昨年末、国内メディアを騒がせた“Baidu IME事件”。企業や官公庁、地方自治体のIT管理者は、他人事ではないと肝を冷やしたことだろう。だが、自社/自組織でBaidu IMEが使われていなかったからといって安心できるだろうか。本当の脅威、本当に教訓とすべき点はどこにあったのだろうか。
“Baidu IME事件”の顛末
顔文字やアスキーアートを簡単に入力できる「楽しい日本語入力」Baidu IME
昨年末、メディアを騒がせた“Baidu IME事件”。バイドゥ(百度)が無料配布するIMEソフト(Windows用の「Baidu IME」、Android用の「simeji」)から、ユーザーが入力した文字列データがバイドゥのサーバーに送信されており、これが機密情報やプライバシー情報の漏洩につながるおそれがあると指摘されたものだ。
セキュリティベンダーによる警告※1、2を受け、12月中旬以降、内閣官房セキュリティセンター(NISC)や文部科学省、総務省が、各中央省庁や地方自治体、大学、教育、研究機関などに対して、Baidu IMEの利用に関する注意喚起を行った。これがマスメディアで報道され、一気に騒ぎが拡大した。
※1:IMEのオンライン機能利用における注意について(2013/12/17、IIJ-SECT)
※2:入力情報を送信するIME(2013/12/26、ネットエージェント)
IMEを使って入力した文字列が外部サーバーに送信されており、機密情報やプライバシー情報の漏洩につながれると警告された(画面はIIJ-SECTブログより)
実際のところ、Baidu IMEでは今回問題視された「クラウド入力」と呼ばれる変換機能を2011年11月のリリース(Ver.2.3)から実装しており、その仕組みは基本的に変わっていないようだ※3。リリースから2年以上経過した昨年末になって急に注目を集めたのは、やはり大量の報道がなされたことと、その間に企業や組織内で多く利用されるようになっていた実態があったためだろう。
※3:【Baidu IME】Baidu IME Ver. 2.3をリリースしました!(2011/11/24、バイドゥ公式スタッフブログ)
もちろん筆者は「元々そういう仕組みであり、ユーザーも承諾して利用しているから問題ない」と主張したいわけではない。上述したようなリスクが容易に想像されるにもかかわらず、バイドゥではこのクラウド入力機能をデフォルトで「有効」にしていた。バイドゥはこれを「変換・予測変換精度の向上目的」のデータ収集と説明しているが、エンドユーザーがどの程度までその仕組みとリスクを理解していたかは疑問である。加えてsimejiには、クラウド入力機能を「無効」に設定してもデータが送信されてしまうという重大な欠陥があった(バイドゥでは「実装バグ」と説明している※4)。ユーザーから批判を受けても仕方のない“失点”があったと言える。
※4:一部の報道に対する弊社の見解(2013/12/26、バイドゥ)
バイドゥでは12月27日以降、デフォルトの設定を「無効」にし、simejiのバグを修正した緊急アップデート版をリリースした。併せて、サーバーへの通信は暗号化されていること、個人を特定する目的でデータを抽出することはないこと、データを第三者機関に転送することはないことなどを強調している※5。
※5:一連の報道によるBaidu IMEへのお問い合わせについて(バイドゥ)
アプリの利用禁止を呼びかけるだけでは意味がない
さて、本稿の目的はBaidu IME/simejiが危険なソフトかどうかを探ることではない。個人ユーザーはともかく、企業や組織のIT管理者がこの騒動から学ぶべきことはほかにあると考えるからだ。
読売新聞の調査※6によると、全国の自治体(都道府県と政令市)のうち29府県市で、1000台を超える公用PCにBaidu IMEがインストールされていたことが確認された。たとえば同調査で最多の横浜市では、272台のPCにBaidu IMEがインストールされていたという。
※6:バイドゥIME使用、29府県市…PC1千台超(2014/1/13、読売新聞)
その背景を伝える同日記事※7で興味深いのは、エンドユーザーの多くが同ソフトを「入れた覚えがない」と証言している点だ。記事では、ほかの無料ソフトへのバンドル(抱き合わせ)、あるいはPCへのプリインストールを通じて、Baidu IMEがインストールされていた可能性を指摘している。
※7:無断送信ソフト、「入れた覚えない」と職員当惑(2014/1/13、読売新聞)
この記事からは、企業/組織のITセキュリティ管理に関して2つの問題点が浮かび上がってくる。
- エンドユーザーのPCでどのようなソフトが使われているのかを、IT管理者が把握できていない
- 「×××というソフトは使わないように」とルールを決め、呼びかけるだけでは意味がない
記事によれば、業務上必要なソフトの選定や承認はIT部門ではなく各部署の所属長に任されているのが実情だという。有料のソフトの場合、購入申請やライセンス管理の手続きを通じてIT管理部門が把握できるが、無料ソフトはそのチェックをすり抜ける可能性が高い(そもそも「導入時の申請や手続きが面倒だから」という理由で無料ソフトを選ぶユーザーも多いはずだ)。
また、特定のソフトを使用禁止とするルールを作ったとしても、今回のようにエンドユーザー自身が把握できていないケースがありうる。もちろん禁止ルールを無視して使うユーザーもいるだろうし、同じ機能を持つ別のソフトを使い始めるかもしれない(エンドユーザーとは大抵そういうものだ)。
つまり、自社/組織内でどのようなソフトが使われているのかをIT管理者が把握する手段、そしてソフトの利用ルールがきちんと守られているかどうかを確認する手段を持たないことが、企業や組織にとっての「本当のリスク」ではないだろうか。
(→次ページ、アプリ利用状況を把握しないのは「目隠しして地雷原を歩くようなもの」)
