中国製ソフトのバイドゥIME(日本語入力ソフト)で、情報漏えいリスク!

バイドゥIMEを初期設定のまま使用すると、キーボード入力されたメール検索の単語、文書編集ソフトで作成した文書などが自動的に同社のサーバーに送信される。

中国検索最大手「百度(バイドゥ)」が2009年に公開された無料ソフトで、日本国内で約200万人が利用してる。サーバーに入力情報を送信する目的は、「クラウド変換」という機能で利用者の入力情報を送り、学習させていることで、変換機能を向上させるためが本来の目的。しかしサーバーに送られた情報が悪用されない保証もないため、情報漏えいのリスクが高い。

<2014/01/13追記>

日本語入力ソフト「バイドゥIME」の利用は、29府県市で1000台以上の利用が判明(詳細は、こちらから)

<バイドゥIMEは・・・>

  1. 他のフリーソフトと同梱され、気づかずにインストールする場合がある。
  2. 初期設定ではサーバー送信が許可になってる。(送信許諾の画面は見つけにくく、気づかないままが多い)
  3. 一部のパソコンでは、最初からインストール(プレインストール)されている。
  4. Android端末向け日本語入力アプリ「Simeji」においても入力した情報が無断で送信される。

Android端末向け日本語入力アプリ「Simeji」も同様のリスク!

サーバー側に送られら情報が悪用されないとも限らないため、注意が必要。悪意的に使われることが多い、キーボードの入力履歴を記録する「キーロガー」のようなリスクも想定される。

バイドゥIME

日本語入力ソフト「バイドゥIME」で、情報漏えいのリスク

※上記図は、読売新聞(YOMIURI ONLINE)より

PC端末向け日本語入力アプリ「Baidu IME」の送信情報

  1. 変換確定文字列
  2. Windows PCのセキュリティ識別子(SID)
  3. 使用中しているアプリケーションのパス名
  4. Baidu IMEのバージョン。

Android端末向け日本語入力アプリ「Simeji」での送信情報

  1. 変換確定文字列
  2. UUIDによる個別端末識別子
  3. 使用しているデバイス名
  4. 使用しているアプリケーションのパッケージ名
  5. Simejiのバージョン。

多数の大学でもインストールされていることが判明

  • 筑波大学
  • 東京大学
  • お茶ノ水大学
  • 東京工業大学
  • 信州大学
  • 名古屋大学
  • 滋賀医科大学
  • 京都大学
  • 大阪大学
  • 奈良女子大学
  • 九州大学
  • 宮崎大学

などの大学機関で利用が判明している。

また愛知県豊田市などの自治体や中央省庁、公共機関でも多く利用されていたことが判明。他のソフトと一緒に同梱されていることが多く、間違ってインストールした場合も考えられる。情報漏えいを防ぐために、このソフトの削除(アンンストール)や中国サーバーへの接続を拒否するなどの対策が必要。

<2013年12月27日追記>

バイドゥは12月27日に、Android用IME「Simeji」をアップデートし、バージョン5.6でユーザーが入力した情報を無断でサーバに送信していたバグを修正した。新バージョンはGoogle Playからダウンロードできる。新バージョンは、6.6.2