2013年12月25日
Baidu IME の ニュースがデマの可能性と真面目な対策方法について
中国製の日本語入力ソフト 入力情報を無断送信 NHKニュース
なんかニュースになってたので色々まとめてみた
新しく古いバージョンでのテストや進展などもこちらに書いたのでどうぞ
Baidu IME の件 古いバージョンで 追加検証
Baidu IMEの件が 読売ONLINEで取り上げられました
なんかニュースになってたので色々まとめてみた
新しく古いバージョンでのテストや進展などもこちらに書いたのでどうぞ
Baidu IME の件 古いバージョンで 追加検証
Baidu IMEの件が 読売ONLINEで取り上げられました
1.相変わらず中国製偽装ライブラリが入ってる件

日本製といいつつ、中国製のバイナリが入ってるのは相変わらず。前作った検出ソフトの精度が上がったので探せる少しファイルが増えました・ω・
どこまで国産なのか Baidu IME のライブラリを覗いてみたよ
韓国のLINEもそうですが、国産といいつつ自分の国のライブラリ使ってるような嘘をついてるソフトはやっぱり、なんかあるんだと思います・ω・
2. 相変わらず、初期設定が本体に反映されていない件

オプション辞書使用しないにしたのに勝手に入る。1年以上前のバグが直ってない
Baidu IME のクラウド入力の仕様がひどすぎる件
というわけで設定は信用しないほうがいいらしい。
3.今のうちにBaidu IMEのオフラインインストーラーを保存したい
http://download.ime.baidu.jp/fullpackage/BaiduType_Setup.exe
ここからダウンロード。
今のうちに現時点のバージョンをダウンロードして試してみたい人はこれをどうぞ。
通常のインストーラーだと差し替えが可能だからね。
解析してみたい人はどうぞ
4. ちょっぴり怖い Baidu のプライバシーポリシー
利用ガイドライン | Baidu IME - 日本語入力システム -
利用記録の保存 ユーザーがBaiduのサービスを利用した際、サーバーが自動的にURL、IPアドレス、ウェブブラウザのタイプ、使用言語、アクセス日時、携帯端末の個体識別情報等のログ情報を記録します。 ログ情報の利用目的 バイドゥはログ情報を以下の目的で利用します。 (1)Baiduのウェブサイト内でユーザーカスタマイズされた使いやすいサービスを提供するため。 (2)バイドゥが最適なコンテンツ、各種サービスの案内などをユーザーに配信したり提供したりするため。 (3)バイドゥが提供しているサービスの内容を、充実させたり、改善したり、あるいは新しいサービスを検討したりするための分析・抽出等を行うため。 |
5. 本当に既定の設定で入力内容を送信するか確かめてみた
昔のバージョンは 規定で Baidu IME クラウドが有効になってたのだけど、今はOFFです。
で、本当に入力内容を送ってるのか調べてみました・・・が
結論・・・送ってない。
6. どういうことか推測してみた。

a. システム予測を有効にするとクラウドが自動手有効になる。

b. インストール直後サジェストを有効にすると、この機能が有効になる。(デフォルトではOFF)←ここ重要
Baidu IME が 12/25にデフォルトでOFFにするように差し替えた模様

有効にしたとたん送信してるのを確認。
送信してるのは BaiduPlatform.exe (中国製) ←ここも重要
https で送信するのに失敗すると生でデータを送る.ええいやめんかw
ただし、通信に失敗すると、自己復元できないバグが相変わらずある
↓Baidu さんが差し替えてたのが判明
・セキュリティ研究者は実は規定の設定で使っていなかったのではないか?
・たぶん、セキュリティ研究者は、ログ送信機能とクラウド入力機能を混同している。
・クラウド入力をONにすると入力内容が送信されるのは2年前から既知の問題で今更である。
7. どっち道怖いので、送信しない設定を確実にしたい

