HOME情報セキュリティ2014年2月の呼びかけ

本文を印刷する

情報セキュリティ

2014年2月の呼びかけ

「今月の呼びかけ」一覧を見る
第14-03-309号
掲載日:2014年 2月 4日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

「 知らない間に情報を外部に漏らしていませんか? 」
~ クラウドサービスを利用する上での勘所 ~

 現在、ウェブメールサービス、スケジュールおよび動画の共有サービスなど、インターネットを利用した様々なサービスがあり、多くの利用者に活用されています。
 これらのサービスの多くは、クラウドサービス※1に該当し、私たちは普段インターネットの利用時に、クラウドサービスとは意識せずに利用していることになります。

 「意識せず使っている」クラウドサービスの一つにIME(アイエムイー)※2があります。IMEの中には「クラウド変換機能※3」などと呼ばれているものがあります。これは変換候補を効率的に得るために、IMEがキー入力内容を事業者側のサーバーに送信するものです。こうした機能は通常初期設定で無効、つまり外部に送信しない設定になっており、有効にするためにはパソコン利用者が自身で設定する必要があります。
 もしこの「クラウド変換機能」が初期設定で有効になっていて、利用者がその設定状態を把握しないままで使っていると、本来外部に出してはいけない情報であっても、利用者の気が付かないうちに入力内容として外部に送信されてしまいます。
 そこで、今月の呼びかけでは、IMEなどクラウドサービス利用時における注意点を説明します。

図1:様々なクラウドサービスの例
図1:様々なクラウドサービスの例

 なお、クラウドサービスを提供する事業者においては、利用者に対して、キー入力情報などの利用に係る情報を取得することについて、事前に十分な説明を行うことが必要ですので、利用者への説明内容やその手順を確認することが大切です。

    ※1   クラウドサービス:クラウドコンピューティング(大規模データセンターにおいて仮想化などの技術を用いてコンピュータの機能を用意し、それをインターネット経由で自由に柔軟に利用する仕組み)により実現するITの機能を、ネットワークを通じて提供するサービス。
    一般的には、パソコンやスマートフォンのアプリケーションソフトが備える機能を、インターネット経由で利用するサービスのこと。
    ※2   IME:Input Method Editorの略で、端末上で日本語などを入力する際に、その入力を補助するソフトウェア。入力した文字列から変更候補を表示するなどの機能を持つ。
    ※3   他には「クラウド入力機能」「オンライン変換機能」などと呼ばれている。

(1)クラウドサービスの特徴

 クラウドサービスの特徴を、“オンラインストレージサービス”を例に挙げて説明します。“オンラインストレージサービス”は、インターネットのサーバーをファイルの保管庫として利用する、クラウドサービスの代表的なものです。容量が大きい画像、および動画ファイルなどを、端末上ではなく外部のサーバー上に保管しておくことが可能です。単なるファイル保管庫に留まらず、他端末との同期機能や他の利用者との共有など、様々な機能を持つサービスがあります。

図2:データをパソコン内に保管する場合とオンラインストレージサービスを活用する場合の違い
図2:データをパソコン内に保管する場合とオンラインストレージサービスを活用する場合の違い

オンラインストレージサービスの特徴

    データがインターネットのサーバー(事業者側のシステム)上に存在する
    ⇒外出先などどこからでも利用できる
     データがインターネットのサーバー上に存在しているため、インターネットが利用可能な環境であれば、外出先や移動中など、どこでもデータを参照することが可能です。

    データのみならず、機能や仕組みも事業者側のシステムに存在する
    ⇒端末を身軽にできる
     端末に別途プログラムをインストールすることなく、オンラインストレージサービスを利用することが可能※4です。特に格納データ量に限りがあるスマートフォンでは、プログラムやデータを端末ではなく、外部に保存することができるため“端末を身軽にできる”利点があります。

      ※4   別途専用プログラムをインストールするタイプの、高機能なサービスもある。

 このように便利なクラウドサービスですが、データを事業者のサーバー上に預けるため、データの共有範囲の設定を誤ったり、万が一事業者側のシステムが不正アクセスに遭ったりすると、預けていた情報が流出する恐れがあります。

(2)クラウドを利用したIMEにおける利用上の懸念点

 一般的なIMEは変換候補を表示する際に、パソコン内の辞書ファイルを参照しますが、最近のIMEには「クラウド変換機能」などと呼ばれ、変換時にインターネットのサーバー上にある辞書ファイルを参照するものがあります。この機能を使用(有効に)するかどうかは利用者自身が選択することができますが、その機能が初期設定で有効になっているIMEがありました。本来入力時の変換候補を効率的に取得するためのものですが、それは入力した日本語などがサーバーに送信されることを意味します。

