中国製の日本語入力ソフト「Baidu IME」「Simeji」が、入力された文字列を無断で百度のサーバに送信していることが明らかになりました。機密情報や個人情報が流出する可能性があり、注意が必要です。
Baidu IME、Simejiの情報送信問題
Baidu IMEをアンインストールする時に登場する猫娘
Baidu IMEは、中国の検索大手「百度」が2010年(平成22年)から提供している無料の日本語入力ソフトです。
このソフトは、初期設定ではパソコンの情報を外部に送信しないと表示しています。
しかし、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。送っている内容は、利用者がパソコンで打ち込んだほぼすべての情報と、パソコン固有のID、メールや文書作成ソフトなど利用しているソフトの名前です。
また、百度がスマートフォン向けに提供している Simeji という日本語入力ソフトも、情報の送信を行っていることが確認されました。
このソフトは、初期設定ではパソコンの情報を外部に送信しないと表示しています。
しかし、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。送っている内容は、利用者がパソコンで打ち込んだほぼすべての情報と、パソコン固有のID、メールや文書作成ソフトなど利用しているソフトの名前です。
また、百度がスマートフォン向けに提供している Simeji という日本語入力ソフトも、情報の送信を行っていることが確認されました。
いずれも全角入力の場合のみ情報が送信されており、パスワードなど半角入力のみの場合は送信されていません。クレジット番号や電話番号も変換しなければ送られません。
しかし、クラウド入力Offの場合でも入力文字列を送信します。
これについて百度の日本法人は、情報を送信し、一定期間保存していることを認めたうえで、「ネットを使って変換の候補を表示したり、変換の精度を向上させるために利用している。説明が不十分な点は、利用者が安心できるよう分かりやすく改善していきたい」と説明しています。
Simejiについては、ログセッションがオフの状態でも一部のログデータが送信されていた事実を確認し、これはバージョンアップ時に起こった実装バグで、3月に公開したバージョン5.6から発生していたとして、12月26日中に改善したバージョンをリリースするとしています。
一方ネットエージェントは、「入力情報とパソコンのIDを一緒に送信していることから、利用者のことを詳しく分析することができてしまう。企業の機密情報などが漏れるおそれもあり、利用する際には注意が必要だ」と警鐘を鳴らしています。
しかし、クラウド入力Offの場合でも入力文字列を送信します。
これについて百度の日本法人は、情報を送信し、一定期間保存していることを認めたうえで、「ネットを使って変換の候補を表示したり、変換の精度を向上させるために利用している。説明が不十分な点は、利用者が安心できるよう分かりやすく改善していきたい」と説明しています。
Simejiについては、ログセッションがオフの状態でも一部のログデータが送信されていた事実を確認し、これはバージョンアップ時に起こった実装バグで、3月に公開したバージョン5.6から発生していたとして、12月26日中に改善したバージョンをリリースするとしています。
一方ネットエージェントは、「入力情報とパソコンのIDを一緒に送信していることから、利用者のことを詳しく分析することができてしまう。企業の機密情報などが漏れるおそれもあり、利用する際には注意が必要だ」と警鐘を鳴らしています。
NHKニュース(2013年12月26日)より
福島県庁のデータが百度サーバーへ自動送信
福島県が2012年(平成24年)5月以降の通信状況を調べたところ、県庁内で使用しているパソコン10台から百度のサーバーにデータが自動送信されていたことがわかりました。送信データの中には、個人情報が含まれていた可能性があるといいます。
いずれのパソコンも、他のソフトをインストールした際、Baidu IMEが一緒にインストールされたとみられています。
2013年(平成25年)12月27日までに10台とも、このソフトを削除しました。
いずれのパソコンも、他のソフトをインストールした際、Baidu IMEが一緒にインストールされたとみられています。
2013年(平成25年)12月27日までに10台とも、このソフトを削除しました。
讀賣新聞(2013年12月28日)より
熊本県では280Mバイトものデータを百度サーバーへ自動送信
讀賣新聞の調査によると、29府県市で1000台以上の公用パソコンにBaidu IMEがインストールされていることが分かりました。
