2025年3月、FBIデンバー支局が警告を発表。犯罪者が無料のオンラインファイル変換サイトを使い、マルウェアを配布している。docu-flex.comやpdfixers.comなど、見た目は完全に正規のサイトで、変換機能も動作していた。しかし裏では情報窃取マルウェアをインストールしていた。
FBI特別捜査官はこの手口を「全米で蔓延」と表現。デンバー近郊の公的機関は、あるサイトを利用してから数週間でランサムウェアの被害を受けた。CloudSEKは、月間280万アクセスのpdfcandy.comを模倣した攻撃者を発見。ブラウザの認証情報、暗号資産ウォレット、個人データを窃取するマルウェアへユーザーを誘導していた。
セキュリティ研究者の結論は明快だった。無料オンライン変換ツールは使うな。
「安全」なツールも問題がある
大手ツール(iLovePDF、SmallPDF、PDF24、Sejda、PDF2Go)も、ファイルをサーバーにアップロードし、広告トラッキングを実行している。あなたの確定申告書、医療記録、クライアントとの契約書。他社のインフラで処理され、他社のアナリティクスで追跡される。
プライバシーポリシーの内容は「数時間後に削除」から「品質保証のため従業員がアクセスする場合がある」まで様々。ほとんどの人はその部分を読まない。
だから、違うものを作った
当社は無料のドキュメントツールをリリースした。Word to PDF、Merge PDF、Markdown to Word。すべてブラウザ内で完結する。ファイルはデバイスの外に出ない。処理するサーバーは存在しない。当社がファイルを見ることは物理的に不可能。
具体的にはこういうことだ。
アップロードなし。 ブラウザ自体の処理能力を使う。JavaScriptがファイルを読み込み、変換し、結果を出力する。ネットワークリクエストは一切発生しない。データがタブの外に出ることはない。
アナリティクスなし。Cookieなし。トラッキングなし。 Google Analyticsは入れていない。Cookieがないからバナーもない。登録するものがないからメールゲートもサインアップフローもない。
厳格なContent Security Policy。 すべてのツールページにCSPを設定し、外部へのネットワークリクエストをブロック。fetch、XHR、WebSocket、フォーム送信、画像ビーコン、iframeすべて遮断。セキュリティ研究者がページソースを見れば、10秒で確認できる。
PDFライブラリすら使っていない。 WordやMarkdownをPDFに変換する際、ブラウザ内蔵の印刷エンジンがPDFを生成する。当社はドキュメントの見た目を整えるだけ。出力はテキスト選択可能で、フォントも適切、ネイティブ品質のレンダリング。ぼやけたスクリーンショットをPDFと称するようなことはしない。
なぜ無料で提供するのか
当社はSurmado。エージェンシーと中小企業向けのAIマーケティングインテリジェンスを構築している。プロダクトのScoutは、競合分析、財務モデリング、ブランドポジショニングなど、機密性の高いビジネスデータを日々処理している。顧客はそのデータを当社に託している。
プライバシーを確実に守る無料ツールを作ることは、慈善事業ではない。当社がすべてのコードに適用している原則そのものだ。人のデータを扱うなら、敬意を持つべき。
このツールは、1円をいただく前にその姿勢を示すもの。
ぜひ使ってほしい
- Word to PDF Converter: .docxファイルと画像をPDFに変換
- Merge PDF: 複数のPDFを1つに結合、ドラッグで並べ替え
- Markdown to Word: MarkdownをクリーンなWordドキュメントに変換
当社の考え方に共感いただけたら、Surmadoが何を作っているかをぜひご覧ください。