ネットワークセキュリティの要諦

無料翻訳サイトでの漏えいと「Superfish」を振り返る

三輪 賢一(パロアルトネットワークス) 2015年03月11日 07時30分

  • このエントリーをはてなブックマークに追加

 2月末に発生した、無料翻訳サイトでの情報漏えいとLenovoの「Superfish」の問題が多くのメディアにて報道されています。今回は、この2つの問題について改めて振り返るとともに、組織や企業側での対策方法について解説していきます。

翻訳サイトでの意図しない情報漏えい

事件のあらまし

 2月20日、一部の無料翻訳サイトに入力したとみられるメールの内容が、ネット上で誰でも見られる状態になっていることが全国紙で報道されました。この無料翻訳サイトは 「I Love Translation」 というもので、報道の1カ月前から複数のブログや掲示板にて注意を喚起する投稿もありました。

 このサイトでは、比較的マイナーな言語を含む約90カ国語の翻訳をサポートしているのが特徴です。

 閲覧可能になっていたのは、国内や海外の掲示板やニュースサイトを日本語や現地語に翻訳したもの、日本人が海外の弁護士に送ったとみられる不倫の示談に関するメール、個人輸入に使われたとみられる銀行の口座番号情報、海外の詐欺組織が誘い文句を日本語に翻訳したもの、大手企業の社内文書や取引先との契約メールの内容、中央省庁からのメールなどと思われる個人情報や企業の機密情報を含む多数の文章で、現在も検索サイト経由で検索、閲覧可能となっています。


I Love Translationの日本語サイト

拡大図

 I Love Translationのキャプチャ画像を見ると、右下に「検索結果の改善計画に関与して(結果はサーバに保存され)」というチェックボックスがあり、ここをチェックしていると情報がサーバに保持されてしまいます。英語版トップページである “www.ilovetranslation.com” ではこれと同等のチェックボックスはデフォルトでオフになっていますが、トップページからリンクをクリックするか、URLを直接入力する他の言語のページ(たとえば日本語版は “ja.ilovetranslation.com”)ではこれがデフォルトでオンになっています。

  • 英語版のキャッシュサイトのドメイン名: www*.ilovetranslation.com (*には数字が入る)
  • 日本語版のキャッシュサイトのドメイン名: www*.ilovetranslation.com (*には数字が入る)

 2013年の年末に、Baidu IMEと呼ばれる日本語入力ソフトが利用者に無断で入力内容のほぼすべての情報を外部サーバに送信していたことが判明して大きな問題となりましたが、利用者がキーボードから入力した情報が意図せずに外部に渡ってしまう点が、今回の件と共通しています。

 また、2013年7月に、Googleグループでデフォルト設定のままメールによる情報交換やファイルを共有した結果、公開してはならない情報を含めて全ての情報がインターネット上に公開される状態になってしまった問題にも似ています。本連載でも過去に翻訳サイトで機密文章を扱うことによる潜在的な情報漏えいの危険性について触れていました。

 I Love Translationでは、チェックボックスとして利用者に警告しているものの、なぜ情報を保持する設定にしているか不明です。チェックボックス自体にも気付きにくく日本語版ではデフォルトでオンになっていることもあり、意図しない情報漏えいが起こっている可能性が高いのです。

 実際に報道後も個人情報を含む情報のキャッシュが公開され続け、その中では日系企業名も散見されており、今後内部機密情報の漏えいにおける損害や信用失墜、さらに取引先との守秘義務契約違反により賠償責任を負うことになる恐れもあります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]