Baidu IME/Simejiの入力情報送信事案で感じた「いまさら感」

Tweet

By: Alec Couros

今日はこのニュースがタイムライン上で延々と話題になっていました。

どんな事件であったかというと、Web媒体ではこんな報道がなされています。

• 「Baidu IME」「Simeji」が入力文字や識別IDをサーバーに送信、ネットエージェントが調査：ITpro
• 百度の「Baidu IME」「Simeji」が入力情報を無断で送信　セキュリティ会社が指摘 – ねとらぼ

ソーシャルメディア上では誤報的なものが混じりながらも、話題が掘り下げられ、問題点などが明らかにされていく過程が見られておもしろいものでした。

と、もちろん興味はあるんですけど、自分的にはかなり他人事な感覚でした。

ことの是非とか、バグだとか、無断で送信/いや無断じゃない、などは報道するメディアなりセキュリティや通信の専門家なりの検証に任せるとして触れませんが、自分が強く感じたのは「いまさら感」でした。

Sponsored Link

Baidu/百度の実態

ソーシャル的に変換候補をサーバに送るIMEは他にもいくつか存在していますが、Baidu/百度ブランドの胡散臭さは圧倒的なんですよね。

Baidu/百度は中国生まれの検索サービスのブランドです。[華]中国検索エンジン市場シェア【2013年10月速報】- 360捜索がついにシェア20％を突破 : 中国ネット広告最新情報／華僑社西田の中国ブログによれば、中国内では約6割のシェアがあります。日本向けにはローカライズしてサービスを展開していますが、検索エンジンのシェアとしては極小のようです。

もちろん現在でも存在はしていますが、検索エンジン・ポータルサイト 日本のシェア ホームページ制作 Webシステム開発 ジーエープロに記載されている「検索エンジン・ポータルサイト 日本でのシェア(使用率)」で挙げられている8つの検索エンジンの中にBaidu/百度の名前はありません。

実は、kira-ismのアクセス解析のリファラでBaidu/百度を見かけた覚えがないので、日本国内ではほぼ開店休業みたいな状態なのでしょう。

それはともかく、Baiduは中国企業の日本法人なので、中国との結びつきは当然のようにあるはずで、今回の事案でも中国の無法な諜報活動に関わっていないか？と気にもなったりします(もちろん真実はどうか分かりませんし、あくまで私が受けた「印象」でしかありません)。

そのBaidu/百度の提供するIMEがBaidu IMEであり、日本国産のAndroid用IMEであるSimejiはBaidu/百度に買収されて現在にいたります。
Baidu IMEはBaidu/百度のサイトから単体でダウンロードも出来ますが、しばしばWindowsのフリーソフトに抱き合わせになっていることがあり、結果としてそのフリーソフトをインストールする際に誤って(または気が付かないうちに)Baidu IMEもインストールしてしまうことがあります。

自分自身も誤ってBaidu IMEをインストールしてしまい、激怒したことがあります。Baidu IMEを同時にインストールするか否かを選ぶチェックボックスはデフォルトで「インストールする」になっており、またそのチェックボックス自体が見落としやすい配置となっていました。

自分がBaidu IMEをインストールしてしまったのは、GOM Playerをインストールする際にBaidu IMEが抱き合わせされているのに気が付かなかったためです。注意深さを持たずに「Yes」を押し続けてインストールするタイプの方はこの罠にはまりやすいでしょう。

この辺のBaidu IMEの施策の胡散臭さ、グレー(ブラック？)さが、自分は非常に嫌なわけです。

話は逸れますが、GOM Playerを提供するGRETECH JAPANとBaiduってどういう関係で、この提携でどんな利益を上げてるんでしょうね・・・？

IMEが入力情報をサーバに送る意味

サーバ上に変換辞書を置くことで、高頻度なアップデートかつ大量な変換候補を変換辞書に反映させることが可能になります。今回はユーザがIMEに入力した情報の一部(または全部)を、ユーザとの合意の上で(或いは合意のないままに、または合意と異なる方法で)サーバに送っていたことが問題視されます。

このBaidu IME/Shimejiのグレー(ブラック？)な動作で送信された情報の中に個人情報や自治体等の機密に触れかねない情報が含まれるのではないか、更にはその情報を誰が何に使うのかなどが明らかでないことが問題となっています。

それはIMEだけがやっていることではない

このようにIMEに入力した内容を不適切に読み出すことで個人情報が漏れ出たり、国家機密が国外に流出したり、ということが起きる可能性が考えられます。
また、Baidu IME/Shimejiがその出自やサービスデザイン的な面から怪しげな印象を感じさせがちであることは事実と思います。

でも、これってIMEだけの話ではないんですよね。
例えば、あなたのメールアカウント上で送受信したメールの中身が第三者にまるっと見られていたら、どうでしょう。当然気分は悪いですが、それだけでは済みません。これが国家公務員のメールアドレスでのことなら、国家機密的な情報が外部(国外)に漏れ出てしまう可能性もあり、シビアに対応せざるを得なくなります。

あなたのメールアカウントで送受信したメールを自由に見られるのは誰か

メールの中身に1企業が無制限にアクセスできるという事案は以前から起きています。
具体的にはGoogleはGmailの内容を全て見ている(見られる環境にある)ということが明らかにされています。

参考リンク

• ニュース – 「Gmail」を巡る盗聴法違反訴訟、Googleの主張が退けられる：ITpro
• GoogleはGmailの中身を読むことはビジネスとして当然の行為であると裁判で主張 – GIGAZINE

この参考リンクは今年の夏の話ですが、以前から話題になっていたことです。
Googleとしては(おそらく本当に)広告収入を上げることが目的なのでしょうが、Gmailの中身を見られるということにはFBI当局が強く関心を持っているとも言われています。

故に「重要な情報はGmailで送るな、通常のeメールで送れ」とよく言われます。
日本のお役所がGmailで結構な秘匿性の高い情報の送信に使っていて・・・なんて話も噂としてよく聞きますね。

そもそもGoogleってアメリカの会社ですから・・・。まぁいわずもがな。

いまさら感

もちろん今回明らかになったBaidu IME/Shimejiがサーバに情報を送る挙動にある怪しげな部分は早急にクリアにする必要があります。

その一方で、「メールなら見られてもいいの？(見られてもいい情報しか送っていないのならいいけど)」「サービス提供者が中国系企業だと身構えてしまうけれど、アメリカ系企業なら安心なの？」「Baidu/百度にはデータは見られたくないのに、Googleならいいの？」と思うわけです。

ということで、今回のBaidu IME/Shimeji事案の展開を見ていて強く「いまさら感」を感じたというお話でした。

Tweet