情報のクラウド漏れに注意、何気なく使うオンライン翻訳サービスにもリスク

　独立行政法人情報処理推進機構（IPA）は4日、毎月出している情報セキュリティにおける「今月の呼びかけ」を発表した。2月は「『知らない間に情報を外部に漏らしていませんか？』～クラウドサービスを利用する上での勘所～」というもの。

　クラウドサービスにまつわる情報漏えいトラブルとしては、オンラインストレージサービスによる不適切な共有設定が思い浮かぶ。オンラインストレージに保存したファイルの共有設定が公開となっているのを認識しておらず、会社などの特定グループ内だけで共有していると思い込んでいたファイルやデータが実はインターネットから広くアクセス可能になっていた……といったパターンだ。

　しかし今回IPAが取り上げているのは、そうした世間への流出という話ではなく、情報がユーザーの端末から外部のサービス事業者のサーバーへ送信されるという意味での“漏らし”だ。オンラインストレージに限らず、現在では多くのインターネットユーザーがさまざまなクラウドサービスを使うようになっており、クラウドサービスとは意識せずに使っているサービスやソフトなどを通じ、本来は外部に出してはいけない情報が外部の事業者に送信されていることもあるとし、利用時の注意点を挙げている。

さまざまなクラウドサービスの例

　まず、つい最近に話題になったのが、日本語入力ソフト（IME）によるパターンだ。昨今はかな漢字変換などの機能を外部のクラウドサーバーと連携して行うIME製品も出ており、テキスト入力した情報が外部に送信されているかたちになる。こうした“クラウド変換機能”は通常、デフォルトではオフになっており、オンにするにはユーザーが意識して設定する必要があるものだという。

　しかし、年末に問題が指摘された「Baidu IME」では、デフォルトでオンになっており、その説明も不十分だったためにユーザーがそのまま使い続け、テキスト入力した情報が外部に送信されている状態であることに気付かない状態だった。使用許諾契約の中にも、テキスト入力した情報がクラウド変換機能により外部サーバーに送信されるとの説明は、当初なかったとしている。

　このようなことから、IPAでは「クラウド変換機能タイプのIMEの利用は、入力した日本語などが外部に流出する懸念がある」とし、「個人情報や組織の機密情報などを扱う際には、事業者のクラウド機能における情報の取り扱いや利用範囲などを十分に確認することが重要」としている。

　また、IMEが別のフリーソフトに同梱されている場合もあり、ユーザーが気付かぬうちに一緒にインストールされている可能性もあることも指摘。PCにインストールされているIMEを確認する方法も紹介してる。

IMEにおける情報の外部送信に関する設定画面の例。「Google 日本語入力」（左）と「Baidu IME」（右）

【お詫びと訂正 2014/2/6 11:45】
　記事初出時、上の画像について「IMEのクラウド変換機能の設定画面」と記述しておりましたが、これは誤りで、正しくは「情報の外部送信に関する設定画面」です。「Google 日本語入力」では「クラウド変換機能」は提供していません。また、「Google 日本語入力」のこの設定画面は、OS情報やキー入力数などの利用統計情報を送信するかどうか設定するものであり、キー入力した内容そのものが送信されるものではありません。お詫びして訂正いたします。

オンライン翻訳サービスの利用が社内規定に反する場合も

　「クラウドサービスは便利に利用できる反面、何らかの情報をサービス事業者側に渡すことが避けられない」とIPAでは説明。普段の業務上で何気なく利用しているようなサービスとして、オンライン翻訳サービス、無料ウェブメールサービス、オンラインストレージサービスの3つを挙げ、そのリスクと想定される被害例をまとめている。

　特にオンライン翻訳サービスについては「PCに翻訳ソフトをインストールすることなく気軽に文章を翻訳できるが、翻訳する元の“文章そのものを事業者に渡している”ともいえる」とし、機密情報を翻訳する場合などは「知らない間に社内規定に反してしまうことになる」と指摘。こうした点を認識し、注意して利用するよう呼び掛けている。

　また、無料ウェブメールサービスやオンラインストレージサービスでは、個人情報を含むメール本文やメールアドレス情報、ファイルがサービス事業者に渡るサービスであることを説明。ID・パスワードが漏えいすると、第三者にそれらの情報を盗み見られるほか、万一、サービス事業者が情報漏えい被害に遭うとそれらの情報が外部に流出する恐れがあるといったことも、リスクとして挙げている。