その IME 、信用できますか？

Sjimeji^*1 や Baidu IME^*2 からの変換履歴の外部送信が話題になっているようなのでメモ。
Baiduもプレスリリースを出すなど釈明に追われているようです。

• 中国「百度」製ソフト、入力の日本語を無断送信 : ニュース : ネット＆デジタル : YOMIURI ONLINE（読売新聞）
• 百度ソフト、情報外部送信停止…初期設定を変更 : ニュース : ネット＆デジタル : YOMIURI ONLINE（読売新聞）
• 一連の報道に対する弊社の見解

Baidu は以前にも検索エンジンのロボットの行儀が非常に悪くて、謝罪文を掲載する羽目になったという前科があるので、個人的に会社自体をあまり信用していません。

† 技術的に何が問題なのか？

技術的な話は事の発端となった NetAgent Official Blog や IIJ Security Diary のエントリが詳しいです。
プレスリリースではサラッと流されていますが、ケータイの UUID や Windows の SID を収集してるのはかなりまずい気が。

• IIJ Security Diary: IMEのオンライン機能利用における注意について
• NetAgent Official Blog : 入力情報を送信するＩＭＥ

† 警告の意味が伝わっていない・・・

例えば Android では IME をインストールしようとすると画像のような警告ダイアログが出るようになっています。

この入力方法を選択すると、すべての入力内容の収集をアプリ（＃＃＃＃）に許可することになります。これはパスワードやクレジットカード番号などの個人情報も含まれます。この入力方法を使用しますか？

Android のこの警告はユーザーに発生しうるリスクが比較的明示的に示されているのですが、Windows はそういうことはしてくれないですからね。
そもそも IME がどういう仕組みなのかあまり考えずに使っている人も多いのでしょう。

年明けから F/W のフィルタリストに baidu が追加される組織も少なくないでしょうね。

• ^*1: Simeji（日本語入力キーボード） - Google Play の Android アプリ
• ^*2: Baidu IME - 日本語入力 -