検索
ニュース

入力内容がそのまま外部に? オンラインIMEの利用にIIJ-SECTが注意喚起「外部に送信されること」を認識した上で適切な利用を

IIJ-SECT(IIJ group Security Coordination Team)は2013年12月17日、クラウド側で辞書の同期や変換を行う機能を備えた日本語入力システムが、意図せず一種の「キーロガー」として動作してしまう可能性について、ブログで注意を呼び掛けた。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 インターネットイニシアティブ(IIJ)のセキュリティ対応チームであるIIJ-SECT(IIJ group Security Coordination Team)は2013年12月17日、クラウド側で辞書の同期や変換を行う機能を備えた日本語入力システム(IME:Input Method Editor)が、意図せず一種の「キーロガー」として動作してしまう可能性について、ブログで注意を呼び掛けた。

 ローカルPCで入力作業が完結するIMEに代わり、近年、オンライン機能を備えたIMEが普及している。インターネットを介してクラウド側に自分のユーザー辞書を保存し、端末や場所を問わず、効率的な変換を行えるようにする「辞書同期」機能や、入力したデータを外部サーバに送信し、リアルタイム性の高い変換候補を得る「クラウド変換」機能などにより、入力精度の向上や利便性を得られることがその理由だ。

 しかし、こうした利便性の裏で、セキュリティ面で留意すべき事柄がある。「入力したデータが外部サーバに送信される」ことを認識した上で利用する必要があり、特に企業などの組織では注意が必要という。

 例えば、辞書同期機能を利用し、入力を省く目的でクレジットカード番号などを登録した場合、その情報は外部サーバ上に保存されることになる。ユーザー辞書をエクスポートしてみると、意図せず登録したものも含め、他人に見られては困る単語が登録されてしまっているケースがあるため、認証情報を厳密に管理したり、入力する内容に応じてIMEを無効化するなどの注意が必要になる。

 またクラウド変換機能では、外部サーバから変換候補を得るために、入力したデータがそのまま丸ごと外部に送信される。メールや表、プレゼンテーションの作成のために入力したパスワードや個人情報、社内秘のデータなども外部に送信されることになるため、注意が必要だ。もちろん、IMEを無効にし、半角英数字のみ入力可能な状態では、こうしたデータは送られない。

 ここで注意が必要なのは、ユーザーが認識しないまま、オンライン機能を備えたIMEが有効になっている場合があることだ。フリーソフトウェアやメーカー製PCのプリインストールソフトウェアにオンライン対応のIMEが含まれているケースもあり、ユーザーが意識しないままクラウド変換機能が有効になり、入力データが外部に送られている可能性がある。

 こうした一連の状況を踏まえ、IIJ-SECTでは、組織内のソフトウェアの管理方針などと照らし合わせた上で、「ユーザー環境の設定を変更し、IMEのオンライン機能を利用しないように徹底する」「ファイアウォールなどで、IMEのオンライン機能の通信を禁止する」といった対策を検討するよう推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  6. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
ページトップに戻る