Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

クラウド利用の日本語入力ソフト、入力内容ダダ漏れに注意

クラウドを活用する日本語入力ソフト(IME)が続々と登場している。クラウド機能により辞書の共有や変換精度の向上など恩恵を受ける一方、情報漏洩が生じるおそれもあることから、IIJのセキュリティチームであるIIJ-SECTでは、しくみを正しく理解した上で利用するよう注意を呼びかけた。

IMEがクラウドを活用するケースで代表的な機能は、辞書登録機能。自動学習によりデータが蓄積することで、変換効率が高まり、端末間で同じ辞書を利用できるメリットもある。

一方で、自動学習により他人に見られたくない単語が、無意識のうちに登録されることがある。また利用者自らが利便性向上のためにクレジットカードなどを辞書登録していると、これらが外部サーバに蓄積されていく。

こうしたデータをやりとりする際、認証などセキュリティ対策が正しく実施されていなければ、不正に情報が取得されるおそれがあると指摘。同チームは、ブログでクレジットカード番号など送信されると困る情報を扱う場合は、「IMEの無効化」や「辞書登録しない」といった対策を心がける必要があると述べている。

さらに注意しなければならないのが、外部のクラウドを利用したリアルタイム変換。クラウドを活用することで精度を高めることができるなどメリットがある。しかし、打ち込んだパスワードなどをはじめ、入力内容が外部へ送信されていることを意識すべきであると警鐘を鳴らしている。

なかにはユーザー認証なく、入力されたデータが逐次外部に送信されてしまうソフトも存在。入力内容を確定した際に、入力対象のアプリケーション名やユーザーのセキュリティ識別子を送信しているケースも確認されている。

多くのIMEは、クラウド機能について明示し、ユーザーに許諾を得るものの、こうした問題を理解せずに許可してしまう場合があるほか、インストール時の推奨設定で自動的に有効化される場合や、プリインストールで有効になっている場合なども存在すると危険性を指摘。

特に企業などの組織で機密情報を利用する場合、クラウド機能を利用しないよう徹底したり、ファイアウォールで通信を遮断するなど、組織内のポリシーを照らし合わせた上で適切に対策を講じるようアドバイスしている。

(Security NEXT - 2013/12/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、月例セキュリティ更新をリリース - ゼロデイ含む脆弱性60件に対応
「WordPress 5.8.1」が公開に - 3件のセキュリティ修正
仙台市、借金相手に同僚の個人情報伝えた職員を処分 - 怪文書約2500枚届く
MS、ブラウザ「Edge」最新版を公開 - 独自5件含む24件の脆弱性を解消
ユービーセキュア、攻撃対象領域の調査サービスを開始 - 設定不備や機微誤公開も
「InterSafe ILP」に新版 - ファイル持出時に個人情報をチェック
IPA、2021年前半の被害届出127件を公開 - ランサムや認証突破など
MSが月例パッチ公開 - 複数ゼロデイ脆弱性を修正、一部で悪用も
「GUARDIANWALL」に添付ファイルのダウンロードリンク化機能
セクハラ行為と個人情報漏洩で職員を処分 - 香川県