しかし、ネットエージェントさんのブログ(http://www.netagent-blog.jp/archives/51969764.html)では、「半角入力の場合は送信されない」と書かれておりました。
これに対し、 ネットエージェント社の社長さんはTwitterにて次のように発言されました。
Baidu IMEは半角入力の場合は送っていないので、アカウントはハックできません。SimejiはIDは半角でも送っているみたいですが、passwordは送っていなかったです。
— lumin (@lumin) 2013, 12月 25
まさかと思い、帰宅後にパソコンで試してみました。
この実験は「Fiddler2」というパケットキャプチャーソフトを通じて、Android端末におけるSimejiの通信を傍聴することを実現しています。
まず、Simejiの動作を理解する必要があります。
Simejiは、デフォルトで「クラウド変換」の機能をONにしています。
また、英語入力モードでは、「英語予測変換」の機能をONにしています。
この状態(12/27 3:47 追記:下のキャプチャ画像は「クラウド変換」をOFFにした上で実験したものであります。ONではありません)でいくつかの文字を入力してみました。また、実際のウェブサイトにて「ネットショッピングをしている」場面を想定し、クレジットカードの情報を入力する画面で入力を試してみました。
そして、その過程をパソコンでキャプチャした結果が以下の通りです。
3分割されていますが、青い文字は「入力した内容」を送信した部分であり、緑色の文字は「クラウド変換」による交信内容です。
このうち最もわかりやすいのは三番目の画面ですが、「ユーザー名」「クレジットカード番号」「クレジットカード所有者名義」「セキュリティコード」が送信されています。
まとめると、以下のようになります。
1.クラウド入力(変換)をON:入力の過程、結果ともに送信
2.クラウド入力(変換)をOFF:入力の結果のみ送信
3.英語予測変換ON:英数字(パスワード領域除く)の入力結果送信
4.英語予測変換OFF:いかなる内容も送信しない
よって、半角英数字を入力する場合でも、デフォルトの状態のままでは送信されます。ただし、パスワードについては、予測変換が行われないため、送信されません。
また、操作によりいくつかのばらつきがあります。例を挙げると、「スペース」により英数字の入力結果を確定した場合、入力結果は送信されません。Enterで確定した場合のみ送信されます。
なお、送信はすべてHTTPSにより行われており、外部からの傍聴は(当実験のような意図的な環境を自ら構築しない限り)できません。よって、「バイドゥ株式会社」が悪用しない限り、情報が漏洩することはありません。
-----
追記1:Baiduは中国にて緊急声明を発表しました。要約します。
「クラウド入力方式を採用しているため、一部入力したデータを暗号化した上で送信している。個人情報は含まれず、品質向上の目的のみに使われる。全て日本国内に蓄積されており、違法送信及び漏洩の可能性はない。一部マスコミの意図的な報道に遺憾の意を示す。現在、日本の政府当局と協議中であり、理解を求めている。日本の法律規範などを遵守しており、一般的な慣例に基づいている。一部マスコミの意図的な報道によるユーザーの不安の声を重視し、後続のバージョンアップにて情報披露体制を強化。」
全く事実を無視した声明内容であると言わざるを得ない。
0 件のコメント:
コメントを投稿