BaiduPlatform.exe をとの橋渡しをしてるのが、実は Baidu Japanese IME Service、これを無効にしてしまうと、サービスは起動しない。
また、BaiduPlatform.exe 自体リネームすると二度と動作しなくなります(笑)
BaiduPlatform.exe が通信モジュールなので削除してしまってもOK
Baidu IME 2.x/3.x の中国製通信モジュールだけ削除するツール公開
ちなみに、同じ名前のフォルダを作ってしまうとフォルダがプログラムが起動するタイミングでフォルダが開きます(笑)
つまり、クラウド入力とログ送信機能を無効にした状態で、このフォルダが開かなければ、Baidu IME の無実と、NHK のニュースが捏造であることが証明できるんじゃないかと。
まぁ、BaiduPlatform.exe がネットにアクセスしないで起動するようなケースがあったら、開いちゃうんですけどね・ω・
Baidu さんはそんなに好きじゃないけど、デマニュース流すマスコミはもっと嫌いですよ ・ω・
…マスコミの話は鵜呑みにしない。
結論: 12/26 19:00 NHKの記事は半分捏造。
初期設定ではパソコンの情報を外部に送信しないと表示していますが、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました |
ネットワーク変換で入力候補を送信しないなんてあるわけ無いじゃないですか・ω・;
* 2013/12/27 9:00 注 Google IME のサジェストはネットワーク変換じゃないという指摘があったのですが、Google IMEはオンラインデータベースを使用しているという資料もあって詳細確認中です
インター年と変換である、クラウド入力が有効になってると入力内容をインターネットで送信することを知らなくて、2年前から分かってるようなことを、税金使ってセキュリティ会社にわざわざ調べさせて、大層なニュースにしたってことのほうが問題のような・・・。
情弱を利用した天下り先への税金の無駄遣いですね分かります・ω・
21:50追記: 税金は使われてないそうです。失礼しました・ω・;
#とりあえず、Baidu さんにいいたいこと
・クラウドの設定OFFにしたら即時反映されるようにすべき。プロセスと通信セッションが再起動するまで残るので気持ち悪い。
・設定を変えたときに別の設定が勝手に有効になるのは誤解招くから警告出したほうがいい。
・簡単設定が反映されないバグ早く直そう。
・ログやクラウド入力の内容を HTTPSの通信が失敗したら平文で送りなおすのやめれ。
・中国製のモジュール混在させるのは気持ち悪いのでやめよう。
Twitter Feedback
トラックバックURL
この記事へのコメント
1. Posted by sato 2013年12月26日 20:46
Baidu IMEにしろGoogle IMEにしろ、クラウド変換がある時点で想定して当然のことなんですが、いかに考えないで使っている人が多いかってことですねぇ。
まあ抱き合わせでいつのまにか入ってるってのはユーザーの不注意でもありますから一方的に悪いとは言えませんが、そこにつけ込むソフト会社もいやらしいですね。
まあ抱き合わせでいつのまにか入ってるってのはユーザーの不注意でもありますから一方的に悪いとは言えませんが、そこにつけ込むソフト会社もいやらしいですね。
2. Posted by himitsu 2013年12月27日 07:34
> 確か、Google IMEも 前入れたときは サジェストが既定で有効だったんですが・・・。
> ネットワーク変換で入力候補を送信しないなんてあるわけ無いじゃないですか・ω・;
あれ、Google IME の変換とサジェストって完全ローカル動作なのでネットワーク関係ないですよ。
デマまき散らすの(・A・)イクナイ!!
http://ascii.jp/elem/000/000/484/484639/index-3.html
http://www.itmedia.co.jp/news/articles/1312/26/news108.html
> ネットワーク変換で入力候補を送信しないなんてあるわけ無いじゃないですか・ω・;
あれ、Google IME の変換とサジェストって完全ローカル動作なのでネットワーク関係ないですよ。
デマまき散らすの(・A・)イクナイ!!
http://ascii.jp/elem/000/000/484/484639/index-3.html
http://www.itmedia.co.jp/news/articles/1312/26/news108.html
3. Posted by 黒翼猫 2013年12月27日 09:30
ご指摘ありがとうございます。
Google IMEのオンライン変換APIとGoogle サジェストとGoogle IMEとGoogle IMEのサジェスト機能が
の関係がちょっと整理しきれてないので確認してみます。
Google IMEのオンライン変換APIとGoogle サジェストとGoogle IMEとGoogle IMEのサジェスト機能が
の関係がちょっと整理しきれてないので確認してみます。
4. Posted by 琴里 2013年12月27日 22:30
初めまして。琴里といいます。
記事読ませていただいて、わからないことがあるのですが、『システムによる予測結果の表示を有効にする』にチェックを入れると情報が送信されてしまう、ということですか?
チェックを入れなかったら大丈夫なのでしょうか?
初歩的(?)な質問ですいません。
Baidu私的にはとても使いやすくて、大丈夫そうなら使い続けたいので……。
