「Baidu IME」「Simeji」が変換文字列を無断で送信、NISCが省庁に注意喚起
バイドゥ株式会社が提供しているWindows向け日本語入力システム「Baidu IME」およびAndroid向け日本語入力システム「Simeji」が、クラウド上のサーバーと連携して変換を行う「クラウド入力」をオフにしている状態でも、入力情報をサーバーに送信しているとして、内閣官房情報セキュリティセンター(NISC)が中央省庁に対して注意喚起を行っていたことがわかった。文部科学省も、国内の大学などに対して注意喚起を行っている。
NISCでは、機密性のある文書を作成する場合には、日本語入力システムで外部のサーバーに情報を送信する機能をオフにするか、オフにできない場合は使用しないことを呼び掛けている。
ネットエージェント株式会社によると、Baidu IMEとSimejiを調査した結果、いずれもクラウド上のサーバーと連携して変換を行う「クラウド入力」機能をオフにしている場合でも、変換確定文字列をサーバーに送信していることが判明。情報を送信しているのは全角入力の場合のみで、半角入力のみの場合は送信されないという。
Baidu IMEの場合、送信している情報は変換確定文字列、Windows PCのセキュリティ識別子SID、使用しているアプリケーションのパス名、Baidu IMEのバージョン。アプリケーションのパス名から、Windowsのユーザー名が送られるケースもありうる。
Simejiの場合は、変換確定文字列、UUIDによる個別端末識別子、使用しているデバイス名、使用しているアプリケーションのパッケージ名、Simejiのバージョンが送信される。
ネットエージェントでは、この件に対する報道を受け、Baidu IMEやSimejiも改善すると思われるが、バージョンアップにより改善されるまで使用は控えた方が良いかもしれないとアドバイスしている。
【追記 12/27】 バイドゥ株式会社は26日、IMEの情報送信について見解を公表した。Baidu IME、Simejiとも、クラウド変換やログ情報の送信についてはユーザーの許諾を得ていない場合には情報を送信しないと説明。ただし、Simejiについては、クラウド送信がオフの設定になっている場合でも、実装バグにより入力文字列が送信される問題があったとして、問題を修正したバージョンを公開した。また、Baidu IMEについては、事前許諾の設定が見つけにくい点を改善したとしている。
【追記 2014/1/6】 バイドゥ株式会社は30日、Baidu IMEをバージョン「3.5.2.9」にアップデートし、クラウド変換が「オフ」の状態をデフォルト設定とする変更を行ったと発表した。また、利用規約をより分かりやすいように改善したという。