IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、クラウドサービスによる情報流出について紹介している。
広がるクラウドサービス
インターネットの普及により、さまざまなクラウドを利用したサービスが存在している。具体的には、図1のようなサービスがある。
これらのサービスで、注意すべきものがある。日本語のかな漢字変換を行うIMEだ。機能の1つにクラウド変換機能がある。これは、ユーザーが入力した内容をクラウド上のサーバーに送信し、そこで変換を行う。変換精度の高さなどがウリである。しかし、ここで重大な問題が発生した。本来、この機能はデフォルトで無効であるはずなのに、有効になっていたのである。結果、ユーザーが入力した内容が、気が付かないうちに外部に送信されてしまったのである。
クラウド変換機能のどこに問題が?
さて、このIMEとクラウド変換機能のどこに問題あったのか。IPAでは、3点を指摘している。
1. インストールしたことに気が付かない
ユーザーがフリーソフトなどをインストールしようとした際に、IMEが同梱されていたのである。つまり、別のソフトをインストールしたつもりであったのに、IMEも同時にインストールされていたのである。このようなことはこのIMEに限ったことではない。しかし、一般的に、ユーザーがインストールの可否を選択できるようになっている。しかし、このIMEはユーザーに確認することなくインストールされる。
2. デフォルトでクラウド変換機能が有効になっていた
2つめは、クラウド上のサーバーと通信をするクラウド変換機能が、デフォルトで有効になっていた点である。さらに、そのIMEは情報の外部送信を行うことを、明示していなかった。したがって、ユーザーは外部に通信を行っていることにまったく気が付かなかったのである。その間、入力した内容などが外部に無断で送信される状態が継続していた。
3. ユーザーが使用許諾契約を見なくても利用でき、使用許諾契約に入力内容を外部サーバーに送信することが書かれてなかった
ソフトのインストールの際には、使用許諾契約などが表示され、それに同意をした場合にのみインストールが行われる。そのステップが存在しなかったのである。さらに、使用許諾契約を確認することも、意識的に所定の操作をしなければならなかった。そこまで行って使用許諾契約に辿り着いたとしても、「キー入力した内容などを外部のサーバーに送信する」という記載はまったくなかったのである。
この3つにより、ユーザーはIMEを自身の意思とは無関係にインストールされ、その動作などをまったく知らされない状態であった。IPAでは、このような状況でIMEを利用していると、入力した内容が外部に流出する懸念があると指摘する。入力内容が個人情報や機密情報など、本来外部に漏れてはいけない情報であっても同様である。クラウド上で個人情報や組織の機密情報などを扱う際には、事業者のクラウド機能における情報の取り扱いや利用範囲などを充分に確認すべきと注意喚起している。
インストールされたIMEの確認方法
前述のように、インストールした覚えがなくとも、インストール済みの場合もある。IPAでは、その確認方法を紹介している。図2のように、タスクトレイに注目する。
この部分をクリックすると、インストールされているすべてのIME、さらに有効になっているIMEがわかる(図3)。
Windows標準のMicrosoft IMEでは、外部への情報送信に関する設定はない。Google日本語入力とBaidu IMEは、図4のように設定項目を確認してほしい。
Google日本語入力は、この設定をオンにすると使用統計情報などは送信されるが、入力内容が送信されることはない。Baidu IMEでは、オンにすると入力内容が送信される。
クラウドサービスを利用する際に注意すべきこと
クラウドサービスでは、必ずユーザーの持つデータや情報をサービス事業者渡すことが避けられない。データ共有の設定を誤ったり、万が一事業者側のシステムが不正アクセスに遭ったりすると、データや情報が流出する危険性がある。事業者の管理体制やモラルもすべて同レベルとはいえない。
IPAでは、オンライン翻訳サービス、フリーのWebメール、オンラインストレージについて、具体的なリスクや想定される被害例などを紹介している。オンライン翻訳では、社内文書を翻訳しようとした場合、内容によっては社内規定に抵触する可能性もあるとのことだ。また、残りの2つでは、なりすましや外部への情報漏えいの危険性がある。ぜひ、一読してほしい。