中国企業の入力アプリ「百度輸入法」「QQピンイン」等…ユーザー情報を送信

カナダ・トロント大学の研究機関「シチズン・ラボ」は4月23日、中国の主要IT企業9社が提供するスマートフォン向け中国語入力アプリに、ユーザーの入力情報が送信される脆弱性があると警告した。ファーウェイ以外の全8社のアプリに問題が見つかったという。

シチズン・ラボによると、「百度輸入法」「QQピンイン」「捜狗拼音輸入法（Sogou IME）」など、これらのアプリはユーザーの入力情報をクラウドサーバーに送信する際、独自の暗号化方式を使用。だが、その多くは素人目にも明らかな欠陥があり、第三者が傍受すれば容易に解読できる状態だった。中には全く暗号化していないアプリもあったという。

最も基本的な脆弱性が見つかったのは、サムスン製スマートフォンに搭載されていた「Samsung Keyboard」。ネットワーク上でセキュリティ対策なくデータを送信していた。「百度輸入法」を搭載する銀河、栄光、小米、OPPO、VIVOなどのメーカー端末も、同様の問題を抱えていた。

中国では、「QQピンイン」「捜狗拼音輸入法」「百度輸入法」などのサードパーティー製入力アプリが広く普及しており、利用者は10億人に上るとされる。

シチズン・ラボは、中国のアプリ開発者はセキュリティ対策の国際基準についての知見が不足していると指摘している。また、アプリストアが開発者に対し、機密データの送信に「HTTPS」など十分な暗号化を求めるべきだと提言。

「百度輸入法」など中国のアプリに限らず、データの取り扱いに不安があるアプリには警告表示を行うよう求めた。

シチズン・ラボは、今回指摘した脆弱性について、中国政府が意図的に設けたバックドアである可能性は低いとの見方を示した。一方で、中国の利用者のほぼ全てが影響を受けるこの問題を放置すれば、これらの中国企業社による普及率の高い入力アプリを通じて、外国の情報機関による大規模な盗聴に悪用される恐れがあると警鐘を鳴らしている。

「百度輸入法」など中国製の入力アプリは日本でも利用されており、日本語環境での使用を想定したローカライズ版も提供されている。日本の利用者も対岸の火事とは思わず、日頃使うアプリの安全性について改めて確認する必要がありそうだ。