Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

クラウド利用の日本語入力ソフト、入力内容ダダ漏れに注意

クラウドを活用する日本語入力ソフト(IME)が続々と登場している。クラウド機能により辞書の共有や変換精度の向上など恩恵を受ける一方、情報漏洩が生じるおそれもあることから、IIJのセキュリティチームであるIIJ-SECTでは、しくみを正しく理解した上で利用するよう注意を呼びかけた。

IMEがクラウドを活用するケースで代表的な機能は、辞書登録機能。自動学習によりデータが蓄積することで、変換効率が高まり、端末間で同じ辞書を利用できるメリットもある。

一方で、自動学習により他人に見られたくない単語が、無意識のうちに登録されることがある。また利用者自らが利便性向上のためにクレジットカードなどを辞書登録していると、これらが外部サーバに蓄積されていく。

こうしたデータをやりとりする際、認証などセキュリティ対策が正しく実施されていなければ、不正に情報が取得されるおそれがあると指摘。同チームは、ブログでクレジットカード番号など送信されると困る情報を扱う場合は、「IMEの無効化」や「辞書登録しない」といった対策を心がける必要があると述べている。

さらに注意しなければならないのが、外部のクラウドを利用したリアルタイム変換。クラウドを活用することで精度を高めることができるなどメリットがある。しかし、打ち込んだパスワードなどをはじめ、入力内容が外部へ送信されていることを意識すべきであると警鐘を鳴らしている。

なかにはユーザー認証なく、入力されたデータが逐次外部に送信されてしまうソフトも存在。入力内容を確定した際に、入力対象のアプリケーション名やユーザーのセキュリティ識別子を送信しているケースも確認されている。

多くのIMEは、クラウド機能について明示し、ユーザーに許諾を得るものの、こうした問題を理解せずに許可してしまう場合があるほか、インストール時の推奨設定で自動的に有効化される場合や、プリインストールで有効になっている場合なども存在すると危険性を指摘。

特に企業などの組織で機密情報を利用する場合、クラウド機能を利用しないよう徹底したり、ファイアウォールで通信を遮断するなど、組織内のポリシーを照らし合わせた上で適切に対策を講じるようアドバイスしている。

(Security NEXT - 2013/12/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、2024年最後の月例パッチを公開 - ゼロデイ脆弱性も修正
「Dell PowerFlex」など複数製品に深刻な脆弱性 - アップデートを公開
「WordPress」のメンテ機能を提供するプラグインにRCE脆弱性
アイ・オー製ルータ「UD-LT1」などに脆弱性 - すでに悪用も
プロバイダ向け「Veeam Service Provider Console」に深刻な脆弱性
IBMの認証管理製品に複数の深刻な脆弱性 - アップデートで修正
オンライン会議ツールに学生名簿を誤アップロード - 岡山大
Synology、「DSM」や「BeeDrive」など複数脆弱性を修正
「NVIDIA UFM」に管理インタフェースから悪用可能な脆弱性
ランサム被害で個人情報流出の可能性、調査を継続 - AIS