周回遅れの日記

はてなダイアリーから移転

Baidu IME と Simejiがログを送信しているという件

インターネットサービス PC

Baidu IMEが、パソコンに入力した全ての文字情報を百度のサーバに送信しているとのこと。
「ええっ、まさか」じゃなくて「ああ、やっぱり」という感がするのはなぜでしょうね。
読売の記事。

 中国検索最大手「百度(バイドゥ)」製の日本語入力ソフトについて、使用するとパソコンに入力した全ての文字情報が同社のサーバーに送信されることが分かり、内閣官房情報セキュリティセンター(NISC)や文部科学省は、中央省庁や大学、研究機関など約140機関に使用停止を呼びかけた。

http://www.yomiuri.co.jp/net/news0/national/20131225-OYT1T01536.htm

NHKの記事ではもっと詳しく書かれています。

このソフトは、初期設定ではパソコンの情報を外部に送信しないと表示していますが、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。送っている内容は、利用者がパソコンで打ち込んだほぼすべての情報と、パソコン固有のID、メールや文書作成ソフトなど利用しているソフトの名前です。

http://www3.nhk.or.jp/news/html/20131226/k10014117561000.html

バイドゥのいうところの「ログ情報」もすべていったん百度のサーバに送信しているということです。
打ったものをそのまま送信しているというのはちょっと困った話です。
Google日本語入力も統計情報を広く収集しているのは有名な話ですが、さすがのGoogleもユーザーが打った単語そのものは収集してませんからね。
以前から、ネットワークモニターでチェックしていると異様に送信量が多いという話は聞いていましたが、ああやっぱりなという感じではあります。
もう今年の年賀状書き終えた方もいるかと思いますが、Baidu IMEを使って年賀状を作成した場合、宛名も宛先も文面も全部あっちに送信されている可能性があるということです。

Baidu IMEのサイトにはこう書いてあるんですが。

また、クレジットカード番号やパスワードなどの信用情報、または住所や電話番号などの個人情報については、ログ情報として収集しない設定となっています。

利用ガイドライン | Baidu IME - 日本語入力システム -

おそらく、こういうセンシティブな情報も含めて、フィルタリングすることなくいったん百度のサーバーに全部送った後で、ブラックリストに該当するセンシティブな情報を見つけたら保存せずにただちに抹消する扱いをしているのではないかと思います。いや、実はそんなこと全くやっていない、という可能性もありますが。

百度側もログ情報の送信を否定していません。

これについて百度の日本法人は、情報を送信し、一定期間保存していることを認めたうえで、「ネットを使って変換の候補を表示したり、変換の精度を向上させるために利用している。説明が不十分な点は、利用者が安心できるよう分かりやすく改善していきたい」と話しています。

http://www3.nhk.or.jp/news/html/20131226/k10014117561000.html

ログ情報の送信を行っていることを認めた上で、プライバシーポリシーや利用条件の説明が不十分だった、ということのようです。

察するに、たぶん中国じゃこういうのは日常茶飯事なのではないでしょうかね。
まさかこの程度の情報送信が問題にされるとは思わなかったのではないかなあ、と思ったりもします。大陸じゃこんなこと気にしていたらネット使えないのではないでしょうか。

また、百度スマートフォン向けに提供している「Simeji(シメジ)」という人気の日本語入力ソフトも、情報の送信を行っていることが確認されました。

http://www3.nhk.or.jp/news/html/20131226/k10014117561000.html

Simejiも同じくログ情報の送信を行っているそうです。
「Simejiは日本製だから大丈夫」と思っている方も多いかもしれませんが、今はSimejiは百度のものですからね。
スマホに関しては乗り遅れた分、Simejiもマッシュルームもまったく使ったことがありません。
スマホ黎明期からの先進ユーザーにはSimeji使ってる人多そうです。

まあ、用途次第では、別にログ情報を送信されても実害はないという場合もあるとは思いますが、でも、ユーザーの方は気をつけて使っていただきたいものですね。

分かってて使ってる人はそのままBaidu IME使ってて構わないと思いますが、「なんのことかよく分からん」という方は直ちにアンインストールして使用を止めた方がよろしいかと思います。
フリーソフトのインストールの際にバンドルされたBaiduをインストールされた(たとえばこんな感じ)というケースは結構あります。私も以前にEssentials Media Codec Packをインストールした際に不覚にもやられた経験があります。
アンインストール方法がよく分からないので仕方なく使っているという人も結構いると思いますがちゃんとアンインストールして使った方がいい。
それ以前に、自分が使っているIMEが何なのか知らない、という人もわりといるはず。
ATOKやMS IMEを使っていたつもりが、ふと気づいたらいつの間にかBaiduになっていた、という話も聞いたことがあります。私はパソコンよく分かりませんと自認している方は、ぜひ自分が使っているIMEがBaiduではないか確認してみましょう。

ふと思ったんですけど、IMEをオフにしている間のキー入力はどうなんでしょうね。
たとえば、クレカ番号やセキュリティコード、パスワードは半角英数字ですから、IMEオフの状態で入力することが多いと思いますが、そういうものも収集する形になっていたのかどうか。
もしそうなら、まさにキーロガーそのものですなあ。

(追記)続報など

今朝より情報が増えました。
私も誤解していた部分があったのでこの辺の記事をご覧ください。

解析結果。
入力情報を送信するIME(ネットエージェント)
入力情報を送信するIME - セキュリティごった煮ブログ|ネットエージェント

それに対するBaiduのプレスリリース。
ニュース| Baidu Japan(バイドゥ株式会社)

インプレスの記事。
「Baidu IME」「Simeji」が変換文字列を無断で送信、NISCが省庁に注意喚起 -INTERNET Watch Watch
バイドゥ、IMEの情報送信について見解、「Simeji」には実装バグがあったと説明 -INTERNET Watch Watch

ITmediaの記事。
百度の「Baidu IME」「Simeji」が入力情報を無断で送信 セキュリティ会社が指摘 - ねとらぼ
百度「Simejiのバグでログ情報が送信」 修正版をリリースへ - ねとらぼ

重要な点としては、上で書いたような半角英数字で打ったものは送信されていないということで、パスワード等は抜かれていない可能性が高いということになります。IMEをオンにしてパスワードを打って半角変換して確定していたり、パスワードそのものを単語登録していたりするとアウトだと思いますが。

「アンインストールのやり方」で検索してこられる方が多いようですが、すいません私時間が無くて実験できません。ごめんなさい。たぶんコントロールパネルから普通にアンインストールすればいいと思うんですけれども。IMEが有効でない限り送信しないということなので、アンインストールして残った残骸があっても実害はないんだと思いますが、確認はしてません。
Baidu IMEをインストールして、コンパネからアンインストールして、残った残骸がBaiduのサーバと通信しているか確認する実験をできればやりたいのですが。誰かやってください。