中国百度のソフトが入力情報を自動送信 サイバー攻撃対策強化を

中国百度(バイドゥ)の日本語入力ソフト「Baidu IME」(パソコン向け)と「Simeji」(スマートフォン向け)が、利用者の打ち込んだ文字情報を同社のサーバーに自動送信していたことが問題になっている。

百度のソフトは文科省と外務省のパソコン計7台にインストールされていたこともわかっており、27日には福島県も、県庁内で使用するパソコン10台から百度のサーバーにデータが自動送信されていたことを発表するなど、波紋が広がっている。

百度の日本法人は、「事前に許諾をいただいており、許諾が得られないユーザーについてはログ情報の取得を行っておりません」との見解を示しているが、百度の利用ガイドラインでは、送信するログ情報の範囲にIMEの入力文字は明示していない。また、他のソフトをインストールした際に、「Baidu IME」が一緒にインストールされることもあるため、利用者がソフトの存在を認識していない場合もある。

今や情報が大きな価値を生む時代。個人情報が流出すれば社会問題になるほか、漏れた情報によっては国家や企業に大きな損失を与えることもありうる。百度に誠実な対応を求めるとともに、無料ソフトに対する注意を喚起したい。

インターネットの普及にともなって、今回のケースのように情報を「奪われる」「書き換えられる」などの被害や、PCやサーバーシステムなどを「破壊される」といった、サイバー攻撃は日常化している。

おもなサイバー攻撃の事例を紹介しよう。

<情報流出のおもな事件>

• 2011年4月、ソニーが運営する「PlayStation Network」が不正アクセスを受け、1億件以上の個人情報が流出した可能性があると発表。
• 13年2月、米Twitterのサーバーに攻撃があり、25万人の電子メールアドレス、ユーザー名、暗号化パスワードへの不正アクセスがあった。
• 13年5月、Yahoo!日本法人のサーバーに不正アクセスがあり、最大2200万件のIDが流出した。

<インフラ攻撃のおもな事件>

• 07年4月、IT立国として知られるエストニアが大規模なサイバー攻撃を受け、インフラや金融機関などの都市機能が一時的に麻痺した。
• 08年、ポーランドの鉄道で、サイバー攻撃によって4つの車両が脱線し、負傷者が出た。
• 10年7月、イランのブシェール原子力発電所が制御システムに攻撃を受け、発電所の稼働を妨害された。

サイバー攻撃は、通常は攻撃者の正体がわかりにくく、比較的安い費用で済むなど、攻撃者にとって都合のいい手段だ。しかも、工場や鉄道などの制御システムを攻撃すれば、大きな事故を起こすなど、物理的なダメージを与えることも可能だ。

上記の事例も攻撃者が分かっていないものが多く、エストニアやイランの事件は、敵対する国家の関与が疑われている。そのため、米国や英国では、サイバー攻撃は「戦争にも等しい行為」として対策をはじめている。特に米国では、ミサイルなどの報復措置も辞さないとしており、全軍に所属するサイバー部隊を今後4年間で4000人増員、予算を230億ドル(約2兆3000億円)投資する予定だ。

一方、日本でも自衛隊が「サイバー空間防衛隊(仮称)」の準備室を設置したが、100人程度の規模にとどまっており、「ミサイルなど、武力攻撃の一環としてのサイバー攻撃」が行われなければ動けないなど、対策は十分とは言えない。

このたびの百度による情報流出が、どの程度の被害をもたらすかは、今の時点ではわからない。しかし、中国が軍事拡張を続けている現在、個人や企業のみならず国家においても、サイバー攻撃へのさらなる対策を講じていくべき時期がきているのではないだろうか。(将/紘)

【関連記事】

2013年10月21日付本欄 猛者の集うハッカーの甲子園!? サイバー防衛のため養成へ

http://the-liberty.com/article.php?item_id=6800

2013年6月12日付本欄 米政府が国民の個人情報を監視 「自由の国」はどこへ行った?

http://the-liberty.com/article.php?item_id=6160

2013年6月5日付本欄 通信インフラにもサイバー対策が必要

http://the-liberty.com/article.php?item_id=6130