NEW

日本語変換IMEデータ問題、なぜ“衝撃的”事件に?影落とす黒い過去、被害回避法を整理

【この記事のキーワード】

  • このエントリーをはてなブックマークに追加

Baidu HPより
 2013年末、衝撃的なコンピューター関連事件として報じられたのが「Baidu IME」のデータ送信問題だ。日本語変換をしてくれるソフトウェアが、その変換結果を企業に勝手に送信していた、と報じられた。

 PC向けの「Baidu IME」と、Android向けの「Simeji」が問題のあるツールとして取り上げられたが、これらを提供しているのは中国の検索大手企業Baiduで、「百度(バイドゥ)」という検索エンジンを運営していることで知られ、日本でもインターネットツールを各種提供している。

 今回、「Baidu IME」と「Simeji」が一体何を行っていたのか、何が問題視されたのか、そして被害に遭わないために気をつけるべきことを確認したい。

●入力文字列をサーバに送信

 まず、問題となったのは、当該ツールを使用していたPCおよびスマートフォン(スマホ)で、入力された文字列がすべてサーバに送信されていた、という部分だ。今回話題となった「Baidu IME」と「Simeji」は、文字変換に「クラウド変換」という手法を採用している。これは文字変換に利用する辞書をクラウド上に置くことで、最新の流行語等を迅速に変換できるようにするなど、より「賢い」変換をするためのシステムだ。

 この機能を利用するためには、変換のたびに変換用のサーバに接続する必要がある。当然、その時に入力した文字列は送信される。問題は、その機能を使うつもりがなかった人までもがデータを送信していたという状態と、送信していたデータの内容だ。

●「クラウド変換」は、ほかの入力変換システムでも使われている

 日本語変換にクラウドを利用しようという取り組み自体は、Googleの提供する「Google日本語入力」も、ジャストシステムの「ATOK Passport」も行っている。

「Google日本語入力」の場合、ユーザーの許可が得られれば利用状態の統計データは送信するが、変換するたびにクラウドに接続するわけではない。「ATOK Passport」の場合は、変換するたびにクラウドに接続する方式だが、ユーザーが許可して意図的に有効にしなければならない。また、文字列の変換を行っているだけで入力文字の収集は行っていないとしている。

 各社方式は違うものの、クラウドを活用して文字変換すること自体は、あやしげなものではないということをおわかりいただけるだろう。同時に、こうしたサービスはユーザーが能動的に許可を出して使わせるべきである、ということも2社の扱いからは見えてくる。この部分がBaiduにはできていなかった。

●問題は、意図しない送信と内容

「Baidu IME」は、クラウド変換サービスが標準で有効になっていた。つまり、中身をよく見ずに「次へ」を押しまくっていた場合は、有効のままになっているはずだ。

 さらに「Simeji」においては、ユーザーが「クラウド変換サービスを使う」とのチェックを外して無効にした時にも、データを送信していた。これについてBaidu側は、バグであるとしている。

 実際にどのようなデータが送信されていたのかについては、ネットエージェントが調査結果を発表している(http://www.netagent-blog.jp/archives/51969764.html)。これを見ればわかるのだが、パスワードや電話番号、クレジットカード番号といったものを「半角英数」入力状態で直接入力したならば「変換」という動きがないため、データは送信されていないようだ。

 しかし、変換にだけ利用するならば文字列だけでよいし、エラーを出している環境を特定するためにデバイス名やソフトウェアのバージョン情報を取得することまでは理解できる。ところが「UUID」と呼ばれる、端末固有のIDも送信されていた。

 住所等とは違うため、これだけでどこに住む誰が使っているマシン、とまでは特定できないのだが、Baiduの主張する「変換精度の向上のため」には関係ないデータを得ていたといえ、不信感がわいてくるのは仕方がないところだろう。

●黒すぎるBaidu

 規約をしっかり読めば、データ送信については書かれている。機能を有効にするチェックボックスも、ユーザーが気付けばチェックを外せるようになっている。仮に「Simeji」の動きが意図しないバグだったのだとすれば、問題はUUIDの送信だけ、とも見える。

 しかしこの程度だけの話ならば、これほど大きく報道されないだろう。PC等に詳しい人にとっては、前述したように文字列が送信されるくらいは、いわば当たり前だ。UUIDの送信にしても、Androidアプリなどでそのくらいのデータを取得することは珍しくもなく、またBaiduが釈明しているようにバグもあり得ないわけではない。

 では、なぜこれほど騒がれたのかといえば、Baiduという企業が、そもそもかなり「黒い」企業だからだ。

 運営するドキュメント共有サービスに日本の漫画をスキャンした画像や、小説をわざわざテキストデータにしたもの、企業の内部ドキュメントなどが平然と公開されていたりしたし、日本の音楽が無料でダウンロードできるようなサービスが存在していたり、権利者に使用料を払わずに動画配信をしたりと、手を替え品を替え問題行為を昔から連発してきた企業だ。

 そういう背景があっただけに、今回のことも単なるミスなどではなく、意図的に悪事を企んだと見る人が多かったのだろう。

●これから被害に遭わないために

 こうした問題の被害者にならないためには、信頼できる企業の提供するものを選択し、その内容を理解した上で使うべきだ。

 今回の日本語入力問題でいえば、官公庁での利用例が多く見られるようだが、官公庁や企業の場合は提供者がどこであれ入力内容が外部に送信されるようなものを使ってよいわけがない。このケースで悪いのはクラウド変換ではなく、データ送信される意味を考えずに使う行動だ。

 入れるつもりはなかったのに入っていた、というケースもあるようだが、PC購入時にあらかじめ入っていた場合を除いては、それもユーザーの自己責任だ。PCでは有料・無料にかかわらず、何かをインストールする時に、まったく関係ないように思えるツールの同時インストールを勧められることはよくある。しかしまともなツールならば、必ずインストール作業の途中でオマケを拒否できるはずだ。

 闇雲に「次へ」を押すようなことはせず、きちんと画面を確認しよう。規約文を隅々まで読んで理解しろとまではいわないが、不要なツールまで入れてしまわない程度には気をつけたい。

 また、中にはインストールを拒否する方法がなく、自動的に入ってしまうようなものもある。そんな強制的な抱き合わせを行っているソフトウェアは、ろくなものではない。メインとなるソフトウェアのインストール自体やめたほうがよいだろう。
(文=エースラッシュ)