入力内容がそのまま外部に? オンラインIMEの利用にIIJ-SECTが注意喚起:「外部に送信されること」を認識した上で適切な利用を
IIJ-SECT(IIJ group Security Coordination Team)は2013年12月17日、クラウド側で辞書の同期や変換を行う機能を備えた日本語入力システムが、意図せず一種の「キーロガー」として動作してしまう可能性について、ブログで注意を呼び掛けた。
インターネットイニシアティブ(IIJ)のセキュリティ対応チームであるIIJ-SECT(IIJ group Security Coordination Team)は2013年12月17日、クラウド側で辞書の同期や変換を行う機能を備えた日本語入力システム(IME:Input Method Editor)が、意図せず一種の「キーロガー」として動作してしまう可能性について、ブログで注意を呼び掛けた。
ローカルPCで入力作業が完結するIMEに代わり、近年、オンライン機能を備えたIMEが普及している。インターネットを介してクラウド側に自分のユーザー辞書を保存し、端末や場所を問わず、効率的な変換を行えるようにする「辞書同期」機能や、入力したデータを外部サーバに送信し、リアルタイム性の高い変換候補を得る「クラウド変換」機能などにより、入力精度の向上や利便性を得られることがその理由だ。
しかし、こうした利便性の裏で、セキュリティ面で留意すべき事柄がある。「入力したデータが外部サーバに送信される」ことを認識した上で利用する必要があり、特に企業などの組織では注意が必要という。
例えば、辞書同期機能を利用し、入力を省く目的でクレジットカード番号などを登録した場合、その情報は外部サーバ上に保存されることになる。ユーザー辞書をエクスポートしてみると、意図せず登録したものも含め、他人に見られては困る単語が登録されてしまっているケースがあるため、認証情報を厳密に管理したり、入力する内容に応じてIMEを無効化するなどの注意が必要になる。
またクラウド変換機能では、外部サーバから変換候補を得るために、入力したデータがそのまま丸ごと外部に送信される。メールや表、プレゼンテーションの作成のために入力したパスワードや個人情報、社内秘のデータなども外部に送信されることになるため、注意が必要だ。もちろん、IMEを無効にし、半角英数字のみ入力可能な状態では、こうしたデータは送られない。
ここで注意が必要なのは、ユーザーが認識しないまま、オンライン機能を備えたIMEが有効になっている場合があることだ。フリーソフトウェアやメーカー製PCのプリインストールソフトウェアにオンライン対応のIMEが含まれているケースもあり、ユーザーが意識しないままクラウド変換機能が有効になり、入力データが外部に送られている可能性がある。
こうした一連の状況を踏まえ、IIJ-SECTでは、組織内のソフトウェアの管理方針などと照らし合わせた上で、「ユーザー環境の設定を変更し、IMEのオンライン機能を利用しないように徹底する」「ファイアウォールなどで、IMEのオンライン機能の通信を禁止する」といった対策を検討するよう推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.