バイドゥIMEというソフトが機密情報を勝手に中国企業のサーバーに送信していると報じられました。どのような問題で、どうすれば被害を防ぐことができるのでしょうか?(情報機器卸)
昨年末に大きく報じられたこの問題ですが、一般的にIME(Input Method Editor=文字入力補助ソフト)がどのような仕組みで提供されていたかを知っておく必要があります。漢字仮名交じりという世界的に見ても複雑な仕組みとなっている日本語をパソコン上で効率良く入力するにはこのソフトの助けが欠かせません。基本的には、ハードディスク上にIMEソフトと膨大な変換辞書データベースをインストールしておき、入力内容に応じてその辞書を参照しながら文脈に応じた日本語を入力していくという仕組みになっています。ウィンドウズやマックには標準でIMEは搭載されていますが、より効率の良い変換機能を求めて別のIMEを購入したり、ネット上からダウンロードして標準のものから切り替えて利用する人も少なくありません。
いつの間にかインストール
ところが、このバイドゥIMEは明確に導入したつもりがなくとも、いつの間にかインストールされていると報じられました。これは「バンドルモデル」と呼ばれるソフトの提供方法の一つで、新規購入したパソコンにあらかじめ導入されていたり、別のフリーソフトとセットでこのIMEが提供されているなどしたためです。
そして、最近のIMEソフトのトレンドでもある、常時接続環境の普及を背景にインターネット上の情報を参照して変換効率を上げたり、携帯電話のように次に入力されるであろう単語を推測する機能が採用されていたことが今回の問題を引き起こしました。
バイドゥIMEでは半角文字列など一部例外を除いてユーザーが入力・変換、確定した情報をサーバーに送信・蓄積することで、変換の精度を統計的に向上していく仕組みを採っており、高い変換効率がウリでしたが、この問題が発覚した時には仮にユーザーがその機能をオフにしていてもソフトの動作や端末情報が含まれるログデータの送信・蓄積を行っていたことも明らかになりました。
競合となるATOKやGoogle日本語入力もインターネットから変換情報を取り込んで効率を上げたり、流行語や時事単語をいち早く反映する機能を備えていますが、入力内容を逐一サーバーに送信するといったことは行っていません。例えばGoogle日本語入力は辞書の精度を検索サービスへの膨大な入力ログに基づいて向上する取り組みはしていても、個々の端末のIMEから変換内容を直接送信する手法は取っていないのです。
問題の発覚後、現在ではバイドゥIMEはログ送信の不具合を修正し、クラウド入力を標準でオフとし情報収集の許諾をより明確な表示で確認するよう変更したバージョンを提供しています。しかしながら、設定を誤れば作成中の機密文書の入力内容が逐次送信されてしまう仕様に変わりはありません。少なくとも業務での利用は避けた方が無難と言えるでしょう。
また、バイドゥIMEに限らず、インターネットから容易に導入できるソフトの利用にはリスクが伴うということもこの機会に再認識しておく必要があります。今回の事件では官公庁でも「知らぬ間に」このソフトがインストールされていた、と報じられましたが、そもそも、管理が行き届かない形でソフトがインストールされていたことに問題の本質があるのではないかという見方もできそうです。