バイドゥのトラブルから学ぶIT部門が気をつけるべきこと

山田竜司 (編集部) 2014年01月28日 07時30分

  • このエントリーをはてなブックマークに追加

何が起きたのか

 中国の百度の日本法人バイドゥが開発、提供する日本語入力システム(IME)で辞書機能と連携する「クラウド入力」機能が有効の場合、ユーザーが入力、変換した言葉がバイドゥのサーバに無断で送信されている――。ソフトの導入が容易となったIT環境の使い方に今一度注意を向けるべきだろう。

 Windows PC向けの「Baidu IME」では、ユーザーが入力、変換した言葉がバイドゥのサーバに送信される仕様は利用規約に記載されていた。だが、事前許諾の画面が見つけにくいことから、自分が入力したデータがクラウドに送信されていると認識していないユーザーが多かったと指摘されている。IMEで住所や電話番号、メールアドレス、クレジットカード番号など、個人情報を入力できる環境にあったということになり、ユーザーが意識せずに自らの個人情報を流出させる状況とも言える。

 Baidu IMEは初期設定でクラウド入力機能が有効なまま、ほかのアプリケーションにバンドルされていたり、新規購入のPCにプレインストールされていた。そのため、一部のユーザーは日本語を入力している時にBaidu IMEを利用していること、クラウド入力が有効であることも認識できなかった可能性が大きい。

 Android用アプリの「Simeji」も同様に事前許諾設定画面が見つけにくく、データが端末外部のクラウドに流れているのを認識するユーザーは少なかったと言われている。Simejiの場合、実装ミスからクラウド入力機能が無効に設定されていても、入力したデータがバイドゥのサーバに送信されていた。

トラブルが報道される

 内閣官房情報セキュリティセンター(NISC)は2013年12月26日、Baidu IMEのクラウド入力機能を無効にするか、使用しないことを中央省庁に喚起。文部科学省も所轄する国立大学、独立行政法人に同様の措置を実施した。

 一連の報道を受けてバイドゥは12月26日に、クレジットカード番号やパスワードなどの信用情報、住所や電話番号などの個人情報はクラウド入力を有効にしている場合でも収集していないと説明した。Baidu IMEとSimejiに関するサーバとユーザーから収集したデータは日本国内だけで管理していること、Baidu IMEのクラウド入力に関する事前許諾についてはよりわかりやすく表示することも公表した。

 Simejiがクラウド入力無効の時でも入力内容をサーバに送信していたことについては一部のバージョンにおけるバグであった。2013年3月にリリースされたバージョン5.6から発生していたことが判明、12月27日に実施したバージョンアップで修正したと説明している。約9カ月間、ユーザーに無断でデータをサーバに送信していたことになる。このバージョンアップでは、クラウド入力は無効の状態で設定されている。

 今回のトラブル以前よりWindows版であるBaidu IMEに関しては、クラウド入力がオフに設定されていた場合、入力情報は送信されない。

何が問題だったのか

 今回の件では、一部のセキュリティベンダーが対応した。

 ネットエージェントは12月26日にBaidu IMEとSimejiを解析したと発表。全角入力の場合のみ情報が送信されていることや、Simejiについて、クラウド入力オフの場合でも入力文字列を送信していることを明かした。

 パロアルトネットワークスは、米国時間12月31日から同社のユーザー企業向けにBaidu IMEとSimejiを識別する「App-ID」の提供を開始した。App-IDで一部のユーザーやグループにBaidu IMEとSimejiのクラウド入力やログ送信を許可したり、ネットワーク全体でブロックすることが可能になるとした。

 Baidu IMEは、月間800万人のユーザーが利用するというPC向けアプリケーション「RealPlayer」にもバンドルされていた。提供元のリアルネットワークスはBaiduIMEのバンドルを1月8日に中止した。以前から、さまざまなアプリケーションをバンドルし、他のソフトがインストールされる時には、その旨が表示されるページから許諾を得ていたと説明する。

 キングソフトは2012年までに提供していたオフィスソフト「KINGSOFT Office」とセキュリティソフト「KINGSOFT Internet Security」でも断続的にBaidu IMEを同梱していた。同社は1月15日に、フリーソフトのビジネスモデルの一環としてBaidu IME を他社無料ソフトと同様にユーザーへの選択肢の1つとしていたというビジネス構造を説明。キングソフト製品については「外部への入力情報の無断送信はない」と強調した。

 パロアルトの調査では、従業員3000人規模の一般企業で1日で数百件のアクセスが確認できたという。この事実から、相当数のPCでBaidu IMEで使われているのではないかと推測している。

 一部報道では、29府県市で1000台以上の公用PCにBaidu IMEが使われていたともされている。パロアルトは、Baiduの件で官公庁や自治体、企業、サービスプロバイダーなどから200件超の問い合わせがあったとしている。

 バイドゥはユーザーへの事前許諾設定画面が見つけにくかったとし、表示方法を改めた。「利用規約に記述すればいい」。バイドゥはそのように考えていたのかもしれない。規約があればいいという姿勢だけでは、ユーザーに不安感や不快感に与えかねず、より慎重な姿勢が求められるようになっている。ソフトやサービスを提供するベンダーは、法律を順守することに加えて、ユーザーに不安感や不快感を抱かせないような配慮も求められている。

 CD-ROMからだけでなくウェブからのソフト導入が、当たり前となったIT環境をどう使えばいいのか。例えばIT部門では、エンドユーザーに使ってもらうPCにどんなソフトウェアがバンドルされているのかに気を配る必要がある。また、エンドユーザーが使っているソフトウェアから、組織内から流出する可能性もあることを考慮しなければならない。ネットワーク経由でのソフトが増加している昨今、社内のデータが意図しない形で外部に流れてしまうかもしれないからだ。

Keep up with ZDNet Japan
ZDNet JapanはFacebookTwitterRSSメールマガジンでも情報を配信しています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算