バイドゥ(百度)が無償提供している日本語IME「Baidu IME」「Simeji」など一部の製品で、入力した文字の情報がユーザーの断りなしに外部のサーバーに配信される状態になっていたことが明らかになった。セキュリティーの研究機関や国内の一部報道機関が伝えている。
日本語IMEには、ユーザーが入力したデータをインターネット上のサーバーに送信し、辞書を強化したり、クラウド上で変換して適切な候補を示す機能を備えているものがある。ソーシャルIMEやクラウド変換などと呼ばれるものだ。バイドゥの日本語IMEでは、ユーザーが入力した情報の送信の可否を事前にユーザーに問い、ユーザーが許諾した場合に限り、ログを外部(国内におかれているサーバー)に送信する仕組みのはずだった。
しかし報道をきっかけに改めて調査したところ、今年3月にリリースした「Simeji」のバージョン5.6から、ログ送信(ログセッション)をオフ(不可)とした設定でも、一部のログデータが送信されることを確認したという。同社では「バージョンアップ時に起こった実装バグ」と説明、この問題を改善した最新バージョンの緊急リリースも実施するという。PC用のBaidu IMEに関しても同様の問題が生じていたという報告もあるが、現時点でバイドゥはその点に言及していない。
12月26日、バイデゥの発表に先立つ形で内閣官房情報セキュリティセンター(NISC)や文部科学省が、中央省庁や大学、研究機関など約140機関に同ソフトの使用停止を呼びかけたと報じられた。編集部の取材にNISCの担当者は「(利用停止というよりは)外務省に重要情報が外部に漏洩する危険性があるため、機密情報を入力する際に、IMEの設定で(ログ送信)をオフにするか、オフにできない場合は利用しないように注意を促した」とコメントした。
