1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 文字入力ソフト(IME)のクラウド機能から重要情報が外部に送信されるおそれ

文字入力ソフト(IME)のクラウド機能から重要情報が外部に送信されるおそれ


文字入力ソフト(IME)のクラウド機能から重要情報が外部に送信されるおそれインターネット接続サービス等を提供するインターネットイニシアティブ社(IIJ)のセキュリティ部門IIJ-SECT(IIJ group Security Coordination Team)は、12月17日、パソコン上で日本語などを入力する文字入力補助ソフト(IME)のクラウド機能(インターネット上のサーバーと通信する機能)についてセキュリティ上の注意喚起を行った。

これによると、日本語IMEの多くには、概ね以下のようなクラウド機能が備わっているという。すなわち、(1)ユーザー辞書の外部サーバーへの保存(辞書同期)、(2)外部サーバーからの変換候補の取得(クラウド変換)である。これらの機能は、文字入力精度や効率の面から見ると非常に魅力的である一方、セキュリティの面から注意する点がある。

例えば、ユーザー辞書には自動学習によりデータが蓄積されるため、意図していない単語や他人に見られたくないような単語が登録されている場合がある。同様に、入力を省く目的で単語登録を使っているケースも注意が必要だ。これは、自分のクレジットカード番号を「くれじっと1」などと単語登録している場合などが当てはまる。ユーザー辞書が外部のサーバーと同期している場合、こうした情報が外部のサーバーに送信、保存されることになるため、クレジットカード番号など送信されると困る情報を扱う場合はIMEを無効化したり、当該情報を辞書登録しないということを心掛ける必要がある。

また、クラウド変換では、入力されたデータは外部に送信される。例えば、業務メールなどで「先ほどメールで送りました添付ファイルのパスワードですがpw123456789となります。」という文章を作成した場合、サーバーには「さきほどめーるでおくりましたてんぷふぁいるのぱすわーどですがpw123456789となります」と送信されることになる。入力時の状態によって半角文字が全角として送られることもあるものの、入力したデータがほぼそのままサーバーに送られている。

このように、クラウド変換機能が有効な場合は、ローカル端末上に保存された文書ファイルや表、プレゼンテーションなどの編集であっても、入力したデータは外部へ送信される。同社は、仕組みを理解していないユーザーが、IMEによる変換で外部にデータが送信されることを自覚するのは困難であると指摘している。ソフトによっては、オンライン機能は初期設定で有効になっているため、意図せず情報を送信している可能性がある。特に、企業や組織で利用している場合には注意が必要である。

同社では、企業等の組織では、IMEで取り扱う情報を企業外に出したくないと判断した場合は、セキュリティポリシーなどと照らし合わせた上で、(1)ソフトの設定を変更して、オンライン機能を利用しないように徹底する、(2)ネットワークの境界に設置したファイアウォールなどで、当該機能の通信を禁止する、といった対策の検討を推奨している。

IMEのオンライン機能利用における注意について(IIJ Security Diary)
日本語入力ソフトのオンライン機能に注意、企業の重要情報が外部に送信される恐れ(PCオンライン)

関連キーワード:

クラウド

  • ビットコインとは
  • カテゴリートップへ
  • 【K子番外編】新入社員YO介のどうする?セキュリティ Vol.2 パスワード漏えいのリスクは至るところに!社会人が気をつけるべきポイントとは