Baidu IMEが入力文字列を無断でサーバに送信

(1/1)
中国製の日本語入力ソフト「Baidu (バイドゥ)  IME」「Simeji (シメジ) 」が、入力された文字列を無断で百度 (バイドゥ) のサーバに送信していることが明らかになりました。機密情報や個人情報が流出する可能性があり、注意が必要です。

Baidu IME、Simejiの情報送信問題

Baidu IMD
Baidu IME をアンインストールする時に登場する猫娘
Baidu IMEは、中国の検索大手「百度 (バイドゥ) 」が 2010 年(平成 22 年)から提供している無料の日本語入力ソフトです。
このソフトは、初期設定ではパソコンの情報を外部に送信しないと表示しています。
しかし、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。送っている内容は、利用者がパソコンで打ち込んだほぼすべての情報と、パソコン固有の ID、メールや文書作成ソフトなど利用しているソフトの名前です。

また、百度がスマートフォン向けに提供している Simeji という日本語入力ソフトも、情報の送信を行っていることが確認されました。
いずれも全角入力の場合のみ情報が送信されており、パスワードなど半角入力のみの場合は送信されていません。クレジット番号や電話番号も変換しなければ送られません。
しかし、クラウド入力 Off の場合でも入力文字列を送信します。

これについて百度の日本法人は、情報を送信し、一定期間保存していることを認めたうえで、「ネットを使って変換の候補を表示したり、変換の精度を向上させるために利用している。説明が不十分な点は、利用者が安心できるよう分かりやすく改善していきたい」と説明しています。
Simeji については、ログセッションがオフの状態でも一部のログデータが送信されていた事実を確認し、これはバージョンアップ時に起こった実装バグで、3 月に公開したバージョン 5.6 から発生していたとして、12 月 26 日中に改善したバージョンをリリースするとしています。
一方ネットエージェントは、「入力情報とパソコンのIDを一緒に送信していることから、利用者のことを詳しく分析することができてしまう。企業の機密情報などが漏れるおそれもあり、利用する際には注意が必要だ」と警鐘を鳴らしています。
NHK ニュース(2013 年 12 月 26 日)より

福島県庁のデータが百度サーバーへ自動送信

福島県が 2012 年(平成 24 年)5 月以降の通信状況を調べたところ、県庁内で使用しているパソコン 10 台から百度のサーバーにデータが自動送信されていたことがわかりました。送信データの中には、個人情報が含まれていた可能性があるといいます。

いずれのパソコンも、他のソフトをインストールした際、Baidu IME が一緒にインストールされたとみられています。
2013 年(平成 25 年)12 月 27 日までに 10 台とも、このソフトを削除しました。
讀賣新聞(2013 年 12 月 28 日)より

熊本県では280Mバイトものデータを百度サーバーへ自動送信

讀賣新聞の調査によると、29 府県市で 1000 台以上の公用パソコンに Baidu IME がインストールされていることが分かりました。

通信記録を保存していた自治体のうち、12 府県市では百度側へのデータ送信を確認しました。熊本県の場合、2013 年(平成 25 年)12 月 1 日からの 25 日間で 280M バイトにも及びました。
ソフトは内部情報が集中する知事公室や、個人情報を扱う健康福祉部を含む全ての部局で見つかりました。
讀賣新聞(2014 年 1 月 13 日)より

百度の公式見解

一連の報道を受け、百度は 2013 年(平成 25 年)12 月 29 日に公式見解を発表しました。

それによると、ユーザーが Baidu IMESimeji で入力した情報は、原則として、「バイドゥ サービス利用規約」に沿って取り扱っており、ユーザーの入力情報を同社サーバーに送る場合は、ログ情報の送信前に許可を取っているといいます。
許諾の得られないユーザーについては、ログ情報を取得しておらず、クレジットカード番号やパスワードなどの信用情報、住所や電話番号などの個人情報は、そもそもログ情報として収集しないに仕様になっているとしています。

ただし、Simeji については一部のデータが送信されていたことを確認。「ログセッション」を送信する対象データにするか否かのオン/オフ切り替えが可能になっているが、「ログセッション」をオフにしていても、一部のログデータが送信されていたといいいます。
原因はバージョンアップ時に起こった実装バグによるもので、今年 3 月にリリースしたバージョン 5.6 から発生していました。百度は、29 日中に改善した最新バージョンを緊急リリースする予定です。

公式見解は、上述の福島県庁の事例と異なる内容で、今後の動向が注目されます。

Baidu IMEがバージョンアップ

2013 年(平成 25 年)12 月 30 日、Baidu IME はバージョンアップし、入力した文字列をクラウド上のサーバに送信して変換精度を高める「クラウド入力」機能をデフォルトでオフにしました。
クラウド入力機能は従来、デフォルトではオンになっていましたが、既存ユーザーがバージョンアップする際は、クラウド変換に関して改めて説明し、了承を得たユーザーのみオンにするとしています。

日本の内閣官房情報安全センター(NISC)が行政機関や大学に対して Baidu IME の使用を慎むよう呼びかけたと一部メディアが報じたことについて、中国の百度本社は「一部の日本メディアが本件を悪意を持ってあおり立てたことに対して遺憾の意を示す」との声明を発表しました。

アンインストール方法

Baidu IME をアンインストールする手順が下記に示されています。
http://gigazine.net/news/20131226-baidu-ime-delete/

参考サイト

(この項おわり)
header