https://www.bravotouring.com/~yano/archives/2013/12/26/ Recent content in 2013/12/26 on Yano's digital garage Hugo en-us Thu, 26 Dec 2013 23:03:41 +0900 https://www.bravotouring.com/~yano/diary/it/20131226baidutype.htm Thu, 26 Dec 2013 23:03:41 +0900 https://www.bravotouring.com/~yano/diary/it/20131226baidutype.htm <p>フリーの日本語入力(IME,かな漢字変換)ソフト<a href="http://ime.baidu.jp/type/">Baidu IME</a>で<a href="http://internet.watch.impress.co.jp/docs/news/20131226_629165.html">無断で変換文字列をサーバーに送信</a>している問題がある事を<a href="http://www.nisc.go.jp/">内閣官房情報セキュリティセンター(NICS)</a>が発表。</p> <table align="right" class="Panorama"> <tr> <td><img alt="Baidu IME" src="https://www.bravotouring.com/~yano/images/2013/20131226baidutype.jpg"/></td> </tr> <tr> <td class="PhotoMemo"><a href="http://ime.baidu.jp/type/">Baidu IME - 日本語入力 -</a>より</td> </tr> </table> <p>「フレーズ収集」や「クラウド変換」は<a href="http://www.google.co.jp/ime/">Google 日本語入力</a>や<a href="http://www.atok.com/">ATOK</a>などでも似たような機能が実装されているトレンドで、特に高度な辞書＆機能の実装が難しい携帯端末においても有効な機能だが、<span class="Warning">「ユーザーの許諾を得ずにログデータを送信している」</span>事と<span class="Warning">「クラウド入力Offの場合でも入力文字列が送信されている」</span>事という２つの問題として指摘されている。</p> <p>指摘を受けた<a href="http://www.baidu.jp/">バイドゥ</a>は<a href="http://www.baidu.jp/info/press/jp/131226.html">一部の報道に対する弊社の見解</a>において<blockquote cite="http://www.baidu.jp/info/press/jp/131226.html">SimejiについてログセッションがOFFの場合でも一部のログデータが送信されていた</blockquote>と釈明しているが、Baidu IMEについては「バイドゥ サービス利用規約」の中の「プライバシーポリシー」に明記して<span class="Topics">ユーザの許諾を得ている</span>という見解で、<blockquote cite="http://www.baidu.jp/info/press/jp/131226.html">Baidu IMEの事前許諾の設定画面が見つけにくい点については、本日より改善しております。</blockquote>との事。</p> <p>詳細は<a href="https://www.bravotouring.com/~yano/diary/it/20130710security.htm">『ほこ×たて』にも登場</a>した<a href="http://www.netagent.co.jp/">ネットエージェント</a>の<a href="http://www.netagent-blog.jp/archives/51969764.html">NetAgent Official Blog：入力情報を送信するＩＭＥ</a>で解説されている。HTTPS通信による暗号化は実施されているという事からどうやって確認したのかと思ったら、<a href="http://www.netagent.co.jp/product/ssl/">CounterSSL Proxy</a>でHTTPS通信の暗号を復号したらしい。なるほど、HTTPS Proxyという手があったか。</p> <p>「全角入力の情報だけが送信され、パスワードなど半角入力のみの場合は送信されないのでクレジット会員番号や電話番号も全角に変換しなければ送られない」という事だが、<a href="http://www.atmarkit.co.jp/ait/articles/1312/26/news104.html">＠ITの記事</a>に書かれているように端末が識別できる可能性があるSIDやUUIDまで送信されているリスクもあり、今月17日の<a href="https://sect.iij.ad.jp/d/2013/12/104971.html">IIJ Security Diaryでも警告</a>されているようにこれは「Baidu IME」に限った問題と言い切れない可能性があり、余波は更に拡がるかもしれない。</p> <p>ちなみに、<a href="http://www.google.co.jp/ime/">Google 日本語入力</a>や<a href="http://www.atok.com/">ATOK</a>では<a href="http://www.itmedia.co.jp/news/articles/1312/26/news108.html">Androidでのインストール時に“警告”表示で注意喚起されるが「入力内容の外部送信はしていない」</a>という事だ。</p> <p>取り敢えず、フリーソフトウェアの<a href="http://ja.wikipedia.org/wiki/Kingsoft_Office">Kingsoft Office</a>や<a href="http://ja.wikipedia.org/wiki/GOM_Player">GOM Player</a>などに「Baidu IME」が同梱されているらしいので、心当りのある人はご注意を。