便利なサービスやソフトウェアが一般に普及しているが、それらを利用することにより、ユーザーが気付かぬうちに、情報が外部に漏れてしまうことがある。IPA(情報処理推進機構)はクラウドサービス(とくにIME)について、セキュリティ企業のラックは意図せず導入されているソフトウェアについて、もう一度見直すよう注意を呼びかけている。
■知らぬ間に入力情報を外部に送信――IMEの設定に注意
IPA(情報処理推進機構)は4日、2月の呼びかけとして「『知らない間に情報を外部に漏らしていませんか?』~クラウドサービスを利用する上での勘所~」を公開した。まず、私たちが「意識せずに使っている」クラウドサービスとして、ウェブメールサービス、動画の共有サービスなどをあげ、クラウドサービスの仕組みを説明。そのうえで、とくに注意するべきサービスとして、昨年末に話題となったIME(Input Method Editor、入力支援ソフト)をあげた。設定に無頓着に使っていると、秘密にしておくべき情報が外部に送信される恐れがある。 IMEの「クラウド変換機能」が有効になっていると、インターネットのサーバー上にある辞書ファイルを参照するために、ユーザーの入力した内容が外部に送信される。通常は初期設定で無効になっているこの機能が、昨年話題となったIMEでは、初期設定の段階で有効になっていた。しかも情報が外部に送信されることについての分かりやすい表示もなかった(いずれも問題が指摘された当時)。このため、初期設定のまま使っていたユーザーは、入力情報が外部に送信され続けていた。 IPAは、パソコンに現在インストールされているIMEの確認方法を図で説明している。これまで確認したことのない方は、ぜひ自分のパソコンの状態を確かめてみていただきたい。また、IMEのほかに、オンライン翻訳サービス、フリーのウェブメール、オンラインストレージにおいても、利用時のリスクと想定される被害例が挙げられ、注意が呼びかけられている。
■意図せず導入されるソフトウェアとその動き――ラックが啓発情報公開
セキュリティ企業のラックは、5日に公開した啓発情報の中で「意図せず導入されるソフトウェアと、そのソフトがどういう動きをしているのか、利用者自身が理解していますか?」と問題を投げかけている。 同社は、ソフトウェアの配布方法が「パソコン購入時に既に導入されていた、他のソフトウェアに添付されていた、外付けハードディスクなどを購入した際に添付されていた」などトリッキーになっていることを指摘。ソフトウェアを導入する前には、本当にこのソフトウェアを受け入れていいのかを吟味するようすすめている。 また、ウェブアクセスの履歴を外部のサーバーに送信しているプラグインを取り上げ、解説している。挙げられているのはGoogle ChromeやFirefox用のプラグインで、マウスジェスチャーやRSSリーダーなど16種。これらについて、「なんだかよくわからないが、利用者の行動履歴を勝手に外部に送信しているのはけしからん!」と思うのか、「URLくらいだったらたいしたことはない」と判断するのかはその人次第だろう。また、利用者が一般家庭のユーザーなのか、あるいは組織なのかによっても問題の大きさが違ってくる。これらのプラグインを利用する場合は、ウェブアクセスの履歴が外部に送信されることをよく理解した上で使うことが望ましい。 同社は、自分が使用している(システム管理者においては、組織内で使用されている)ソフトウェアがどのような機能を持っているか、これを機会に確認してみるようすすめている。
(2014/02/10 ネットセキュリティニュース)
【関連URL】 ・2014年2月の呼びかけ「知らない間に情報を外部に漏らしていませんか?」~クラウドサービスを利用する上での勘所~(IPA) http://www.ipa.go.jp/security/txt/2014/02outline.html
・意図せず導入されるソフトウェア~その存在と動き。把握していますか?~(ラック) http://www.lac.co.jp/security/alert/2014/02/05_edu_01.html