Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

クラウド利用の日本語入力ソフト、入力内容ダダ漏れに注意

クラウドを活用する日本語入力ソフト(IME)が続々と登場している。クラウド機能により辞書の共有や変換精度の向上など恩恵を受ける一方、情報漏洩が生じるおそれもあることから、IIJのセキュリティチームであるIIJ-SECTでは、しくみを正しく理解した上で利用するよう注意を呼びかけた。

IMEがクラウドを活用するケースで代表的な機能は、辞書登録機能。自動学習によりデータが蓄積することで、変換効率が高まり、端末間で同じ辞書を利用できるメリットもある。

一方で、自動学習により他人に見られたくない単語が、無意識のうちに登録されることがある。また利用者自らが利便性向上のためにクレジットカードなどを辞書登録していると、これらが外部サーバに蓄積されていく。

こうしたデータをやりとりする際、認証などセキュリティ対策が正しく実施されていなければ、不正に情報が取得されるおそれがあると指摘。同チームは、ブログでクレジットカード番号など送信されると困る情報を扱う場合は、「IMEの無効化」や「辞書登録しない」といった対策を心がける必要があると述べている。

さらに注意しなければならないのが、外部のクラウドを利用したリアルタイム変換。クラウドを活用することで精度を高めることができるなどメリットがある。しかし、打ち込んだパスワードなどをはじめ、入力内容が外部へ送信されていることを意識すべきであると警鐘を鳴らしている。

なかにはユーザー認証なく、入力されたデータが逐次外部に送信されてしまうソフトも存在。入力内容を確定した際に、入力対象のアプリケーション名やユーザーのセキュリティ識別子を送信しているケースも確認されている。

多くのIMEは、クラウド機能について明示し、ユーザーに許諾を得るものの、こうした問題を理解せずに許可してしまう場合があるほか、インストール時の推奨設定で自動的に有効化される場合や、プリインストールで有効になっている場合なども存在すると危険性を指摘。

特に企業などの組織で機密情報を利用する場合、クラウド機能を利用しないよう徹底したり、ファイアウォールで通信を遮断するなど、組織内のポリシーを照らし合わせた上で適切に対策を講じるようアドバイスしている。

(Security NEXT - 2013/12/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も
【続報】「Adobe Acrobat/Reader」の定例外パッチが公開 - 早期適用呼びかけ
小学校児童の個人情報含むUSBメモリを一時紛失 - 函館市
MS、月例パッチで脆弱性67件を解消 - 2件でゼロデイ攻撃が発生
NISC、Twitterのパスワード変更を府省庁へ注意喚起 - 所管業界への周知求める
Twitter、ハッシュ化前パスワードをログ保存 - 漏洩痕跡ないが変更検討求める
サイバー攻撃の脅威高まるプラント分野に「セキュリティマニュアル」 - 「データ契約ガイドライン」も
複数アカウントが迷惑メール送信の踏み台に - 東北工業大
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
PDFビューワ「Foxit Reader 9.1」がリリース - 複数RCE脆弱性を修正