaが報じている。
報道の見出しは「約9割で非公開情報が丸見え」の方向だが、論文を読むと大半はコメントやタイムスタンプで、パスワードや秘密鍵のような実害級は数百件のオーダーだった。
あわせて、一度arXivに上げたLaTeXソースは取り下げても旧版が残り続ける。
この仕組みも論文が詳しく扱っている。

arXivはPDFだけでなくLaTeXソースも公開する

arXivは2005年から、TeXで書いた論文はTeXソースでの提出を要求している。
コンパイルの再現性と長期保存が理由で、投稿されたソースはarXiv側でコンパイルされ、PDFと一緒に版付きの恒久レコードとして公開される。
各論文ページからソース一式を誰でもダウンロードできる。
論文によれば、arXiv投稿の約93%がLaTeXで書かれ、90%超の投稿がソース付きで配布されている。

つまり、コメントアウトした没段落も、図に埋まったEXIFメタデータも、ビルドに使っていない同梱ファイルも、PDFに出ないだけで全部公開されている。
GPT-4のテクニカルレポート(2023年)のソースにコメントアウトされた記述が残っていて話題になったことがあるが、あれをarXiv全体で全量調査したのが今回の論文だ。

270万件をどう調べたか

調査したのはRWTHアーヘン工科大学のJan Pennekamp、Johannes Lohmöllerらのチーム。
論文はarXiv:2604.20927として2026年4月に公開され、IEEE S&P 2026(セキュリティ系のトップ会議)に採録されている。
対象は1991年からの2025年12月まで、ソースが公開されている全270万投稿。
110万論文が複数の版を持つため、版履歴まで含めると430万版を処理している。

検出方法は正規表現のパターンマッチではない。
コメントはtree-sitterで抽象構文木を組んで検出し、ビルドに実際に使われたファイルはpdflatexのrecorderオプションで特定した。
著者ら自身がこの数字を「偽陽性ほぼゼロの控えめな下限値」と位置づけている。

隠れ情報は3つの次元に分類されている。

次元該当投稿中身
無関係コンテンツ75%LaTeXコメント。没段落、共著者間のやり取り、TODO
埋め込みメタデータ56%画像のEXIF、作成者名、タイムスタンプ、GPS座標
ダングリングファイル25%PDF生成に使われないのに同梱されたファイル

88%は「3つの次元のいずれかで、その投稿にほぼ固有の隠れ情報を含む」投稿の割合。
LaTeXテンプレート由来で多数の投稿に共通して現れる内容は除外した上での数字だ。
生データでは、不要ファイル1,200万個、メタデータのキー値ペア1.44億件、LaTeXコメント6.44億件を処理している。

実害級はどれくらいあったか

手動検証まで済ませた認証情報は次の通り。

種類個数投稿数
APIトークン265128
パスワード17182
秘密鍵44

270万件の母数に対して、認証情報が確認できたのは数百投稿の規模だった。
ただ、arXivのソースは誰でも一括取得できるため、GitHubの公開リポジトリと同じ「スキャンすれば拾える場所」に置かれている。

位置情報では、画像メタデータにGPS座標を含む投稿が7,326件見つかっている。
うち2,238件は複数の座標を含み、235件は座標同士が50km以内に収まっていた。
無作為抽出した10件のうち9件で、研究施設と住宅街の両方の座標が確認された。
職場と自宅の組が取れるので、論文の著者らは時間・空間の両面から個人を追跡できる可能性を指摘している。

外部リンクでは、Googleドキュメントへのリンクが3,948投稿分見つかり、1,119件が今も閲覧可能、699件は編集まで可能だった。
手動確認で少なくとも200件に機密内容が含まれていた。
中身は査読コメント、カバーレター、リバッタル(査読への反論文書)、改稿ログ、Zoomリンク入りの議事録、学生の課題、さらには株式や発注のリストまで含んでいた。
個人識別情報入りの調査研究の生データにアクセスできるものも18件あった。

