中国の検索サイト「Baidu」が提供しているPC向け日本語入力ソフト「Baidu IME」やスマートフォン向け「Simeji」で、入力した文字情報が送られている――。NHKなど大手マスメディアが相次いで報道した内容について、情報元のセキュリティソフト会社「ネットエージェント」が同社ブログで詳細な説明を行っている。
ネットエージェントによると、IMEの通信内容を解析したところ、日本語入力の文字列をSSLで暗号化し、Baiduに対して送信していたという。
バイドゥは一連の報道に対して、自社の見解を発表した。
|
無線APとインターネットの間に同社のSSL通信解析ソリューション「Counter SSL Proxy」を挟み、解析を行った |
これは多数の人物の変換結果から変換精度を高める機能「クラウド入力」のために送信しているように見えるが、ネットエージェントの解析によると、この機能をオフにした場合でも入力文字列を送信していた。
送信している情報は全角入力した文字列。パスワードなどを半角入力で送信している場合は、個人情報漏えいの心配はない。その一方で、全角入力で打ち込んでいた場合はパスワードやクレジットカード番号、電話番号が送信されていた可能性もあると言える。
|
送信例。Windowsのユーザー名が送られるケースもあるという |
特にスマートフォン向けIME「Simeji」については、クラウド入力オフ、ログ情報の送信をオフにしている場合でも情報が送信されているという。
|
Simejiの送信例 |
同社では、Baiduを糾弾する意図はなく「報道を受けてBaidu IMEやSimejiは改善に向かう」としている。その一方で、利用者に対して「現在使っている場合は、意図せずに情報が送信されているのでバージョンアップを待ち、改善されるまで使用は控えた方が良い」と注意喚起を行っている。
なお、ネットエージェントは6月9日に放映された「ほこ×たて」の「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティプログラム」の対決で、セキュリティプログラムを提供する側として登場し、その内容についても同社ブログで解説を行っていた。
