日本語IMEが危険って本当ですか? - いまさら聞けないAndroidのなぜ

多種多様な候補から自分好みの端末を選択でき高度なカスタマイズが可能、それがAndroidの魅力であり強みです。しかし、その自由度の反面わかりにくさを指摘されることもありません。このコーナーでは、そんな「Androidのここがわからない」をわかりやすく解説します。今回は、「日本語IMEが危険って本当ですか?」という質問に答えます。

＊＊＊

入力したかなを漢字に変換するプログラム「日本語IME」は、それ自体に危険性はありません。基本的な動作は、かなと一致する漢字をデータベース(辞書)から検索し、部分/全体が一致するものを候補として表示するに過ぎず、スマートフォン内部ですべてが完結します。

ただし、文字入力に対応するすべてのアプリから呼び出し可能なプログラムでなければならない以上、日本語IMEは一般的なアプリに比べ低位のレイヤー -- OSは複数のプログラムが依存関係にあり、それを階層(レイヤー)と表現します -- で動作することを求められます。その意味において、他のジャンルのアプリに比べればシステムに与える影響は大きいといえます。

Android OSでは、日本語IMEをインストールするとき「入力したパスワードやクレジット番号など個人情報を含むすべての文字列の収集を許可する」という主旨のダイアログが表示されます。ただし、その日本語IMEが情報収集をするかしないかに関わらず表示されるため、インストール後の処理は日本語IMEによって異なります。

近ごろの日本語IMEは、ユーザが入力した文字列および変換結果を収集(クラウド送信)することで、変換精度向上の参考にするほか、トレンドの言葉や辞書には登録されにくい特異な単語を変換辞書に蓄積する機能を実現しています。いわば「ユーザの力を借り機能を充実」させているわけで、そのしくみ自体は日本語IMEの有効な機能強化策のひとつといえるでしょう。

残念ながら、「Simeji」という日本語IMEで入力した文字列が、外部のサーバへ送信されていたことがわかりました。変換後の文字がスマートフォンを特定しうる情報(端末識別子、UUID)とセットで送信されていたそうです。送信は不具合で変換前の文字列(パスワードやクレジットカード番号など)は送信していないとの発表がありましたが、機密情報の漏えいもありうる深刻な事象といえます。今後は開発元の確認やクラウド送信のオン/オフなど、ユーザ側にもじゅうぶんな対策が求められます。