Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

クラウド利用の日本語入力ソフト、入力内容ダダ漏れに注意

クラウドを活用する日本語入力ソフト(IME)が続々と登場している。クラウド機能により辞書の共有や変換精度の向上など恩恵を受ける一方、情報漏洩が生じるおそれもあることから、IIJのセキュリティチームであるIIJ-SECTでは、しくみを正しく理解した上で利用するよう注意を呼びかけた。

IMEがクラウドを活用するケースで代表的な機能は、辞書登録機能。自動学習によりデータが蓄積することで、変換効率が高まり、端末間で同じ辞書を利用できるメリットもある。

一方で、自動学習により他人に見られたくない単語が、無意識のうちに登録されることがある。また利用者自らが利便性向上のためにクレジットカードなどを辞書登録していると、これらが外部サーバに蓄積されていく。

こうしたデータをやりとりする際、認証などセキュリティ対策が正しく実施されていなければ、不正に情報が取得されるおそれがあると指摘。同チームは、ブログでクレジットカード番号など送信されると困る情報を扱う場合は、「IMEの無効化」や「辞書登録しない」といった対策を心がける必要があると述べている。

さらに注意しなければならないのが、外部のクラウドを利用したリアルタイム変換。クラウドを活用することで精度を高めることができるなどメリットがある。しかし、打ち込んだパスワードなどをはじめ、入力内容が外部へ送信されていることを意識すべきであると警鐘を鳴らしている。

なかにはユーザー認証なく、入力されたデータが逐次外部に送信されてしまうソフトも存在。入力内容を確定した際に、入力対象のアプリケーション名やユーザーのセキュリティ識別子を送信しているケースも確認されている。

多くのIMEは、クラウド機能について明示し、ユーザーに許諾を得るものの、こうした問題を理解せずに許可してしまう場合があるほか、インストール時の推奨設定で自動的に有効化される場合や、プリインストールで有効になっている場合なども存在すると危険性を指摘。

特に企業などの組織で機密情報を利用する場合、クラウド機能を利用しないよう徹底したり、ファイアウォールで通信を遮断するなど、組織内のポリシーを照らし合わせた上で適切に対策を講じるようアドバイスしている。

(Security NEXT - 2013/12/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

電子カルテを目的外閲覧、外部漏洩した職員を処分 - 徳島県
グループウェア「Zimbra」に初期パスワード流出のおそれ
職員が上長アカウントに不正アクセス、投書から複数発覚 - 登米市
「Burp Suite」に脆弱性 - 6月のアップデートで修正済み
個情委、個人データ入り「USBメモリ」の管理で注意喚起
MS、7月の月例パッチで脆弱性84件を修正 - 一部脆弱性はすでに悪用も
4割弱の中小企業、改正個情法の内容「知らない」 - 4社に3社は漏洩報告義務把握せず
小売業における端末の盗難対策、3割強 - コストや人材が不足
2021年度の個人情報漏洩などの報告は6000件弱 - 4件に1件が不正アクセス
結婚支援事業で会員個人情報を別人に誤送信 - 香川県