Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

クラウド利用の日本語入力ソフト、入力内容ダダ漏れに注意

クラウドを活用する日本語入力ソフト(IME)が続々と登場している。クラウド機能により辞書の共有や変換精度の向上など恩恵を受ける一方、情報漏洩が生じるおそれもあることから、IIJのセキュリティチームであるIIJ-SECTでは、しくみを正しく理解した上で利用するよう注意を呼びかけた。

IMEがクラウドを活用するケースで代表的な機能は、辞書登録機能。自動学習によりデータが蓄積することで、変換効率が高まり、端末間で同じ辞書を利用できるメリットもある。

一方で、自動学習により他人に見られたくない単語が、無意識のうちに登録されることがある。また利用者自らが利便性向上のためにクレジットカードなどを辞書登録していると、これらが外部サーバに蓄積されていく。

こうしたデータをやりとりする際、認証などセキュリティ対策が正しく実施されていなければ、不正に情報が取得されるおそれがあると指摘。同チームは、ブログでクレジットカード番号など送信されると困る情報を扱う場合は、「IMEの無効化」や「辞書登録しない」といった対策を心がける必要があると述べている。

さらに注意しなければならないのが、外部のクラウドを利用したリアルタイム変換。クラウドを活用することで精度を高めることができるなどメリットがある。しかし、打ち込んだパスワードなどをはじめ、入力内容が外部へ送信されていることを意識すべきであると警鐘を鳴らしている。

なかにはユーザー認証なく、入力されたデータが逐次外部に送信されてしまうソフトも存在。入力内容を確定した際に、入力対象のアプリケーション名やユーザーのセキュリティ識別子を送信しているケースも確認されている。

多くのIMEは、クラウド機能について明示し、ユーザーに許諾を得るものの、こうした問題を理解せずに許可してしまう場合があるほか、インストール時の推奨設定で自動的に有効化される場合や、プリインストールで有効になっている場合なども存在すると危険性を指摘。

特に企業などの組織で機密情報を利用する場合、クラウド機能を利用しないよう徹底したり、ファイアウォールで通信を遮断するなど、組織内のポリシーを照らし合わせた上で適切に対策を講じるようアドバイスしている。

(Security NEXT - 2013/12/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

VMware、MDS脆弱性の影響を緩和するアップデート
Intelプロセッサに「MDS」の脆弱性 - アップデートをリリース
脆弱な「phpMyAdmin」の探索行為を多数観測 - IIJ
介護サービス利用者の個人情報を誤送信 - 大阪市
学内関係者向けサイトに不正アクセス、PWや個人情報が流出 - 東京理科大
Intel プロセッサの「MDS」脆弱性、OSベンダーも対応呼びかけ
MS、月例パッチで脆弱性79件を解消 - 一部でゼロデイ攻撃が発生
「Adobe Acrobat/Reader」に84件の脆弱性 - アップデートで修正
都教委の採用に関するサイトが改ざん - 外部サイトへ誘導
設定ミスにより危険な状態の「SAP」が多数存在 - 攻撃ツールが流通