セキュリティ調査会社ネットエージェントの発表によると、中国企業Baidu(百度)の日本法人が、日本国内向けに提供する日本語変換ソフト「Baidu IME」とAndroid向け変換ソフト「Simeji」の双方で、入力した文字列をユーザーに無断で同社のサーバー向けに送信していることが明らかになりました。

Baidu IMEはWindows向けのフリーソフトにバンドル(同梱)されていることがよくあり、知らぬ間にBaidu IMEを導入しているユーザーも多いと推測されます。したがって、すべてのユーザーは利用中の日本語変換ソフト(IME)を調べると共に、利用環境によっては即刻削除することをオススメします。

なお、記事執筆時点においてBaidu IMEならびにSimejiの公式サイトにおいて、この問題に対するアナウンスは行われていません。Baidu日本法人のプレスリリースのみに掲載されている状況であり、Baidu IMEの広告から公式サイトにアクセスしたユーザーは今回の事実を知らないままインストールしてしまう可能性があります。

Baidu IME   日本語入力

今回判明したのは、クラウドと連携して変換精度を向上させる「クラウド入力」機能がオフの設定であっても、全角文字列をSSL通信で暗号化してユーザーに無断で同社のサーバーに送信していたというもの。さらにコンピューターのSID(セキュリティの識別子)、インストール先ディレクトリのパス、Baidu IMEのバージョンが併せて送信されていたとのことです。

すでにお気づきかもしれませんが、インストール先ディレクトリのパスが含まれるということは「コンピュータ名に本名や所属部署」が含まれる場合は、その情報までも特定されてしまう恐れがあるということになります。各種報道によると、公官庁向けPCなどにもインストールされている事例があるとされており、場合によっては国家機密情報が流出する可能性もあります(無論、そのような環境に通信型IMEを導入することは正しい判断ではない)。もちろん、一般企業においても情報流出の可能性をはらんでおり、ネットワーク管理者は至急対処することを検討しましょう。

Android向け変換ソフトであるSimejiの場合は、UUID(端末個別識別ID)や利用中のデバイス名が送信されていたとのことです。データを送信していたのは今年3月にリリースされたバージョン5.6以降。ログセッションにおける設定をオフにしていても無断で送信する状態であったとしており、同社は左記の件に関して「バグである」としています。

同社は今後、緊急対策を行ったBaidu IMEならびにSimejiのリリースを予定しているとのことですが、IMEやブラウザなど、ユーザーに関するセンシティブな情報を得られやすいソフトウェアにおける失態は、取り返しのつかない大きなミスです。信用で成り立つソフトウェアでもあることから、Baidu IMEやSimejiの利用を控えることを強く推奨致します。

この件をうけてインターネットの短文投稿サイトTwitterや各種コミュニティサイトにおいては「やっぱりか」といった旨の声が数多く寄せられています。

[NHK] [Baidu公式]