IIJ Security Diary: IMEのオンライン機能利用における注意について(情報元のブックマーク数)

IIJ-SECTの素晴らしい解析と問題提起です!弊社はNHKに出ましたが、ぶっちゃけIIJさんに取材に行くべきです!

日本語などのマルチバイト文字を扱う環境において、IME(Input Method Editor)は切っても切り離せない機能です。 最近は、このIMEに常時インターネット接続を必要とする、クラウド関連の機能が実装されることが増えてきました。 うまく使えば有益な機能ですが、利用における注意点などについて説明します。 クラウド機能の定義はIME毎に異なりますが、概ね以下の様な機能を指しています。 ユーザ辞書の外部サーバへの保存(辞書同期) 外部サーバからの変換候補の取得(クラウド変換) これらの機能は文字入力精度や効率の面から見ると非常に魅力的です。 ですが、セキュリティの面から見た場合には注意する点があります。

IIJ Security Diary: IMEのオンライン機能利用における注意について

中国検索最大手「百度(バイドゥ)」製の日本語入力ソフトについて、使用するとパソコンに入力した全ての文字情報が同社のサーバーに送信されることが分かり、内閣官房情報セキュリティセンター(NISC)や文部科学省は、中央省庁や大学、研究機関など約140機関に使用停止を呼びかけた。 読売新聞の調査では外務省のほか、東京大など少なくとも12大学の一部パソコンで導入されていることが判明。NISCは「重要情報漏えいの可能性は否定できない」としている。 問題となっているソフトは「バイドゥIME」。2009年に公開された無料ソフトで、 昨年1月のバイドゥ社日本法人の発表によると日本国内で約200万人が利用している。 今月中旬、IT企業の調査で、初期設定のまま使用すると、パソコン上で打ち込んだメールや 検索の単語、文書編集ソフトで作成した文書など、全ての文字列が自動的に同社のサーバーに 送信されていることが判明。各パソコンからサーバーに情報を集め、変換精度を向上させる 「クラウド変換」を行うためとみられるが、利用規約などで説明はない。

痛いニュース(ノ∀`) : 中国「百度(バイドゥ)」製ソフト、入力の日本語を無断送信…約140機関に使用停止を呼びかけ - ライブドアブログ

セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。送っている内容は、利用者がパソコンで打ち込んだほぼすべての情報と、パソコン固有のID、メールや文書作成ソフトなど利用しているソフトの名前です。

http://www3.nhk.or.jp/news/html/20131226/k10014117561000.html

screenshot