記事読ませていただいて、わからないことがあるのですが、『システムによる予測結果の表示を有効にする』にチェックを入れると情報が送信されてしまう、ということですか?
チェックを入れなかったら大丈夫なのでしょうか?
初歩的(?)な質問ですいません。
Baidu私的にはとても使いやすくて、大丈夫そうなら使い続けたいので……。
5. Posted by 黒翼猫 2013年12月27日 22:40
簡単に説明すると
そこにチェックを入れたときに同時にチェックが入るクラウド入力にチェックが入ると情報が送信されます。あと、再起動するまで送信され続けます。
今日の夕方の記事で初心者でも簡単に送信モジュールを殺すツール公開したので使ってみてください。マニュアルも入っています。
そこにチェックを入れたときに同時にチェックが入るクラウド入力にチェックが入ると情報が送信されます。あと、再起動するまで送信され続けます。
今日の夕方の記事で初心者でも簡単に送信モジュールを殺すツール公開したので使ってみてください。マニュアルも入っています。
6. Posted by 琴里 2013年12月28日 00:11
ツール使ってみました。
マニュアルに書いてある画像が出たので大丈夫だと思います。
ありがとうございました。
確認(?)なのですがクラウド入力機能を有力にするだけチェックを外し、再起動すれば問題ないのですか?
7. Posted by 黒翼猫 2013年12月28日 15:29
説明にもありますが、このツールは入力データを送信して、変換結果の予測を取得する
クラウド機能を殺すツールなので、有効にすることはできなくなります
殺す前は無効にする場合だけチェックをはずし、再起動すれば
よいです
クラウド機能を殺すツールなので、有効にすることはできなくなります
殺す前は無効にする場合だけチェックをはずし、再起動すれば
よいです
8. Posted by ugambow 2013年12月31日 06:06
shimejiではSocialIMEを利用して個人時代(百度買収前)?は変換ができるようになっていました。
現在ももしかするとそのままかもしれないし、BaiduIMEでも同じようにSocialIMEを利用しているのかもしれません。
ttp://www.social-ime.com/api.html
にあるAPIを見る限り生データかURLエンコードしたものを送ることで結果が返ってくるようなので、便利ではあるが、SocialIMEの辞書から引用しようとするソフト・マッシュルーム(Android文字入力機能拡張(shimeji発祥だったはず))はどれでも危険という感じでしょうね(URLエンコードについて理解したつもりでコメントしているので間違っているかもしれない)。
現在ももしかするとそのままかもしれないし、BaiduIMEでも同じようにSocialIMEを利用しているのかもしれません。
ttp://www.social-ime.com/api.html
にあるAPIを見る限り生データかURLエンコードしたものを送ることで結果が返ってくるようなので、便利ではあるが、SocialIMEの辞書から引用しようとするソフト・マッシュルーム(Android文字入力機能拡張(shimeji発祥だったはず))はどれでも危険という感じでしょうね(URLエンコードについて理解したつもりでコメントしているので間違っているかもしれない)。
9. Posted by himitsu 2014年01月07日 08:30
> Google IMEのオンライン変換APIとGoogle サジェストとGoogle IMEとGoogle IMEのサジェスト機能が
> の関係がちょっと整理しきれてないので確認してみます。
確認と訂正まだですかー
デマの訂正しないの(・A・)イクナイ!!
結論・・・黒翼猫の話は鵜呑みにしない。
> の関係がちょっと整理しきれてないので確認してみます。
確認と訂正まだですかー
デマの訂正しないの(・A・)イクナイ!!
結論・・・黒翼猫の話は鵜呑みにしない。
10. Posted by 黒翼猫 2014年01月07日 11:21
どの情報が正しいのか判断が難しく、まだ整理し切れて無いので、
100%正確な情報ご存知だったら
意地悪して、皮肉言わずに、まとめてくれたら、うれしいのですが ・ω・;
100%正確な情報ご存知だったら
意地悪して、皮肉言わずに、まとめてくれたら、うれしいのですが ・ω・;
11. Posted by にゃんにゃ 2014年02月02日 19:32
対中感情利用して、強引に何らかの火消し材料にしたような気がします
多分NSAのゴタゴタを
多分NSAのゴタゴタを
14. Posted by 2014年11月10日 10:49
こんな前の記事に今更指摘するのもアレですが
問題になっているのはBaidu社製のAndroidのIMEである、Simejiがクラウド変換オフでも送信されていたこと
また、英語入力の予測変換をオンにしていると、半角入力でも送信されていたこと(これによってパスワードフィルタのかかっていないような入力フォームの情報は半角だろうが送信)
まだ、GoogleIMEに関してはGoogleのサジェスト等から機械的にローカル辞書を作成しているだけでネットを利用した変換はしていません
問題になっているのはBaidu社製のAndroidのIMEである、Simejiがクラウド変換オフでも送信されていたこと
また、英語入力の予測変換をオンにしていると、半角入力でも送信されていたこと(これによってパスワードフィルタのかかっていないような入力フォームの情報は半角だろうが送信)
まだ、GoogleIMEに関してはGoogleのサジェスト等から機械的にローカル辞書を作成しているだけでネットを利用した変換はしていません