13/12/26 12:59:59.58 0
★ バイドゥ、「Baidu IME」「Simeji」でユーザーの入力内容を無断送信 ネットエージェントが解析
ネットエージェントは12月26日、中国Baiduの日本法人バイドゥが無償配布しているPC向け
日本語IME「Baidu IME」とAndrid向け日本語IME「Simeji」を使って入力された文字列が、
ユーザーに無断で外部のサーバに送信されているという解析結果を明らかにした。対策されるまで
両アプリの使用を控えるよう呼びかけている。
指摘に対してバイドゥの広報担当者は「調査中」とコメント。26日内にも調査結果を発表するとしている。
Baidu IMEとSimejiはそれぞれ、顔文字変換や流行語の変換、スキンの変更などに対応した
日本語IME。クラウド上のサーバと連携し、変換精度をアップさせる「クラウド入力」機能を備えている。
ネットエージェントは、両アプリからSSL暗号通信でインターネットに送信されているデータを
解析。ユーザーが設定画面でログ送信をオフにしたり、「クラウド入力」をオフにしていても、
変換した文字列や端末名、使用中のアプリ名が、国内にあるサーバに送信されていることが
分かったという。
送信されていたのは、Baidu IMEは(1)変換確定文字列、(2)Windows PCのセキュリティ識別子(SID)、
(3)使用中しているアプリケーションのパス名、(4)Baidu IMEのバージョン。Simejiは
(1)変換確定文字列、(2)UUIDによる個別端末識別子、(3)使用しているデバイス名、
(4)使用しているアプリケーションのパッケージ名、(5)Simejiのバージョン。
送信されている文字列は変換されたものだけで、パスワードなど半角入力のみの場合は送信されない。
クレジットカード番号や電話番号なども、変換しない限り送信されない。
また、「クラウド入力」がオフの場合は、文字入力ごとの逐次送信は行われないが、文字列を
変換した際には送信されていたという。Baidu IMEを26日にダウンロードして試したところ、
「クラウド入力」機能はデフォルトでオフとなり、オンにすることができなくなっている。(>>2へ続く)
ITmedia URLリンク(www.itmedia.co.jp)