■Baidu IMEがクレカ番号など入力情報を勝手に外部送信＝超アグレッシブ企業・百度の伝説■
 

Baidu / bfishadow

中国検索最大手・百度の日本支社が提供している日本語変換ソフト・Badiu IMEが、利用者に無断で入力情報を自社サーバに送信していたことが明らかとなった。


■他社だって入力情報を収集している？ならば百度の問題とは？

近年、日本語変換ソフトの精度は大きく向上したが、その背景の一つとしてユーザーの入力データを収集し、ソフトの改善に役立てていることがある。日本人が一番よく使うソフトである日本語変換ソフトの機能向上はまぎれもなく喜ばしい事態だが、その一方で「あの子にあてた恋文」やらクレジットカード情報やパスワードが外部に送信されているかと思うと、ちょっと勘弁して！という思いを抱くのも当然だろう。

プライバシーと利便性の天秤というネット時代にはよくある話。グーグルの日本語IMEとて入力情報を外部に送信している。

ちなみに先日、ジャストシステムのアンドロイド版ATOKをインストールしたのだが、その際「パスワードも含めて入力情報を外部送信するけど、ええか？」的なメッセージが表示され、かなりどきっとした。率直に明示してくれている点では好感が持てるとはいえ、夜な夜な「ウラミハラサデオクベキカ」と書きつづっているボクの魔太郎日記がネットに送信されるかと思うと……。
追記：はてブでのご指摘を受けて調べたところによると、Justsystem公式サイトで「ATOKは入力文字の収集はしておりません。ご安心ください」との説明があった。私がどきっとした表示はAndroidの汎用メッセージであり、通常使用の場合は入力情報は収集されていないようだ。

ともあれ、クラウド時代を迎えた今、「プライバシーを売って利便性を手に入れますか？」という悪魔との契約はそこいら中に転がっている。その意味ではBaidu IMEの話も奇異なものではないのだが、実は一般化できない問題点もあるようだ。

複数の日本語記事が出ているが、ポイントを書き落としている記事もあるようなのではっきりさせておきたいのだが、NHK NEWSwebの記事が正しくクリティカルなポイントを挙げている。

このソフトは、初期設定ではパソコンの情報を外部に送信しないと表示していますが、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。

つまり問題点は「外部に情報が送信されていること」というよりも、「拒否してもこっそり送信されている」という点にある。

その外部送信された情報、百度がなにかに利用するのではないか、百度の従業員が個人情報を第三者に転売するのではないか……といった危惧が思い浮かぶが、中国ではさらに斜め上をいく事態も起きている。それが「ググったらボクのパスワードがでてきたでござる事件」だ。

これは2010年に起きた事件だが、中国のセキュリティソフト・360が「危険なサイトなどを調べるため」ユーザーの入力情報を収集していたところ、設定を間違えてその情報がグーグルで検索できる状態になってしまったというもので大騒ぎとなった。中国IT企業の情報流出もたびたびあるだけに、百度に悪意がなくとも情報流出する危険性は残る。


■グレーゾーン＝ホワイトや！超アグレッシブ企業、百度

百度といえば中国検索最大手にして、中国を代表するIT企業の一つ。だが、創立以来、一貫して「グレーゾーン？クロじゃないところは全部シロなんやで～」というアグレッシブ精神を失わないのが特徴だ。まあ、今回の「拒否しても入力情報送信」は真っ黒だが。

中国ではもともとグーグルが検索トップシェアを占めていたが、中国政府による“わかりづらい検閲アタック”（1時間のうち30分はつながらない、2回に1回はつながらないなどなど）により、不便なサービスとしてシェア急落。そのすき間を縫って百度が台頭した。百度自身は「2文字1組で意味を取ることが多い中国語にはグーグルの技術は最適ではない」などと勝利の理由を説明していたが……。

百度の勝利を決定づけたのがMP3検索だ。これはネットにアップされた海賊版音楽ファイルが検索可能、しかも違法アップロードしたサイトを訪問しなくとも百度のページ上からその音楽を聴けるという便利すぎるサービスだった。当然のごとく訴えられたが、「うちがアップした違法ファイルではないでござる」と主張し勝訴。後に百度のサイトから直接音楽を聴けないように変更されたが、同社のシェアを一気に高める契機となった。

