Android向け「Simeji」とPC向け「Baidu IME」がユーザーの意図せぬ形で入力情報をサーバーへ送信

バイドゥが提供中の日本語入力システム「Simeji」（Android向け）と「Baidu IME」（Windows向け）において、セキュリティ上の問題があることが明らかになっている。内閣官房情報セキュリティセンター（以下、NISC）は、これらのソフトウェアにおいて、「クラウド入力」機能をオフにしている状態でも文字の入力情報がバイドゥのサーバーへ送信していることが発覚したとし、各省庁などに注意をしている。

また、セキュリティ関連サービスを展開するネットエージェントも問題を検証した結果をウェブ上で公開している。

同社はSimeji、Baidu IMEの動作を解析した結果、日本語入力した際の文字列がSSLで暗号化され、サーバーへ送信されていることが分かったとしている。どちらのソフトウェアにも、サーバーと連携して入力文字の変換を行う機能「クラウド入力」があるが、この機能をオフにしてもデータを送信しているという。

ただし、送信されているのは全角文字の入力の場合のみで、半角文字の場合は送られていない。半角文字は送られないため、パスワードやクレジットカード番号、電話番号についても半角入力していれば送信されていない。しかし、全角入力で入力し、半角に変換しているような場合は送信されていることになる。

それぞれ個別に見ると、Simejiの場合は、クラウド入力がオフ、ログ情報の送信がオフの場合でもデータが送信される。送信されるデータの中にはスマートフォンなどの端末識別子、使用している端末名、使用しているアプリのパッケージ名、Simejiのバージョンが含まれている。

一方、Baidu IMEではWindows PCのセキュリティ識別子SID、使用しているアプリのパス名（Chrome等の場合はWindowsのユーザー名が送られるケースも）、Baidu IMEのバージョンが送られている。

なお、この問題は大手報道機関を含め広く報道されており、バイドゥもその報道を受けて見解、今後の対応を発表している。

まず、ユーザーの許諾を得ず、無断でデータを送信している、とされることに関しては、ユーザーが入力した情報は原則として「バイドゥ サービス利用規約」の中の「プライバシーポリシー」に沿って扱っているという。ユーザーの入力情報をサーバーに送る場合はログ情報の送信について事前に許諾を受けており、許諾が得られないユーザーについてはログ情報を取得していない、ということだ。また、クレジットカード番号やパスワードなどの信用情報、住所や電話番号などの個人情報はログ情報として収集しない仕様だという。

そして、バイドゥでも報道を受けて調査した結果、Simejiについてはログ情報の送信機能がオフの場合でも、一部のログデータが送信されていたことを確認したということだ。これはバージョンアップ時に起こった実装バグだということで、2013年3月にリリースされたバージョン5.6から発生していた問題だという。同社は26日中に問題を改善した最新バージョンを緊急リリースすることも明らかにしている。

また、Baidu IMEにおいては事前許諾の設定画面が見つけにくいという問題があり、その点については26日より改善したということだ。

【情報元、参考リンク】
・ネットエージェント/入力情報を送信するＩＭＥ
・バイドゥ/プレスリリース