2013年12月18日初版公開
2014年1月16日更新

最近、IME (Input Method Editor)の文字入力精度や効率の向上を目的として、ユーザ辞書の外部サーバへの保存（辞書同期）や外部サーバからの変換候補の取得（クラウド変換）のために、常時インターネット接続を必要とする機能が実装されていることがある。2009年に公開された無料のBaidu IMEとスマートフォン用に提供しているSimejiという日本語入力ソフトが、その好例である。2012年1月のバイドゥ株式会社の発表によると、日本におけるBaidu IMEの利用者数は約200万人である。 ^(脚注:1)

だが、これにはサイバーセキュリティ上、問題もある。第一に、ユーザ辞書に個人情報や認証情報など機微な情報の変換データが蓄積されていることがあるにもかかわらず、IMEの辞書同期機能を無効にしていない限り、それが外部サーバに保存されてしまうことだ。第二に、クラウド変換を使うと、入力した情報がキーロガー状態で逐一送信されるばかりか、入力確定時に入力対象のアプリケーション名及びユーザのセキュリティ識別子(SID)が送信されてしまうことである。Baidu IMEの場合、インストール時の推奨設定により自動でクラウド変換機能が有効になってしまうため、注意されたい。 ^(脚注:2)

内閣官房情報セキュリティセンター（NISC）や文部科学省は、中央省庁、大学、研究機関など約140機関にBaidu IMEの使用停止を呼びかけている。読売新聞の調査によると、外務省及び東京大学など少なくとも12の大学で一部のパソコンに導入されているほか、23府県と6市の計1124台にもインストールされていたという。現在の地方自治体向けの総務省の指針では、業務上必要な場合、無料ソフトのインストールを管理者の許可を得てすることができるとなっているが、許可をするのは各部署の所属長であり、必ずしもサイバーセキュリティの専門家とは限らない。また、パソコンに初めから入っているソフトについてチェックする仕組みはない。 ^(脚注:3)

バイドゥ株式会社の日本法人は、12月26日にプレスリリースを発表し、Baidu IMEとSimejiについて今後改善していきたいと述べていたが、12月27日にSimejiの新バージョン6.6.2を、年明けにはBaidu IMEの新バージョンをリリースした。 ^(脚注:4)

参考情報:

1. 2013年12月26日付読売新聞「中国『百度』製ソフト、入力の日本語を無断送信」
   http://www.yomiuri.co.jp/net/news0/national/20131225-OYT1T01536.htm
2. 2013年12月17日付IIJ-SECT「Security Diary：IMEのオンライン機能利用における注意について」
   https://sect.iij.ad.jp/d/2013/12/104971.html
3. 2013年12月26日付読売新聞「中国『百度』製ソフト、入力の日本語を無断送信」
   http://www.yomiuri.co.jp/net/news0/national/20131225-OYT1T01536.htm
   2013年12月26日付NHK News「中国製の日本語入力ソフト　入力情報を無断送信」
   http://www3.nhk.or.jp/news/html/20131226/k10014117561000.html
   2014年1月13日付読売新聞「バイドゥIME使用、29府県市…PC1千台超」
   http://www.yomiuri.co.jp/net/news0/national/20140113-OYT1T00164.htm
   2014年1月13日付読売新聞「無断送信ソフト、『入れた覚えない』と職員当惑」
   http://www.yomiuri.co.jp/net/news0/national/20140113-OYT1T00384.htm
   
4. 2013年12月26日付Baidu.jp「プレスリリース：一部の報道に対する弊社の見解」
   http://www.baidu.jp/info/press/jp/131226.html
   2013年12月27日付Baidu.jp「Simeji新バージョン6.6.2をリリース」
   http://www.baidu.jp/info/press/jp/131227.html
   2014年1月6日付ITmedia「『Baidu IME』バージョンアップ　『クラウド変換』デフォルトでオフに」
   http://www.itmedia.co.jp/news/articles/1401/06/news047.html