普通ならば大手企業になった後はおとなしくなりそうなものだが、百度はベンチャー的なアグレッシブ精神を失わない。グレー＝ホワイト精神で数々のサービスを生み出していく。主力の検索業務で話題となったのが検索サイトのためにウェブページを収集するBaiduスパイダーだ。ウェブサイトは検索エンジンに登録されないよう設定することが可能だが、Baiduスパイダーは拒否設定していても強引に収集していく。さらにセキュリティが甘いサーバーだと、外部から見られないように設定されたファイルも漁っていく。そのため「百度で検索したら、自分のEメールの文面が表示されたでござる」という伝説も生まれた。

日中で大きな話題となったのがドキュメント共有サービス「Baiduライブラリ」（中国名は百度文庫）。ユーザーがアップロードした文書を不特定多数に公開するというサービスだが、ダウンロード数に応じてアップしたユーザーにはポイントが与えられたり、あるいは「部長さん」「社長さん」などの称号がランクアップするシステムが搭載されていた。中国の海賊版ファイル共有用のネット掲示板にはよくあるシステムなのだが、「社長さん」を目指すユーザーたちが怒濤のごとく、小説やらマンガやら人気がでそうなファイルをアップ。大手企業による海賊版普及システムとして輝いた。その日本版は公開直後に速攻で怒られサービス中止、中国版もメディアや世論の猛批判を浴びるという事態を招いている。

追記：
百度爆走伝説の最新版が動画配信サイト・百度視頻だ。これはMP3検索の動画版とも言えるだろう。複数の動画配信サイトにアップされている動画を検索でき、百度のサイトから視聴可能という逸品。百度からすれば、「君のところの動画広告も流れるんだからええやないか」という主張になるが、ほかの動画サイトからしてみれば自分のサイトにきてもらう習慣をつけてもらいたいわけで許せる話ではない。

というわけで、百度視頻の競合他社が大同団結、猛批判の論陣を張った。この件については週刊東洋経済で富坂聰さんが書いている。12月22日、百度はPPS、酷6網、華数TV、浙江衛視、江蘇衛視、東方衛視、湖南衛視らと「正規版動画支援アクション」を発表。包囲網の切り崩しをはかっているが、まだまだ先は読めない。

追記：
「Baidu.jp プレスリリース」が出ました。「ログセッション」「クラウド変換」という二つの情報送信カテゴリがあるのがミソで、クラウド変換を使っていない場合には入力データは外部送信されないものの、ログセッションをオフにしておかなければアプリケーションの使用履歴などを外部送信していたというもの。またAndroid版の日本語入力ソフト・Simejiについてはログセッション、クラウド変換の双方をオフにしていてもログデータが外部送信される「バグ」があったと説明しています。

またこの件を発見したネットエージェント社のプレスリリースによると、変換機能をオフにしていた場合には（クラウド変換をオンにしていた場合でも）入力情報は外部送信されないとのこと。パスワードなどの入力欄では日本語入力ソフトがオフにされる設定のサイトでは入力情報は外部送信されないことになります。とはいえ、パスワードをメモするため、ワードやメモ帳に書き込んだ場合には送信されることになりますが。

ちょっと微妙な展開ではありますが、百度ジャパンのプレスリリースを受けて記事中の「真っ黒」という表現を撤回させていただきます。

追記：
百度ジャパンが提供する、Android用日本語入力ソフト・Simejiについてブログ「Jiagm's BLOG @ Blogger」が検証しています。クラウド入力をオフにしても入力の結果は送信されるとのことです（これが上述のバグでしょうか？）。

また同ブログが百度本社の声明を紹介しています。「クラウド変換は日本の法律、世界のIT業界の慣例に合致したもの、データはプライバシーに関する内容を含まない、日本メディアがわざと誇大報道」といった内容です。プライバシーに関する内容を含まないと言い切れるのかどうか疑問ではありますが、確かに報道が混乱しているのは事実で、ネットエージェントの報道や政府の通達の前に百度と協議できなかったのかという疑問も。


関連記事：
またも訴えられたアップル＝「スマート海賊版小説」に作家が怒り―中国
【覇王の敗北】百度が謝罪、電子書籍共有サービスからの海賊版排除を約束―中国
あのマンガもこのマンガも全部タダ！バイドゥジャパンの電子書籍共有サービスが真っ黒すぎて怖い
中国ハッカー集団「ナイト・ドラゴン」、欧米エネルギー企業5社のコンピュータから情報盗む―米セキュリティ企業
中国VSベトナム、サイバー戦争が開戦＝政府関係サイトがすでに陥落