ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

2013/12/27(金) 日本語 IME のクラウド入力機能について(原則無効化を推奨)

マルチOS

最近の日本語入力ソフトウェア (日本語 IME) には、クラウドコンピューティングを利用した日本語変換機能(クラウド変換機能)や、変換品質改善のためのログ送信機能が付属していることがあります。便利な機能ですが、意図しない情報漏洩につながることがあるため注意が必要です。たとえば

  • 機密性のある研究を行う
  • 個人情報やパーソナルデータ、成績情報を扱う
  • 公開する予定のない文書を作成する

といった場合には、クラウド変換機能やログ送信機能は無効にすべきでしょう。

これらはインストール時には無効にされているのが一般的だと考えられていましたが、百度(バイドゥ)が無償公開している Baidu IME(PC 用 IME)Simeji(Android 用 IME)については

  • インストール直後にクラウド変換機能が有効になっている
  • ログ情報の匿名化が不十分で、UUID といった個別端末識別子が含まれている
  • Simeji は「クラウド入力 OFF」「ログ送信 OFF」を設定してもなお、データを送信する

といった問題があると報道されました。

理工学部のプロキシサーバのログを調査したところ、百度のクラウド変換機能を使用している端末が複数存在することが明らかになっています。この全てが不適切な利用だとは言えませんが、クラウド変換機能やログ送信機能を意図せず有効にしてしまっている事例があるかもしれません。

Simeji 固有の問題については 2013.12.26 に公開された 6.6.2 版で修正されています。

  • Baidu IME、Simeji 共に、利用者は最新版に更新する
  • その上で、必要ない限り、「クラウド入力 OFF」「ログ送信 OFF」を設定する

事を推奨します。

2013.12.27 追記

Baidu IME、Simeji の他、Social IME にも同様の問題があるそうです。また Social IME はクラウド変換機能を無効にできないため、使用しないことでしか対応できません。

2013.12.27 追記 2

Simeji の場合、クラウド入力とログ送信の他に、「英語予測変換」についても OFF にすべきのようです。

「クラウド入力 OFF」かつ「英語予測変換 ON」の場合、パスワードこそ送られないものの、半角入力した電話番号やクレジットカード番号などが百度のサーバーに送信されてしまうようです。OFF 設定を推奨します。


名前:  非公開コメント   

  • TB-URL(確認後に公開)  http://133.83.35.83/blog/adiary.cgi/vuln/0639/tb/