Baidu IMEの件

IT

フリーの日本語入力(IME,かな漢字変換)ソフトBaidu IME無断で変換文字列をサーバーに送信している問題がある事を内閣官房情報セキュリティセンター(NICS)が発表。

Baidu IME

Baidu IME - 日本語入力 -より

「フレーズ収集」や「クラウド変換」はGoogle 日本語入力ATOKなどでも似たような機能が実装されているトレンドで、特に高度な辞書&機能の実装が難しい携帯端末においても有効な機能だが、**「ユーザーの許諾を得ずにログデータを送信している」事と「クラウド入力Offの場合でも入力文字列が送信されている」**事という2つの問題として指摘されている。

指摘を受けたバイドゥ一部の報道に対する弊社の見解において

SimejiについてログセッションがOFFの場合でも一部のログデータが送信されていた

と釈明しているが、Baidu IMEについては「バイドゥ サービス利用規約」の中の「プライバシーポリシー」に明記してユーザの許諾を得ているという見解で、

Baidu IMEの事前許諾の設定画面が見つけにくい点については、本日より改善しております。

との事。

詳細は『ほこ×たて』にも登場したネットエージェントNetAgent Official Blog:入力情報を送信するIMEで解説されている。HTTPS通信による暗号化は実施されているという事からどうやって確認したのかと思ったら、CounterSSL ProxyでHTTPS通信の暗号を復号したらしい。なるほど、HTTPS Proxyという手があったか。

「全角入力の情報だけが送信され、パスワードなど半角入力のみの場合は送信されないのでクレジット会員番号や電話番号も全角に変換しなければ送られない」という事だが、@ITの記事に書かれているように端末が識別できる可能性があるSIDやUUIDまで送信されているリスクもあり、今月17日のIIJ Security Diaryでも警告されているようにこれは「Baidu IME」に限った問題と言い切れない可能性があり、余波は更に拡がるかもしれない。

ちなみに、Google 日本語入力ATOKではAndroidでのインストール時に“警告”表示で注意喚起されるが「入力内容の外部送信はしていない」という事だ。

取り敢えず、フリーソフトウェアのKingsoft OfficeGOM Playerなどに「Baidu IME」が同梱されているらしいので、心当りのある人はご注意を。

参照

内閣官房情報セキュリティセンター http://www.nisc.go.jp/

IIJにおけるセキュリティ活動 https://sect.iij.ad.jp/

NetAgent Official Blog http://www.netagent-blog.jp/

Baidu(バイドゥ) http://www.baidu.jp/

INTERNET Watch http://internet.watch.impress.co.jp/

マイナビニュース http://news.mynavi.jp/

@IT http://www.atmarkit.co.jp/

ITmedia ニュース http://www.itmedia.co.jp/news/

Baidu IME - 日本語入力 - http://ime.baidu.jp/type/

GOM Player【ゴムプレーヤー】 http://www.gomplayer.jp/

Wikipedia http://ja.wikipedia.org/wiki/