また百度(baidu)が日本語入力ソフトの件でやってくれたようです

山本一郎です。やらかしは伝統芸能だと思っております。

ところで、1週間ほど前ですが、IIJがセキュリティ関連の情報ブログにおいて、クラウドを活用した日本語入力ソフト(IME)についてセキュリティ上の懸念があるという記事が掲載されておりました。もっとも、これ自体は少し前から東京某所で捕捉して興味深くモニタリングされていた事案であり、何をいまさらという感が無きにしも非ずでしたが、こういうことを知らずにそうした機能を使っている人は決して少なくないのも事実ですから良記事の一つぐらいに読んでいたわけです。

IMEのオンライン機能利用における注意について(IIJ Security Diary 2013/12/17)

一部の無料IMEにおいてはインストール時の推奨設定で自動的に有効化されます。 このIMEは、フリーソフトウェアなどにバンドルされてインストールされる場合もあります。 インストール時に提示されたオプションなどを理解せずに、そのままOKボタンを押して進めてしまうと、 IMEも一緒にインストールされて、クラウド変換機能が有効になってしまいます。 また、メーカ製PCのプリインストールソフトウェアに含まれていることもあります。 こちらはインストール済みなので、出荷時の設定により既に有効になっている場合もあります。 どちらの場合も利用者は意図していませんので、そのまま使うと知らずに情報が送られていることになります。

出典:IIJ Security Diary

ところが、この記事がまるで呼び水であったかのように、今度は新聞やテレビのニュースでより具体的な話が報じられ、かなり驚いています。

中国「百度」製ソフト、入力の日本語を無断送信(読売新聞 2013/12/26)

中国検索最大手「百度」製の日本語入力ソフトについて、使用するとパソコンに入力した全ての文字情報が同社のサーバーに送信されることが分かり、内閣官房情報セキュリティセンター(NISC)や文部科学省は、中央省庁や大学、研究機関など約140機関に使用停止を呼びかけた。(中略)問題となっているソフトは「バイドゥIME」。2009年に公開された無料ソフトで、昨年1月のバイドゥ社日本法人の発表によると日本国内で約200万人が利用している。

出典:読売新聞

中国製の日本語入力ソフト 入力情報を無断送信(NHKニュース 2013/12/26)

このソフトは、初期設定ではパソコンの情報を外部に送信しないと表示していますが、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。(中略)また、百度がスマートフォン向けに提供している「Simeji(シメジ)」という人気の日本語入力ソフトも、情報の送信を行っていることが確認されました。

出典:NHKニュース

今回の件で悪質だと思われる点は、クラウド接続などのオプションをオフにしていても、実際には情報が外部に送信されていたという事実です。

事態の詳細については、分析を行ったセキュリティ対策会社のネットエージェントが報告をブログに挙げています。

入力情報を送信するIME(NetAgent Offcial Blog)

Biadu IME , Simejiでは、全角入力の場合のみ情報が送信されています。 クラウド入力Offの場合でも入力文字列を送信していました。 パスワードなど半角入力のみの場合は送信されていません。

出典:NetAgent Offcial Blog

興味深いのは、こうした情報流出がSSL通信で暗号化されて行われていたということです。本来であれば盗聴などを防止するための暗号化技術が、逆に不正行為の発覚を紛らわすための手段として利用されていたのは、まさにITが諸刃の刃であることを再認識させてくれる事例でもあり、変なところで感心してしまいました。

ちなみに、Baidu IMEはWindows用フリーソフトなどをインストールしようとすると勝手に同時インストールされてしまうなどの報告があるようで、もしかすると知らないうちに使っていたというユーザーも少なくないのかもしれません。

また、Simejiの方は、Android用日本語入力ソフトとしては老舗アプリで、スマホ利用に最適化された機能と無料であることから人気があり国内での利用者はかなりの数に登るのではないかと考えられます(Google Playのインストール数は現在500万~1000万)。

ネットエージェント社長のとSimeji開発者のお二人がTwitter上で今回の件についてやりとりをしているのですが、これを見るとどうも開発者自身も知らないところでこのような実装が行われていた可能性もあるような印象です。

@allforbigfire おはようございます。Simejiはクラウド入力ON時はサーバで賢い変換を行いますが通信を暗号化(SSL)して安全に配慮しています。端末認識番号も送信せず個人を特定できないよう配慮しているので安心して使ってください(*^^*)

出典:adamrocker

@adamrocker 仕様と実装がどこかでずれてしまっているようなので、解析データを後で送りますね。

出典:lumin

@lumin あれ?マジですか?HTTPSで通信されていませんか?是非お願いします。

出典:adamrocker

@adamrocker いや、クラウド入力OFFでも送信している方・・・。

出典:lumin

@lumin え?マジすか?今、手元で確認してるのですが、私の端末だとOFFの時は変換されてないみたいです。どのような入力文字でしょうか?もし設定が反映されてないなら再現テスト組んで修正を依頼します。

出典:adamrocker

@adamrocker livedoor.blogimg.jp/netagentblog/imgs/8/8/883a0ec0.png … クラウド入力OFF,ログ送信OFFで検証しました。このようなデータを送っています。早期の修正お願いします。

出典:lumin

@lumin ありがとうございます。早急に調査します!!

出典:adamrocker

これでSimegiについては事態が収集すれば良いのですが、すでに権利や運用そのものは百度の手に移ってしまっているでしょうから、どうなるのかはよく分かりませんね。

これには我らがダニーもお怒りです。

見た。アウト。入力文字列を集めるところまでは製品の特性上許容範囲かもしれないが、UUIDを明示的に集めるということはデータを匿名化する意志なしと意思表示してるのと同じ / “NetAgent Official Blog

出典:Dan Kogai - Twitter

ありがとう、ダニー。

いずれにしても、百度はやってくれたという感が拭えません。Baidu IMEの方はアンインストールしようとすると萌え絵のキャラクターが表れてアンインストールの再考を促すそうで、これなどまさに二次元ハニートラップといったところでしょうか。いやぁ、恐ろしいですね。

中国産の日本語入力『Baidu IME』をアンインストールすると美少女に泣かれる「私の良くないところをご指摘ください」(ロケットニュース24 2013/6/2)

中国産の日本語入力システム『Baidu IME』をアンインストールしようとすると、美少女が登場して泣かれることが判明した。美少女の涙でアンインストールをとどまらせるとはスゴイ発想だ。

出典:ロケットニュース24

なお、「私が愛した百度」のリンクを置いておきます。皆さまの年末の健やかな笑いに繋がれば幸いです。

百度(baidu)の新サービスが違法すぎてヤバイ(やまもといちろうBLOG 11/2/1)

百度文庫で日本を代表する大手企業の内部資料がダダ漏れな件(Yahoo!ニュース個人 やまもといちろう 13/8/8)

残り少ない2013年も、皆さんと頑張って乗り切っていきたいです。