やっぱり百度の日本語IMEとShimejiはスパイツールだった件

cat-it百度が利用者のデータ勝手に抜いていて問題になっています。

うちのサイトでも前からgoogleと百度関連のツールは情報収集に使われているのでそれを覚悟して使わなきゃいけないと言っていて、NSAのテロ防止に使われているアメリカのサービスと違いあらゆる工作活動に使う中国共産党じゃリスクの中身が違います。

アメリカが本気出せばiOSもAndroidもリモートワイプ機能で端末を無効化にできるので、外部から操作ができない日本のガラケーはいざという時に強いですね、百度(中国)が今回の発覚でデータの不正入手を辞めるとは思わないので、会社名を変えてツールを入れさせパケットの解析がされないよう通信の暗号化とか手口が巧妙化されると予想、怪しそうなツールやアプリは入れないようにしましょう。

この手の話題は当サイトでも昔から良くしていて探してみたら2013年12月3日の下記の記事に触れていました。

WoiShin Journal Chromeのgoogle検索エンジンをスッキリ編集する。 

日本語入力はロギングされていると疑うべき

中国共産党の情報収集に「百度」が使われていて言論統制や監視が主な目的だと思うが、可能性の話として企業秘密とか政府の重要機密なんかも集めてると疑うべきで、その手の仕事をしている人はオンライン辞書変換のIMEは使わない方が無難です。

どうやって収集するかと言えば、androidやPCの日本語入力の「google日本語」や「shimeji」や「Baidu ime」などを利用していると変換精度を上げるついでにユーザーの入力したパスワードやメールに入力した内容なんか記録されているので、米国政府がクレームをつけていた中国政府によるサイバー攻撃はそういう情報を元に中国の特殊部隊が暗躍している事が想像できます。

とは言え一般人の情報に興味が無いから心配していない件。

googleやyahooなんかの大手は詐欺目的で情報収集していないので安心して利用していますが、いたずらでも「殺す」とか「爆薬」とかの物騒なメールを送っているとフィルタで選別されて危険人物やテロリストの疑いがかかり監視の対象になるかも知れませんので、日頃の行いには注意しましょう。

色々なニュースサイトで扱われていますが12月17日にIIJの中の人が解析した内容が元となっているって噂です、この会社は通信の研究をよくしていてiijmioなんかではiphoneのSIMの相性やandroidの電池消耗のセルスタンバイ問題とかユーザーに有用な情報を発表しています。

以下一部引用

IIJ Security Diary: IMEのオンライン機能利用における注意について.

IMEのオンライン機能利用における注意について

日本語などのマルチバイト文字を扱う環境において、IME(Input Method Editor)は切っても切り離せない機能です。 最近は、このIMEに常時インターネット接続を必要とする、クラウド関連の機能が実装されることが増えてきました。 うまく使えば有益な機能ですが、利用における注意点などについて説明します。

クラウド機能の定義はIME毎に異なりますが、概ね以下の様な機能を指しています。

ユーザ辞書の外部サーバへの保存(辞書同期)

外部サーバからの変換候補の取得(クラウド変換)

これらの機能は文字入力精度や効率の面から見ると非常に魅力的です。 ですが、セキュリティの面から見た場合には注意する点があります。

1. ユーザ辞書の外部サーバへの保存(辞書同期)

殆どのIMEはユーザの入力データを元に自動学習しており、効率的な変換が可能です。 これらには自動的に学習した単語や、ユーザが自ら登録した単語等が含まれており、ユーザ辞書と呼ばれています。 ユーザ辞書に対するクラウド機能としては、複数端末間での同期が挙げられます。 外部のサーバにユーザ辞書を保存して、自分の所有する複数の端末で共有することにより変換の効率化が図れます。 辞書の保護の観点から、認証及びユーザによる明示的な機能の有効化が必要になっているIMEもあります。

ユーザ辞書には自動学習によりデータが蓄積されるため、意図していない単語が登録されていることがあります。 使い込んだ辞書から閲覧機能やエクスポート機能でデータを取り出してみると、 他人に見られたくないような単語が登録されてしまっている場合があります。 同様に、入力を省く目的で単語登録を使っているケースも注意が必要です。 (例: 自分のクレジットカード番号を「くれじっと1」と単語登録している場合など)

辞書同期機能を使う場合は、これを外部のサーバに保存することになりますので、 保護に使われる認証情報の管理には注意を払う必要があります。 また、クレジットカード番号など送信されると困る情報を扱う場合はIMEを無効化したり、 当該情報を辞書登録しないということを心掛けて利用する必要があります。

広告