バイドゥが提供する日本語入力システム「Baidu IME」および、Android OS向け日本語入力アプリ「Simeji」が、ユーザーに無断で入力情報を特定サーバに送信していた問題を受け、バイドゥは26日、同社の見解を発表した。
この問題に関し、セキュリティ会社のネットエージェントは公式ブログで、「Baidu IME」および「Simeji」の全角入力時の入力情報が、無断でSSL送信されていることを確認したと発表。内閣官房情報セキュリティセンター(NISC)は、中央省庁や研究機関などに、「Baidu IME」「Simeji」を含む日本語IMEの使用について、注意を呼びかけたという。
また、インターネットイニシアティブのセキュリティ情報統括室を中心としたセキュリティ組織IIJ-SECT (IIJ group Security Coordination Team)は、IMEのクラウド変換機能が有効であればローカル上のファイルであっても入力データが外部に送信されるとして、利用時に注意を喚起している。
一連の報道に対し、バイドゥは26日付けで公式見解を発表。まず、無断送信については、同社サービス利用規約のプライバシーポリシーに沿って取り扱われるとし、「入力情報をサーバに送信する場合は事前に許諾を得ている」とした。また、クレジットカード番号やパスワード、住所や電話番号などの個人情報については、ログ情報として収集しない仕様という。
また、変換精度向上を目的に入力データをサーバに送信するクラウド入力変換について、バイドゥが報道を受け社内で調査したところ、「Simeji」では、ログセッションがオフの状態でも、一部のログデータが送信されていたという。
「ログセッション」は、アプリケーションログを数時間おきに管理サーバへ送信するもの。「クラウド変換」は、入力内容をクラウド辞書サーバへ送信しリアルタイムで変換結果を返すものとなる。いずれも、本来ならオフの際にはデータ送信はなされないはずのものだ。
|
ログセッションとクラウド変換で送信されるデータ |
同社では、「Simeji」がログセッションがオフの状態でもデータ送信をしていた問題について、「バージョンアップ時に起こった実装バグ」と説明。2013年3月にリリースしたバージョン5.6から発生しており、12月26日に改善した最新版を緊急リリース予定としている。
