中国の検索大手「百度(バイドゥ)」の日本法人が提供する日本語変換ソフト「Baidu IME」「Simeji」が、利用者に無断で文字入力の内容を自社サーバに送信していると、NHKなど複数のメディアが報道しています。問題の検証を行ったセキュリティ会社のネットエージェントは報道を受け、ブログで検証結果の詳細を報告しています。なお、Simejiのダウンロード数は2013年10月時点で700万件を突破。Baidu IMEも180万回以上ダウンロードされている人気ソフトです。

photo
Baidu IMEの送信例(ネットエージェントの発表より)
photo
Simejiの送信例(ネットエージェントの発表より)

 ネットエージェントの検証によると、Baidu IMEとSimejiでは、クラウドと連携して変換する「クラウド入力」機能がオフの場合でも、全角入力の情報をSSLで暗号化して送信していました。半角入力のみの場合は、情報は送信されておらず、「クレジット番号や電話番号も変換しなければ送られません」と同社は説明しています。

 また、Windows向けソフトであるBaidu IMEでは、入力内容のほかにコンピューターのSID(セキュリティ識別子)、利用アプリケーションのパス名、Biadu IMEのバージョンを送っていました。Android向けアプリのSimejiでは、UUID(個別端末識別子)、利用デバイス名、アプリのパッケージ名、Simejiのバージョンを送信していました。

 Baidu IMEでは初期設定で「ログ情報」の送信機能はオフになっています。製品サイトのQ&Aコーナーでも、ユーザー自身がログ情報の送信にチェックを入れない限り、送信は行われないと説明しています。Simejiにおいても、初期設定で「クラウド入力」「ログ情報」の送信がオフになっていますが、情報は送信されていたとのことです。

photo
Baidu IMEのインストール画面。ログ情報の送信は初期設定でチェックが外れている
photo
製品サイトのQ&Aコーナーにある説明
画像
Baidu IMEを26日午前11時にダウンロードした時点では、クラウド入力機能がデフォルトでオンになっていた

 ネットエージェントは利用者の対応策について、「バージョンアップを待ち、改善されるまで使用は控えたほうが良いかもしれません」と指摘しています。また、読売新聞の報道によると、内閣官房情報セキュリティセンターや文部科学省では、中央省庁や学問・研究機関など約140機関に百度製日本語入力ソフトの使用停止を呼びかけたとのことです。→続報:百度「Simejiのバグでログ情報が送信」 修正版をリリースへ

 ※続報を追記&表現を一部修正しました。