マジヤバイ! Baidu IMEとAndroidのsimejiが個人情報を中国企業に送信。まとめと対策

2013年12月27日

00-top
※当初、中国のサーバに送っていたと書きましたが、その後のリリースで日本に設置されたサーバということらしいので「中国企業の」に変えました。しかし日本にあろうがアメリカにあろうがクラウドだろうが、中国からアクセスできるわけで同じでそれには何の意味もないんですけどね。そのサーバに中国の百度からアクセスしてないなんてことはあり得ないし(simejiのやりとりみても実装は中国側)、逆に日本のサーバだからを強調するあたりが逆に・・。ちなみに最下段の詐欺グループのサーバは中国にはなく、アメリカや東欧など世界各国に散らばってます

いろいろ報道されているので書くまでもないかなと思いましたけど、新聞報道とかは一部しか伝えてないようなのでまだ暢気な人もいると思い、まとめてみました。

Baidu IMEがすべての入力データを中国企業のサーバに送っていた

中国「百度」製ソフト、入力の日本語を無断送信 読売新聞

初期設定のまま使用すると、パソコン上で打ち込んだメールや検索の単語、文書編集ソフトで作成した文書など、全ての文字列が自動的に同社のサーバーに送信されていることが判明。各パソコンからサーバーに情報を集め、変換精度を向上させる「クラウド変換」を行うためとみられるが、利用規約などで説明はない。

変換精度を高めるためと、好意的に見ようとしている感じはしますが、銀行へのログインやクレジットカード情報、会員登録の住所まで、変換IMEをBaiduにしていたら全て送信されてるってこと?
インストールしてあるウイルスソフトが今日あたり警告出してくれそうな気もします。

GoogleのIMEは送信していない

AndroidはIMEインストール時に“警告”表示で注意喚起 Google日本語入力は「入力情報の送信はしていない」 ITmedia

Google日本語入力の開発者である小松弘幸さんが、Google+への2011年12月の投稿でこの意図を説明している。IMEはあらゆる日本語入力を司り、クレジットカード番号やパスワードなどを入力する際にも使われるもの。「悪意のあるソフトウェアなら、そのような情報を不必要に収集して、ネット上に送信できてしまいます」。
—- 中略 ——–
小松さんは投稿で、Google日本語入力では入力した文字や文章を外部に送信していないと説明している。改めてGoogle日本法人の広報担当者に確認したところ、Android版、PC版とも「Google 日本語入力を使って入力された文字、文章、番号などがGoogleに送信されることはありません」という回答だった。

Googleが外部に送信しなくても精度を向上できるのに、Baiduはどうして送信している?

Androidのsimejiは作者の知らないうちに仕様を変えられていた??!

Androidの日本語変換SimejiがBaiduに買収されたのは一昨年

日本語入力「Simeji」をバイドゥが取得、クラウド入力と連携

「Simeji」開発者の足立昌彦氏は、バイドゥのクラウド入力システムが「Simeji」に取り込める点をメリットとしていた。クラウド入力システムは、サーバー上の辞書をネット経由で参照して変換できるというもので、この機能が「Simeji」に盛り込まれれば文字の変換精度は格段に向上するという。

しかし、Simejiは足立氏の知らないうちに仕様を変えられていた可能性が!!

http://bylines.news.yahoo.co.jp/yamamotoichiro/20131226-00031020/

足立氏は


と、23時間前に慌ててレスされたあとは投稿無し・・・焦っているんでしょうなぁ・・・その前のやりとりを見ると胸が痛くなります。

Baiduも正式に認めました。しかし修正版をアップデートって誰も信用しないだろ・・・
バイドゥ、IMEアプリ「Simeji」で入力ログを無断送信

外務省までBaidu IMEを使ってた

外務省:中国「百度」製入力ソフトを削除、情報漏えい対策

これがアメリカならどうするかなぁと思うと、解決されるまで日本からBaiduへの接続をいったん遮断するのではないかと・・・。いくら日本だってCIA、MI6みたいのはやっぱりいるんじゃない? 内閣情報調査室とか予算も人員もいなさそうだし・・
というか、特定秘密保護法ってこういうときに何の役にもたたんの?

外務省、防衛省のパソコンから中国にデータが送られていたとすると

「特定秘密を取り扱うことを業務とする者」と「公益上の必要により特定秘密の提供を受け、これを知得した者」による漏えいだけでなく、特定の「取得行為」およびその未遂、共謀、教唆、煽動をも処罰対象とする。
処罰の対象となる取得行為 
人を欺き、人に暴行を加え、又は脅迫する行為
財物の窃取
施設への侵入
不正アクセス行為
2、3、4以外の特定秘密の保有者の管理を侵害する行為

なので「不正アクセス行為」にあたらないの? あたらないのであれば特定秘密保護法なんて無意味じゃん。

とりあえずなにをしよう

まあ、とりあえずBaidu IMEとSimejiは削除でしょう。ついでにこの際、Macに換えますか・・・・

入力した文字列をすべて無断でサーバに送信していた「Baidu IME」削除方法

わたしはMacとiOSユーザーなのでとりあえず関係無いです。前に6980円の中華タブレット買ったときにSimeji入れたくらい。しかしメイン機のWindowsマシンでBaidu IME使ってたり、AndroidでSimeji使ってたりしたら、パスワードはとりあえず全部変更しておきます。なにやるかわかんないもん。あの国。

しかしAndroidユーザーの意識ってこんなもんなの?? レビュー見てびびるわ
simeji

国民生活センター、インターネット通販の前払いによるトラブルで注意を呼びかけ

何回か書いたけど、これは上海に根拠を持つ中国人グループで、世界各国の言語で数千とも言われる詐欺サイトを運営しています。中国ではネット上の監視が数十万単位のネット警察の手で行われているから、逮捕しようと思えば簡単にできるはず。それをしないで放置しているのも謎なのです。サーバへのアタックやハッキング、クラッキングも中国からがめちゃくちゃ多い。政府ぐるみでやってるんじゃないの的な見方も当然ありますわな。

櫻井よしこさんのこの本。前にも紹介したけどめちゃ怖いです

  • 0
  • 0
    このエントリーをはてなブックマークに追加
  • 10743
    follow us in feedly
PAGE TOP