バイドゥ、「Baidu IME」「Simeji」でユーザーの入力内容を無断送信 ネットエージェントが解析

[ITmedia]

解析の概念図。ネットエージェントのSSL通信可視化サービス「Counter SSL Proxy」で解析した

　ネットエージェントは12月26日、中国Baiduの日本法人バイドゥが無償配布しているPC向け日本語IME「Baidu IME」とAndrid向け日本語IME「Simeji」を使って入力された文字列が、ユーザーに無断で外部のサーバに送信されているという解析結果を明らかにした。対策されるまで両アプリの使用を控えるよう呼びかけている。

　指摘に対してバイドゥの広報担当者は「調査中」とコメント。26日内にも調査結果を発表するとしている。

Baidu IME

Simeji

　Baidu IMEとSimejiはそれぞれ、顔文字変換や流行語の変換、スキンの変更などに対応した日本語IME。クラウド上のサーバと連携し、変換精度をアップさせる「クラウド入力」機能を備えている。

　ネットエージェントは、両アプリからSSL暗号通信でインターネットに送信されているデータを解析。ユーザーが設定画面でログ送信をオフにしたり、「クラウド入力」をオフにしていても、変換した文字列や端末名、使用中のアプリ名が、国内にあるサーバに送信されていることが分かったという。

　送信されていたのは、Baidu IMEは（1）変換確定文字列、（2）Windows PCのセキュリティ識別子（SID）、（3）使用中しているアプリケーションのパス名、（4）Baidu IMEのバージョン。Simejiは（1）変換確定文字列、（2）UUIDによる個別端末識別子、（3）使用しているデバイス名、（4）使用しているアプリケーションのパッケージ名、（5）Simejiのバージョン。

Baidu IMEから送信されているデータ

Simejiから送信されているデータ

　送信されている文字列は変換されたものだけで、パスワードなど半角入力のみの場合は送信されない。クレジットカード番号や電話番号なども、変換しない限り送信されない。

　また、「クラウド入力」がオフの場合は、文字入力ごとの逐次送信は行われないが、文字列を変換した際には送信されていたという。

　バイドゥの広報担当者は取材に対し「開発部隊に確認するなど調査中」と説明。26日中にも調査結果を発表するとしている。

　Baidu IMEは2011年12月までに180万ダウンロードを突破。Simejiは今年10月までに700万ダウンロードを突破している。