12月27日、バイドゥが「一連の報道に帯する弊社の見解」として、公式に声明を出した。同社の日本語入力IME「Baidu IME」が、ユーザーの個人情報を無断で外部サーバーへ送信しているとの報道に関するものだ。
声明中で同社はまず、「無断でサーバーに送信」について「利用規約で事前に許諾をとっている」「ON/OFF設定も可能」とした上で、「無断では送信していない」としている。
また「入力したパスワードがサーバーに送信される」という点についても「パスワードやクレジットカードなどの信用情報については、クラウド変換利用時であっても外部に送信はしていない」と説明。「あたかもパスワードが送信されているかのように報道され、誤解を生んでいる」と述べた。
合わせて26日にリリースしたスマートフォン向け入力ソフト「Simeji 6.6.2」についても説明。「これまでクラウド変換をOFFにしていてもクラウドサービスにアクセスする不具合があった」が、「Simeji 6.6.2では修正している」とした。
同社がクラウド変換に利用しているサーバーについても、「日本国内の法令や、他社のクラウドサーバーに準じた厳正な管理がなされている」と述べている。会社公式の声明として、報道に一部正しくない点があるとの見解を示した格好だ。
一連の報道はセキュリティー会社 ネットエージェントらが独自に実施した調査で明らかになったもの。調査によれば、初期設定状態では「PCに入力したほとんど全ての文字情報」および「PCの固有ID」「利用ソフト情報」などが外部サーバーに送信されるという。ネットエージェントの代表取締役社長 杉浦隆幸氏は、「入力情報とPCのIDが組み合わさると、利用者を詳細に分析できる」「企業の機密情報などが漏洩する恐れがある」と注意を呼び掛けている。
また、ネットエージェントは公式ブログでも通信解析ソフト「Counter SSL Proxy」を利用してBaidu IMEおよびSimejiの通信を解析した結果を公開。「解析の結果、日本語入力の文字列が、SSLで暗号化され送信されていることがわかりました」と述べている。いずれも、「全角入力の場合のみ情報が送信されています。クラウド入力Offの場合でも入力文字列を送信していました。パスワードなど半角入力のみの場合は送信されていません。クレジット番号や電話番号も変換しなければ送られません」と解説している。(※現在は、仕様が変わった新バージョンが配布されている旨を追記し、早急にアップデートするようにと呼び掛けている)
Baidu IMEは、2009年12月から提供されている。(始めは「Baidu Type」という名称のベータ版として。)著名人やネット上で話題になっているキーワードを元に開発しているのが特徴で、顔文字や入力学習機能に強く、主に若者のあいだで人気を集めている。最近ではプリインストールしているPCも販売されており、今騒動の影響を受ける利用者は多いと見られる。
もっともクラウド変換に限らず、クラウドサービス、クラウドコンピューティング全般の危険性を懸念する声は以前から度々あった。クラウドの特性上、一部の情報はどうしても外部のサーバーに預けることになる。
「クラウドサービスを利用する=サービス利用に必要な情報を外部のサーバーに預ける」ということでもあるのだ。今回の騒動を機に、クラウドサービスを利用するということは、サービスを提供する企業を信頼することに他ならない、と改めて感じた人も多いのではないだろうか。クラウドサービスは信頼性のある企業が提供しているものか、また万一情報が漏洩すればどのくらいの被害を受けることになるのかを慎重に考慮した上で利用したい。
