フリーの日本語入力(IME,かな漢字変換)ソフトBaidu IMEで無断で変換文字列をサーバーに送信している問題がある事を内閣官房情報セキュリティセンター(NICS)が発表。
Baidu IME - 日本語入力 -より |
「フレーズ収集」や「クラウド変換」はGoogle 日本語入力やATOKなどでも似たような機能が実装されているトレンドで、特に高度な辞書&機能の実装が難しい携帯端末においても有効な機能だが、「ユーザーの許諾を得ずにログデータを送信している」事と「クラウド入力Offの場合でも入力文字列が送信されている」事という2つの問題として指摘されている。
指摘を受けたバイドゥは一部の報道に対する弊社の見解において
SimejiについてログセッションがOFFの場合でも一部のログデータが送信されていたと釈明しているが、Baidu IMEについては「バイドゥ サービス利用規約」の中の「プライバシーポリシー」に明記してユーザの許諾を得ているという見解で、
Baidu IMEの事前許諾の設定画面が見つけにくい点については、本日より改善しております。との事。
詳細は『ほこ×たて』にも登場したネットエージェントのNetAgent Official Blog:入力情報を送信するIMEで解説されている。HTTPS通信による暗号化は実施されているという事からどうやって確認したのかと思ったら、CounterSSL ProxyでHTTPS通信の暗号を復号したらしい。なるほど、HTTPS Proxyという手があったか。
「全角入力の情報だけが送信され、パスワードなど半角入力のみの場合は送信されないのでクレジット会員番号や電話番号も全角に変換しなければ送られない」という事だが、@ITの記事に書かれているように端末が識別できる可能性があるSIDやUUIDまで送信されているリスクもあり、今月17日のIIJ Security Diaryでも警告されているようにこれは「Baidu IME」に限った問題と言い切れない可能性があり、余波は更に拡がるかもしれない。
ちなみに、Google 日本語入力やATOKではAndroidでのインストール時に“警告”表示で注意喚起されるが「入力内容の外部送信はしていない」という事だ。
取り敢えず、フリーソフトウェアのKingsoft OfficeやGOM Playerなどに「Baidu IME」が同梱されているらしいので、心当りのある人はご注意を。
【参照】
●内閣官房情報セキュリティセンター http://www.nisc.go.jp/
●IIJにおけるセキュリティ活動 https://sect.iij.ad.jp/
┗IMEのオンライン機能利用における注意について 2013年12月17日
●NetAgent Official Blog http://www.netagent-blog.jp/
┗入力情報を送信するIME 2013年12月26日
●Baidu(バイドゥ) http://www.baidu.jp/
┗一部の報道に対する弊社の見解 2013年12月26日
●INTERNET Watch http://internet.watch.impress.co.jp/
┣「Baidu IME」「Simeji」が変換文字列を無断で送信、NISCが省庁に注意喚起 2013年12月26日
┗バイドゥ、IMEの情報送信について見解、「Simeji」には実装バグがあったと説明 2013年12月26日
●マイナビニュース http://news.mynavi.jp/
┣ネットエージェント、Baidu IMEやSimejiの入力情報無断送信問題を解説 2013年12月26日
┗バイドゥ、Android向け日本語IME「Simeji」のログ送信認める - 理由はバグ 2013年12月26日
●@IT http://www.atmarkit.co.jp/
┣「外部に送信されること」を認識した上で適切な利用を:入力内容がそのまま外部に? オンラインIMEの利用にIIJ-SECTが注意喚起 2013年12月19日
┗「バグ」も一因と説明:まとめ:「Baidu IME」と「Simeji」で入力データを外部送信 2013年12月26日
●ITmedia ニュース http://www.itmedia.co.jp/news/
┣バイドゥ、「Baidu IME」「Simeji」でユーザーの入力内容を無断送信 ネットエージェントが解析 2013年12月26日
┗AndroidはIMEインストール時に“警告”表示で注意喚起 Google日本語入力は「入力情報の送信はしていない」 2013年12月26日
●Baidu IME - 日本語入力 - http://ime.baidu.jp/type/
●GOM Player【ゴムプレーヤー】 http://www.gomplayer.jp/
┗サポート BBS >> baidu IMEの抱き合わせ配布が悪印象 2012年2月8日
●Wikipedia http://ja.wikipedia.org/wiki/
┣百度
┣バイドゥ (企業)
┣Kingsoft Office
┣金山軟件
┗GOM Player