通信記録を保存していた自治体のうち、12府県市では百度側へのデータ送信を確認しました。熊本県の場合、2013年(平成25年)12月1日からの25日間で280Mバイトにも及びました。
ソフトは内部情報が集中する知事公室や、個人情報を扱う健康福祉部を含む全ての部局で見つかりました。
通信記録を保存していた自治体のうち、12府県市では百度側へのデータ送信を確認しました。熊本県の場合、2013年(平成25年)12月1日からの25日間で280Mバイトにも及びました。
ソフトは内部情報が集中する知事公室や、個人情報を扱う健康福祉部を含む全ての部局で見つかりました。
讀賣新聞(2014年1月13日)より
百度の公式見解
一連の報道を受け、百度は2013年(平成25年)12月29日に公式見解を発表しました。
それによると、ユーザーが Baidu IME、Simeji で入力した情報は、原則として、「バイドゥ サービス利用規約」に沿って取り扱っており、ユーザーの入力情報を同社サーバーに送る場合は、ログ情報の送信前に許可を取っているといいます。
許諾の得られないユーザーについては、ログ情報を取得しておらず、クレジットカード番号やパスワードなどの信用情報、住所や電話番号などの個人情報は、そもそもログ情報として収集しないに仕様になっているとしています。
ただし、Simeji については一部のデータが送信されていたことを確認。「ログセッション」を送信する対象データにするか否かのオン/オフ切り替えが可能になっているが、「ログセッション」をオフにしていても、一部のログデータが送信されていたといいいます。
原因はバージョンアップ時に起こった実装バグによるもので、今年3月にリリースしたバージョン5.6から発生していました。百度は、29日中に改善した最新バージョンを緊急リリースする予定です。
公式見解は、上述の福島県庁の事例と異なる内容で、今後の動向が注目されます。
それによると、ユーザーが Baidu IME、Simeji で入力した情報は、原則として、「バイドゥ サービス利用規約」に沿って取り扱っており、ユーザーの入力情報を同社サーバーに送る場合は、ログ情報の送信前に許可を取っているといいます。
許諾の得られないユーザーについては、ログ情報を取得しておらず、クレジットカード番号やパスワードなどの信用情報、住所や電話番号などの個人情報は、そもそもログ情報として収集しないに仕様になっているとしています。
ただし、Simeji については一部のデータが送信されていたことを確認。「ログセッション」を送信する対象データにするか否かのオン/オフ切り替えが可能になっているが、「ログセッション」をオフにしていても、一部のログデータが送信されていたといいいます。
原因はバージョンアップ時に起こった実装バグによるもので、今年3月にリリースしたバージョン5.6から発生していました。百度は、29日中に改善した最新バージョンを緊急リリースする予定です。
公式見解は、上述の福島県庁の事例と異なる内容で、今後の動向が注目されます。
Baidu IMEがバージョンアップ
2013年(平成25年)12月30日、Baidu IMEはバージョンアップし、入力した文字列をクラウド上のサーバに送信して変換精度を高める「クラウド入力」機能をデフォルトでオフにしました。
クラウド入力機能は従来、デフォルトではオンになっていましたが、既存ユーザーがバージョンアップする際は、クラウド変換に関して改めて説明し、了承を得たユーザーのみオンにするとしています。
日本の内閣官房情報安全センター(NISC)が行政機関や大学に対してBaidu IMEの使用を慎むよう呼びかけたと一部メディアが報じたことについて、中国の百度本社は「一部の日本メディアが本件を悪意を持ってあおり立てたことに対して遺憾の意を示す」との声明を発表しました。
クラウド入力機能は従来、デフォルトではオンになっていましたが、既存ユーザーがバージョンアップする際は、クラウド変換に関して改めて説明し、了承を得たユーザーのみオンにするとしています。
日本の内閣官房情報安全センター(NISC)が行政機関や大学に対してBaidu IMEの使用を慎むよう呼びかけたと一部メディアが報じたことについて、中国の百度本社は「一部の日本メディアが本件を悪意を持ってあおり立てたことに対して遺憾の意を示す」との声明を発表しました。
アンインストール方法
Baidu IMEをアンインストールする手順が下記に示されています。
http://gigazine.net/news/20131226-baidu-ime-delete/
http://gigazine.net/news/20131226-baidu-ime-delete/
参考サイト
- Microsoft Natural Inputはスパイウェアか?:ぱふぅ家のホームページ
(この項おわり)
