百度(Baidu)の文字入力ソフト「simeji」と「Baidu IME」が入力データを無断で自社サーバに送信

スクリーンショット 2013-12-26 14.40.34

 スマートフォン向け文字入力ソフト「Simeji」と、パソコン向け文字入力ソフト「Baidu IME」が、入力した文字列の一部を無断で、日本国内に設置されたBaiduのサーバに送信していたことが、日本のセキュリティ関連企業ネットエージェントの調査で明らかになりました。

 無断で文字列が送信されていたのは、ユーザが「全角入力」で文字を入力していた場合のみで「半角入力」の場合は情報の送信は行われていません。

 そのため、ユーザIDやパスワードなどの半角入力に限定されている情報や、クレジットカードの番号も全角入力で入力していない限り情報は送信されていないとされています。

 外部に送信されていた情報は以下の通りです。

 <Simejiの場合>
Simejiの場合は、クラウド入力OFF、ログ情報を送信がOFFの場合でも送信されます。 

py= 変換確定文字列 
uid= UUID による個別端末識別子 
mobile= 使用しているデバイス名 
app= 使用しているアプリケーションのパッケージ名 
version= Simejiのバージョン <Simejiの場合>
Simejiの場合は、クラウド入力OFF、ログ情報を送信がOFFの場合でも送信されます。 

引用元: NetAgent Official Blog : 入力情報を送信するIME

<Baidu IMEの場合>

py= 変換確定文字列 
uid= Windowsのコンピューターのセキュリティ識別子SIDです。 
app= 使用しているアプリケーションのパス名です。 Chromeなどの場合ユーザ領域に保存されるため、Windowsのユーザ名が送られるケースもあります。
version= Biadu IMEのバージョン 

引用元:  NetAgent Official Blog : 入力情報を送信するIME

 この報道に対し、Baiduはプレスリリースを公表。自社の見解を発表しました。

1.無断送信について

ユーザーが入力した情報については、原則として「バイドゥ サービス利用規約」の中の「プライバシーポリシー」に沿って取り扱われます。ユーザーの入力情報を弊社サーバーに送る場合は、ログ情報の送信に事前に許諾を頂いており、許諾が得られないユーザーについてはログ情報の取得を行っておりません。また、クレジットカード番号やパスワードなどの信用情報、または住所や電話番号などの個人情報については、ログ情報として収集しない仕様となっています。なお、両製品に関わるサーバー機器およびデータは日本国内のみで管理しています。

なお、Baidu IMEの事前許諾の設定画面が見つけにくい点については、本日より改善しております。

引用元: Baidu(バイドゥ)ニュース – Baidu.jp に関するニュース

 また、Simeji において、ユーザが許可していないのにも関わらず、情報を送信していたことについては、以下のように説明しています。

報道を受けて弊社で調査させていただいた結果、SimejiについてログセッションがOFFの場合でも一部のログデータが送信されていた事実を確認しました。このデータは、変換精度をあげるためのデータとして活用しているものですが、バージョンアップ時に起こった実装バグということが判明しました。こちらは今年3月にリリースしたバージョン5.6から発生していたことが判明しました。本日中に改善した最新バージョンを緊急リリース予定です。リリース情報は、準備ができ次第別途ご案内予定です。

引用元: Baidu(バイドゥ)ニュース – Baidu.jp に関するニュース

 IME(文字入力ソフト)は、常日頃から利用するソフトウェアであるため、今回のような問題が明らかになると「気持ちが悪い」と感じてしまうのが率直な感想でしょう。特にSimejiは利用者が多いため、アプリケーションのアップデートで早急にこの問題を解決してほしいですね。

 現在 Simeji や Baidu IME を利用しているユーザは、アプリケーションをアンインストールするか、文字入力ソフトを標準のIMEやGoogle日本語入力などに切り替えることが推奨されます。

この記事にコメントする

comments powered by Disqus