ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

バイドゥ、「Baidu IME」「Simeji」でユーザーの入力内容を無断送信 ネットエージェントが解析

» 2013年12月26日 12時01分 公開
[ITmedia]
画像 解析の概念図。ネットエージェントのSSL通信可視化サービス「Counter SSL Proxy」で解析した

 ネットエージェントは12月26日、中国Baiduの日本法人バイドゥが無償配布しているPC向け日本語IME「Baidu IME」とAndrid向け日本語IME「Simeji」を使って入力された文字列が、ユーザーに無断で外部のサーバに送信されているという解析結果を明らかにした。対策されるまで両アプリの使用を控えるよう呼びかけている。

 指摘に対してバイドゥの広報担当者は「調査中」とコメント。26日内にも調査結果を発表するとしている。


画像 Baidu IME
画像 Simeji

 Baidu IMEとSimejiはそれぞれ、顔文字変換や流行語の変換、スキンの変更などに対応した日本語IME。クラウド上のサーバと連携し、変換精度をアップさせる「クラウド入力」機能を備えている。

 ネットエージェントは、両アプリからSSL暗号通信でインターネットに送信されているデータを解析。ユーザーが設定画面でログ送信をオフにしたり、「クラウド入力」をオフにしていても、変換した文字列や端末名、使用中のアプリ名が、国内にあるサーバに送信されていることが分かったという。

 送信されていたのは、Baidu IMEは(1)変換確定文字列、(2)Windows PCのセキュリティ識別子(SID)、(3)使用中しているアプリケーションのパス名、(4)Baidu IMEのバージョン。Simejiは(1)変換確定文字列、(2)UUIDによる個別端末識別子、(3)使用しているデバイス名、(4)使用しているアプリケーションのパッケージ名、(5)Simejiのバージョン。


画像 Baidu IMEから送信されているデータ

画像 Simejiから送信されているデータ

 送信されている文字列は変換されたものだけで、パスワードなど半角入力のみの場合は送信されない。クレジットカード番号や電話番号なども、変換しない限り送信されない。

 また、「クラウド入力」がオフの場合は、文字入力ごとの逐次送信は行われないが、文字列を変換した際には送信されていたという。

 バイドゥの広報担当者は取材に対し「開発部隊に確認するなど調査中」と説明。26日中にも調査結果を発表するとしている。

 Baidu IMEは2011年12月までに180万ダウンロードを突破。Simejiは今年10月までに700万ダウンロードを突破している。

Copyright © ITmedia, Inc. All Rights Reserved.