2016.06.27(月)

クラウド型日本語入力システムは入力文字が漏えいする危険性(IIJ)

脆弱性と脅威 脅威動向

株式会社インターネットイニシアティブ(IIJ)は12月17日、IMEのオンライン機能利用についてブログで注意喚起を発表した。最近の日本語入力プログラムでは、常時インターネット接続を必要とするクラウド関連の機能が実装されることが増えてきた。便利な機能であるが、入力した文字情報が漏えいする危険性もある。なお、ここでいうクラウド関連の機能は、「ユーザ辞書の外部サーバへの保存(辞書同期)」および「外部サーバからの変換候補の取得(クラウド変換)」を指している。

ユーザ辞書には自動学習によりデータが蓄積されるため、意図していない単語が登録されていることがある。たとえば、入力の手間を省くために自分のクレジットカード番号を「くれじっと1」と単語登録している場合などだ。辞書同期機能を使う場合は、これを外部のサーバに保存することになるため、保護に使われる認証情報の管理には注意を払う必要がある。また、クレジットカード番号など送信されると困る情報を扱う場合はIMEを無効化したり、こういった情報を辞書登録しないということを心掛けて利用する必要があるとしている。

クラウド変換の場合には、外部サーバから変換候補を得る仕組みから分かるとおり、入力されたデータは外部に送信される。文章を入力すると、その内容が逐一サーバに送信され、各定時には入力対象のアプリケーション名とユーザのセキュリティ識別子(SID)が同時に送信される。この情報を第三者が何らかの方法で入手した場合、再構築することで重要な情報が漏えいする可能性がある。

なお、IMEが無効で半角英数字のみ入力可能な状態では送信されない。ブログでは、特に企業などの組織において、IMEで取り扱う情報を組織内部にとどめておくべきと判断した場合は、組織内のソフトウェアの利用・管理方針などと照らし合わせた上で「ユーザ環境の設定により当該機能を利用しないように徹底する」「組織境界に設置されたファイアウォールなどで、当該機能の通信を禁止する」といった対策を検討するよう勧めている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. WordPress用プラグイン「Welcart e-Commerce」に複数の脆弱性(JVN)

    WordPress用プラグイン「Welcart e-Commerce」に複数の脆弱性(JVN)

  2. OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

    OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

  3. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性

    Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性

  4. コレガ製の複数の無線LANルータに脆弱性(JVN)

  5. Docker APIやH.323 プロトコルのポートに対するアクセスが増加(警察庁)

  6. 「Apache Struts 2」に深刻な脆弱性、バージョンアップを強く推奨(ラック)

  7. 少人数による攻撃でも深刻な影響を与える「Slow HTTP DoS Attack」を把握(警察庁)

  8. 2013年にサポートが終了している「Apache Struts1」に複数の脆弱性(JVN)

  9. Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)

  10. 「ntpd」に複数の脆弱性、アップデートを呼びかけ(JVN)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×