ニュース

「Baidu IME」「Simeji」が変換文字列を無断で送信、NISCが省庁に注意喚起

 バイドゥ株式会社が提供しているWindows向け日本語入力システム「Baidu IME」およびAndroid向け日本語入力システム「Simeji」が、クラウド上のサーバーと連携して変換を行う「クラウド入力」をオフにしている状態でも、入力情報をサーバーに送信しているとして、内閣官房情報セキュリティセンター(NISC)が中央省庁に対して注意喚起を行っていたことがわかった。文部科学省も、国内の大学などに対して注意喚起を行っている。

 NISCでは、機密性のある文書を作成する場合には、日本語入力システムで外部のサーバーに情報を送信する機能をオフにするか、オフにできない場合は使用しないことを呼び掛けている。

 ネットエージェント株式会社によると、Baidu IMEとSimejiを調査した結果、いずれもクラウド上のサーバーと連携して変換を行う「クラウド入力」機能をオフにしている場合でも、変換確定文字列をサーバーに送信していることが判明。情報を送信しているのは全角入力の場合のみで、半角入力のみの場合は送信されないという。

 Baidu IMEの場合、送信している情報は変換確定文字列、Windows PCのセキュリティ識別子SID、使用しているアプリケーションのパス名、Baidu IMEのバージョン。アプリケーションのパス名から、Windowsのユーザー名が送られるケースもありうる。

 Simejiの場合は、変換確定文字列、UUIDによる個別端末識別子、使用しているデバイス名、使用しているアプリケーションのパッケージ名、Simejiのバージョンが送信される。

 ネットエージェントでは、この件に対する報道を受け、Baidu IMEやSimejiも改善すると思われるが、バージョンアップにより改善されるまで使用は控えた方が良いかもしれないとアドバイスしている。

(三柳 英樹)