2013年12月26日木曜日

Simejiの「入力内容無断送信」問題はどこまで影響するのか

ネットエージェント社さんの解析により、Baidu IME及びSimejiが利用者に無断で入力した内容を送信する問題が暴かれました。
しかし、ネットエージェントさんのブログ(http://www.netagent-blog.jp/archives/51969764.html)では、「半角入力の場合は送信されない」と書かれておりました。
これに対し、 ネットエージェント社の社長さんはTwitterにて次のように発言されました。


まさかと思い、帰宅後にパソコンで試してみました。
この実験は「Fiddler2」というパケットキャプチャーソフトを通じて、Android端末におけるSimejiの通信を傍聴することを実現しています。

まず、Simejiの動作を理解する必要があります。

Simejiは、デフォルトで「クラウド変換」の機能をONにしています。


また、英語入力モードでは、「英語予測変換」の機能をONにしています。


この状態(12/27 3:47 追記:下のキャプチャ画像は「クラウド変換」をOFFにした上で実験したものであります。ONではありません)でいくつかの文字を入力してみました。また、実際のウェブサイトにて「ネットショッピングをしている」場面を想定し、クレジットカードの情報を入力する画面で入力を試してみました。






そして、その過程をパソコンでキャプチャした結果が以下の通りです。


3分割されていますが、青い文字は「入力した内容」を送信した部分であり、緑色の文字は「クラウド変換」による交信内容です。
このうち最もわかりやすいのは三番目の画面ですが、「ユーザー名」「クレジットカード番号」「クレジットカード所有者名義」「セキュリティコード」が送信されています。

まとめると、以下のようになります。

1.クラウド入力(変換)をON:入力の過程、結果ともに送信
2.クラウド入力(変換)をOFF:入力の結果のみ送信
3.英語予測変換ON:英数字(パスワード領域除く)の入力結果送信
4.英語予測変換OFF:いかなる内容も送信しない

よって、半角英数字を入力する場合でも、デフォルトの状態のままでは送信されます。ただし、パスワードについては、予測変換が行われないため、送信されません。


また、操作によりいくつかのばらつきがあります。例を挙げると、「スペース」により英数字の入力結果を確定した場合、入力結果は送信されません。Enterで確定した場合のみ送信されます。
なお、送信はすべてHTTPSにより行われており、外部からの傍聴は(当実験のような意図的な環境を自ら構築しない限り)できません。よって、「バイドゥ株式会社」が悪用しない限り、情報が漏洩することはありません。

-----

追記1:Baiduは中国にて緊急声明を発表しました。要約します。

「クラウド入力方式を採用しているため、一部入力したデータを暗号化した上で送信している。個人情報は含まれず、品質向上の目的のみに使われる。全て日本国内に蓄積されており、違法送信及び漏洩の可能性はない。一部マスコミの意図的な報道に遺憾の意を示す。現在、日本の政府当局と協議中であり、理解を求めている。日本の法律規範などを遵守しており、一般的な慣例に基づいている。一部マスコミの意図的な報道によるユーザーの不安の声を重視し、後続のバージョンアップにて情報披露体制を強化。」

全く事実を無視した声明内容であると言わざるを得ない。