コメントには、公開を想定していないやり取りもそのまま残っていた。
共著者間の品質批判ややり取りを含む会話的コメントは72%の投稿に存在していた。
引用キーをfuck1〜fuck7のような名前にしている投稿が101件あり、これはhyperrefパッケージ経由でPDFのメタデータに露出してしまう。
AI査読を狙った隠しプロンプトインジェクション(AIへの指示をソースに注入する細工)も手動確認で9件見つかった。
墨消し系のLaTeXパッケージを使っていた投稿も269件あり、こちらは隠す意図はあったのに消し方が不十分だったケースだ。

分野別ではコンピュータサイエンス、それもセキュリティ系トップ会議に紐づく論文ほど隠れ情報が有意に多かった。
dblpと照合できたセキュリティ論文1,974件のうち、完全にクリーンだったのは70件だけだった。

取り下げても旧版が残る

arXivでは公開後の完全削除ができない。
取り下げ(withdraw)を申請しても、取り下げ通知付きの新版が追加されるだけで、旧版のPDFもソースもそのままアクセスできる。
運営への個別依頼による強制削除は、論文によれば文書化されていない例外的な運用として存在する程度だ。

flowchart TD
    A["著者がLaTeXソース一式を投稿"] --> B["arXivがコンパイル"]
    B --> C["PDFを公開"]
    B --> D["ソースも版付きで公開"]
    D --> E["archive.orgのミラー"]
    D --> F["arXiv公式のS3バルクデータ"]
    D --> G["第三者のダウンロード"]
    H["著者が取り下げを申請"] --> I["取り下げ通知の新版が追加"]
    I --> J["旧版のPDFもソースも残る"]

さらにソースはarchive.orgのミラーやarXiv公式のS3バルクデータとして一括配布されているため、仮にarXiv上から消えても第三者の手元のコピーは残る。
今回の調査自体、このバルクデータを使って行われている。
2025年4月導入の新しい投稿システムはルート直下の不要ファイル削除を促すようになったが、サブディレクトリは対象外で、論文の観測では投稿の傾向に目立った変化はなかった。

arXivと著者の温度差

研究チームは責任ある開示も行っている。
arXivの「ソース非公開」機能に、リンクを隠すだけの実装と実際にアクセスを拒否する実装が混在する不整合を見つけて2025年10月に報告し、これはバグとして即修正された。
一方、認証情報が露出している著者への通知をarXiv経由で行おうとしたところ、arXivは著者の身元保護を理由にメールアドレスの提供を断り、代理通知の依頼には返答がなかった。
論文はこの対応を、ソースのクリーニングは著者の責任というarXivの姿勢の表れと位置づけている。

チームは自力でメールアドレスを集め、2025年11月に1,141論文・2,660人の著者へ直接通知した。
それでも2026年3月時点でクリーニングを試みたと確認できたのは18投稿。
新しい版を上げた著者のうち7人は、旧版が残ることに気づいていなかった。
通知後のアンケート(回答112件)では、arXivがソースを公開すること自体を知っていた著者は41%しかいない。
クリーニングツールを知っていたのは28%、常用しているのは11%だった。

チームは3つの次元すべてに囮のURLを仕込んだハニーポット投稿を2025年5月にarXivへ上げている。
PDF内のURLへのアクセスはあった一方、ソース内にしかないURLへのアクセスは記録されなかった。
少なくとも現時点で、ソースを狙った大規模スキャンが回っている兆候はない。

投稿前にできること

既存のクリーニングツールは論文内でまとめて評価されている。
arXiv公認とされる2005年のPerlワンライナーは行コメントしか消せない。
Googleのarxiv-latex-cleanerは91%の投稿で有効だった一方、19%でPDFを壊し、メタデータには対応しない。
しかも実際に使われた痕跡は270万件中538投稿、割合にして0.10%しかなかった。

チームが公開したALC-NGは、pdflatexのrecorderで不要ファイルを検出し、exiftoolでメタデータを除去、tree-sitterの構文木でコメントを落とし、最後に元PDFとのピクセル比較で出力が壊れていないことを検証する。
評価では98%の投稿に有効で、87%はピクセル単位で元と一致するPDFが出た。
GitHubで公開されている。

すでに投稿済みの分については、ソースを消す手段がない。
露出したAPIキーやトークンは失効させ、Googleドキュメント等の共有リンクは権限を変更するしか現状は方法がない。

参考