時事セキュリティが5分でわかる 第15回

自動翻訳サービスに入力したテキストがウェブ検索結果に登場

翻訳サービスの仕様で公官庁のメール文が見放題に!?

翻訳サービスに入力した、あんな文章やこんな文章が見放題に!?

翻訳結果を保存・公表する仕様の目的は？

　ある自動翻訳サービスは、入力した文章とその翻訳結果をリンクの状態で保存、誰でも閲覧できる仕様になっていた。そのことに気付かず使用したとみられる企業や官公庁のメール等が見放題に。思わぬところからの情報漏えい事例となった。

　この事件と取るべき対策について、ITジャーナリストの三上洋氏に訊いた。

三上　「今回話題になったとされている翻訳サービスですが、70の言語に対応し、タイ語、スワヒリ語など、比較的アジアの言語に強いのが特徴です。流出した情報を見るかぎり、東南アジア方面に関わる駐在員や関連企業が多く使っていたらしいことがわかります」

　公開されていたデータのなかには、中央省庁や大手企業のメール文書と思われるものがあり、個人名や受注情報、口座名なども含まれている。今回の事件に関して、三上氏はサイト側の不備を指摘している。

「流出した情報を見るかぎり、東南アジア方面に関わる駐在員や関連企業が多く使っていたらしいことがわかります」（ITジャーナリストの三上洋氏）

三上　「翻訳サイトのページ下段には、翻訳結果をよりよくするため、情報をサーバーに保存する旨の表記があるんです。

　ただ、その結果が公表されるとは書いていない。これはサイト側の表記不足ですし、注意書き自体もつたない翻訳で、日本では『結果はサーバーに保存され』と書いてあるだけなんです。表記を確認していても、このサイトを利用してしまっていた可能性はあります。

　そもそも、なぜこの翻訳サイトは翻訳結果を保存・公表していたのでしょうか。

　翻訳結果をよりよくするというのが表向きの理由ですが、おそらくもっと重要な理由として、ページビューを増やしたいという目的があると思います。翻訳結果は新しいURLとして次々に発行されるので、増えれば増えるほど検索にかかる確率が高まるんです。サイトの広告料を増やすためのページビュー稼ぎですね。

　事件の余波として、大手検索サイトの予測検索による情報の拡散がありました。検索バーで該当の翻訳サイト名を入力すると、予測変換機能で、情報を流出させた企業の名前が候補に出てきてしまうんですね。それで情報がさらに拡散してしまっている。

　また、一応翻訳サイト上には削除機能があるようなのですが、リンクが未だに残っているところを見ると、実際は使えないか、あえて削除していないのか、その辺りは詳しくはわかりません」

サービス利用の際は必ず設定のチェックを

三上　「類似の事件として、2年ほど前にインターネット上のメール共有サービスからの情報流出が話題になりました。メーリングリストのデフォルト設定が一般公開だったため、誰でも閲覧できる状態になっていたんです。今回の翻訳サイトも、デフォルトで結果が保存される設定でした」

無料で便利なサービスには理由がある。使用前の設定確認はマストだ

　サービスを利用するユーザーの側にも警戒は必要だと三上氏は注意を促す。

三上　「サイトの設定は非常に不親切だとは思いますが、きちんとチェックせずにサービスを利用してしまうユーザー側にも問題がないとは言えません。ウェブ上のサービスを使う前には、必ず設定を確認するようにしたほうがよいでしょう。

　また、無料のオンラインサービスを企業として利用することそのものに問題があると思います。無料のサービスとはいえ、サイトの運営側は広告料など何らかの対価は得ているわけですし、どんなサービスでも情報収集はされています。

　今回は表に見える形で流出したために話題になりましたが、メールサービスを使っていれば情報はサーバーに送られますし、Cookieを使って情報を集めることも可能なわけです。無警戒でウェブサービスを利用するのは避けるべきでしょう」