</p> <p class="Reference">【参照】 <br/>●内閣官房情報セキュリティセンター <a href="http://www.nisc.go.jp/">http://www.nisc.go.jp/</a> <br/>●IIJにおけるセキュリティ活動 <a href="https://sect.iij.ad.jp/">https://sect.iij.ad.jp/</a> <br/>┗<a href="https://sect.iij.ad.jp/d/2013/12/104971.html">IMEのオンライン機能利用における注意について</a> 2013年12月17日 <br/>●NetAgent Official Blog <a href="http://www.netagent-blog.jp/">http://www.netagent-blog.jp/</a> <br/>┗<a href="http://www.netagent-blog.jp/archives/51969764.html">入力情報を送信するＩＭＥ</a> 2013年12月26日 <br/>●Baidu（バイドゥ） <a href="http://www.baidu.jp/">http://www.baidu.jp/</a> <br/>┗<a href="http://www.baidu.jp/info/press/jp/131226.html">一部の報道に対する弊社の見解</a> 2013年12月26日 <br/>●INTERNET Watch <a href="http://internet.watch.impress.co.jp/">http://internet.watch.impress.co.jp/</a> <br/>┣<a href="http://internet.watch.impress.co.jp/docs/news/20131226_629165.html">「Baidu IME」「Simeji」が変換文字列を無断で送信、NISCが省庁に注意喚起</a> 2013年12月26日 <br/>┗<a href="http://internet.watch.impress.co.jp/docs/news/20131226_629229.html">バイドゥ、IMEの情報送信について見解、「Simeji」には実装バグがあったと説明</a> 2013年12月26日 <br/>●マイナビニュース <a href="http://news.mynavi.jp/">http://news.mynavi.jp/</a> <br/>┣<a href="http://news.mynavi.jp/news/2013/12/26/168/">ネットエージェント、Baidu IMEやSimejiの入力情報無断送信問題を解説</a> 2013年12月26日 <br/>┗<a href="http://news.mynavi.jp/news/2013/12/26/257/">バイドゥ、Android向け日本語IME「Simeji」のログ送信認める - 理由はバグ</a> 2013年12月26日 <br/>●＠IT <a href="http://www.atmarkit.co.jp/">http://www.atmarkit.co.jp/</a> <br/>┣<a href="http://www.atmarkit.co.jp/ait/articles/1312/19/news025.html">「外部に送信されること」を認識した上で適切な利用を：入力内容がそのまま外部に？ オンラインIMEの利用にIIJ-SECTが注意喚起</a> 2013年12月19日 <br/>┗<a href="http://www.atmarkit.co.jp/ait/articles/1312/26/news104.html">「バグ」も一因と説明：まとめ：「Baidu IME」と「Simeji」で入力データを外部送信</a> 2013年12月26日 <br/>●ITmedia ニュース <a href="http://www.itmedia.co.jp/news/">http://www.itmedia.co.jp/news/</a> <br/>┣<a href="http://www.itmedia.co.jp/news/articles/1312/26/news055.html">バイドゥ、「Baidu IME」「Simeji」でユーザーの入力内容を無断送信　ネットエージェントが解析</a> 2013年12月26日 <br/>┗<a href="http://www.itmedia.co.jp/news/articles/1312/26/news108.html">AndroidはIMEインストール時に“警告”表示で注意喚起　Google日本語入力は「入力情報の送信はしていない」</a> 2013年12月26日 <br/>●Baidu IME - 日本語入力 - <a href="http://ime.baidu.jp/type/">http://ime.baidu.jp/type/</a> <br/>●GOM Player【ゴムプレーヤー】 <a href="http://www.gomplayer.jp/">http://www.gomplayer.jp/</a> <br/>┗<a href="http://www.gomplayer.jp/player/bbs/list.html">サポート BBS</a> >> <a href="http://www.gomplayer.jp/player/bbs/view.html?intSeq=2207">baidu IMEの抱き合わせ配布が悪印象</a> 2012年2月8日 <br/>●Wikipedia <a href="http://ja.wikipedia.org/wiki/">http://ja.wikipedia.org/wiki/</a> <br/>┣<a href="http://ja.wikipedia.org/wiki/%E7%99%BE%E5%BA%A6">百度</a> <br/>┣<a href="http://ja.wikipedia.org/wiki/%E3%83%90%E3%82%A4%E3%83%89%E3%82%A5_(%E4%BC%81%E6%A5%AD)">バイドゥ (企業)</a> <br/>┣<a href="http://ja.wikipedia.org/wiki/Kingsoft_Office">Kingsoft Office</a> <br/>┣<a href="http://ja.wikipedia.org/wiki/%E9%87%91%E5%B1%B1%E8%BB%9F%E4%BB%B6">金山軟件</a> <br/>┗<a href="http://ja.wikipedia.org/wiki/GOM_Player">GOM Player</a> </p>