何が起きたのか
中国の百度の日本法人バイドゥが開発、提供する日本語入力システム(IME)で辞書機能と連携する「クラウド入力」機能が有効の場合、ユーザーが入力、変換した言葉がバイドゥのサーバに無断で送信されている――。ソフトの導入が容易となったIT環境の使い方に今一度注意を向けるべきだろう。
Windows PC向けの「Baidu IME」では、ユーザーが入力、変換した言葉がバイドゥのサーバに送信される仕様は利用規約に記載されていた。だが、事前許諾の画面が見つけにくいことから、自分が入力したデータがクラウドに送信されていると認識していないユーザーが多かったと指摘されている。IMEで住所や電話番号、メールアドレス、クレジットカード番号など、個人情報を入力できる環境にあったということになり、ユーザーが意識せずに自らの個人情報を流出させる状況とも言える。
Baidu IMEは初期設定でクラウド入力機能が有効なまま、ほかのアプリケーションにバンドルされていたり、新規購入のPCにプレインストールされていた。そのため、一部のユーザーは日本語を入力している時にBaidu IMEを利用していること、クラウド入力が有効であることも認識できなかった可能性が大きい。
Android用アプリの「Simeji」も同様に事前許諾設定画面が見つけにくく、データが端末外部のクラウドに流れているのを認識するユーザーは少なかったと言われている。Simejiの場合、実装ミスからクラウド入力機能が無効に設定されていても、入力したデータがバイドゥのサーバに送信されていた。
トラブルが報道される
内閣官房情報セキュリティセンター(NISC)は2013年12月26日、Baidu IMEのクラウド入力機能を無効にするか、使用しないことを中央省庁に喚起。文部科学省も所轄する国立大学、独立行政法人に同様の措置を実施した。
一連の報道を受けてバイドゥは12月26日に、クレジットカード番号やパスワードなどの信用情報、住所や電話番号などの個人情報はクラウド入力を有効にしている場合でも収集していないと説明した。Baidu IMEとSimejiに関するサーバとユーザーから収集したデータは日本国内だけで管理していること、Baidu IMEのクラウド入力に関する事前許諾についてはよりわかりやすく表示することも公表した。
Simejiがクラウド入力無効の時でも入力内容をサーバに送信していたことについては一部のバージョンにおけるバグであった。2013年3月にリリースされたバージョン5.6から発生していたことが判明、12月27日に実施したバージョンアップで修正したと説明している。約9カ月間、ユーザーに無断でデータをサーバに送信していたことになる。このバージョンアップでは、クラウド入力は無効の状態で設定されている。
今回のトラブル以前よりWindows版であるBaidu IMEに関しては、クラウド入力がオフに設定されていた場合、入力情報は送信されない。
何が問題だったのか
今回の件では、一部のセキュリティベンダーが対応した。
ネットエージェントは12月26日にBaidu IMEとSimejiを解析したと発表。全角入力の場合のみ情報が送信されていることや、Simejiについて、クラウド入力オフの場合でも入力文字列を送信していることを明かした。
パロアルトネットワークスは、米国時間12月31日から同社のユーザー企業向けにBaidu IMEとSimejiを識別する「App-ID」の提供を開始した。App-IDで一部のユーザーやグループにBaidu IMEとSimejiのクラウド入力やログ送信を許可したり、ネットワーク全体でブロックすることが可能になるとした。
Baidu IMEは、月間800万人のユーザーが利用するというPC向けアプリケーション「RealPlayer」にもバンドルされていた。提供元のリアルネットワークスはBaiduIMEのバンドルを1月8日に中止した。以前から、さまざまなアプリケーションをバンドルし、他のソフトがインストールされる時には、その旨が表示されるページから許諾を得ていたと説明する。
キングソフトは2012年までに提供していたオフィスソフト「KINGSOFT Office」とセキュリティソフト「KINGSOFT Internet Security」でも断続的にBaidu IMEを同梱していた。同社は1月15日に、フリーソフトのビジネスモデルの一環としてBaidu IME を他社無料ソフトと同様にユーザーへの選択肢の1つとしていたというビジネス構造を説明。キングソフト製品については「外部への入力情報の無断送信はない」と強調した。
パロアルトの調査では、従業員3000人規模の一般企業で1日で数百件のアクセスが確認できたという。この事実から、相当数のPCでBaidu IMEで使われているのではないかと推測している。
一部報道では、29府県市で1000台以上の公用PCにBaidu IMEが使われていたともされている。パロアルトは、Baiduの件で官公庁や自治体、企業、サービスプロバイダーなどから200件超の問い合わせがあったとしている。
バイドゥはユーザーへの事前許諾設定画面が見つけにくかったとし、表示方法を改めた。「利用規約に記述すればいい」。バイドゥはそのように考えていたのかもしれない。規約があればいいという姿勢だけでは、ユーザーに不安感や不快感に与えかねず、より慎重な姿勢が求められるようになっている。ソフトやサービスを提供するベンダーは、法律を順守することに加えて、ユーザーに不安感や不快感を抱かせないような配慮も求められている。
CD-ROMからだけでなくウェブからのソフト導入が、当たり前となったIT環境をどう使えばいいのか。例えばIT部門では、エンドユーザーに使ってもらうPCにどんなソフトウェアがバンドルされているのかに気を配る必要がある。また、エンドユーザーが使っているソフトウェアから、組織内から流出する可能性もあることを考慮しなければならない。ネットワーク経由でのソフトが増加している昨今、社内のデータが意図しない形で外部に流れてしまうかもしれないからだ。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。