 前述のIMEにおける懸念点を挙げます。

    IMEが別のフリーソフトに同梱されており、利用者は一緒にインストールされてしまったことに気付かなかった。
     IMEは最初からインストールされているものに加えて、パソコン利用者が追加でインストールすることもできます。
     中にはフリーソフトなどにIMEが同梱されている場合があり、同梱されていることに気付かないと、フリーソフトと同時にIMEもパソコンにインストールされてしまいます。実際、“フリーソフトのインストールと同時にインストールされる ”よう初期設定がされていたIMEの存在が確認されています※5

    初期設定で「クラウド変換機能」が有効になっていた。
     IMEの「クラウド変換機能」に限らず、パソコン内の何らかの情報が外部のサーバーに送信される場合、望ましいのは利用者が“自分で判断”し、“自分の手”で設定することです。しかし当該IMEでは当初、情報の外部送信について利用者に分かりやすく表示していませんでした。そのため初期設定のまま利用者は使い続け、入力した日本語などが外部に送信される状態に、気付くことができない状況でした。

    利用者が「使用許諾契約」を一切見なくても利用を開始できた。さらに「使用許諾契約」に“キー入力内容を外部サーバーに送信する”旨が明記されていなかった。
     また当該IMEの「使用許諾契約※6」には当初“キー入力した日本語などを外部のサーバーに送信する”という記載がありませんでした。そのため、仮に利用者が意識的に「使用許諾契約」を読んでも、入力内容の外部送信について確認できない状況でした。しかも、IMEのインストール時に、「使用許諾契約」は画面上、容易に確認できる仕様になっていませんでした※7。昨今ではインストール時のウィザード画面に「使用許諾契約」が表示されることがほとんどです。しかし当該IMEでは、インストール時に利用者が「使用許諾契約」を読もうと意識して所定の位置をクリックしない限り、確認できませんでした。

     なお当該IMEの最新バージョンでは、「使用許諾契約」にキー入力した日本語などを外部のサーバーに送信することが明記されています。またインストールの過程で利用者が必ず「使用許諾契約」を目にするよう、仕様が変更されています。

      ※6   使用許諾契約:ソフトウェアなどを提供する事業者が、インストールなど利用開始時に提示する、利用に際しての規則。主に免責事項、プライバシーポリシーなどが記載されている。
      ※7   当初、「使用許諾契約」は別のページに書かれており、かつそれを読まずにインストールを進めることができる仕様になっていた。

 このような「クラウド変換機能」タイプのIMEの利用は、入力した日本語などが外部に流出する懸念があります。
 もし当該IMEを利用し文章を入力していたら、その内容が個人情報や機密情報など、本来外部に出してはいけない情報であっても、利用者の気付かないうちに外部に送信されることになります。個人情報や組織の機密情報などを扱う際には、事業者のクラウド機能における情報の取扱いや利用範囲などを充分に確認することが重要です。

(3)パソコンに現在インストールされているIMEの確認方法

 パソコンに当該IMEがインストールされていると、知らないうちに主に日本語などのキー入力がIMEによって送信される可能性があります。
 以下を参考にして、自分のパソコンにインストールされているIMEを確認してください。

 確認方法
 通常、パソコン画面下部のタスクトレイ上に、現在有効になっているIMEが表示されています(図3)。

図3:有効になっているIMEの表示
図3:有効になっているIMEの表示

 当該IMEのマーク(IMEの種類によって異なります)をクリックすると、“現在パソコンにインストールされているすべてのIME”と、“現在有効になっているIME”を確認することができます(図4)。

図4:インストール済のIMEを表示した画面のイメージ図
図4:インストール済のIMEを表示した画面のイメージ図
(3つのIMEがインストール済で、そのうち「Microsoft IME」が有効になっている状態)

 さらに「クラウド変換機能」など外部に情報を送信する機能が有効か無効かを確認し※8、外部に送信する必要がなければ無効にしてください(図5)。

    ※8   Microsoft IMEでは、外部への情報送信に関連する設定項目はない。
    Google IME(図5左)では、この項目を有効にした場合、OS情報やキー入力数などの統計情報は送信されるが、キー入力内容そのものは送信されない。
    (参考)Google「よくある質問 入力した文字はGoogleに送信されますか。」
        https://support.google.com/ime/japanese/answer/166771

図5:情報の外部送信に関する設定画面
図5:情報の外部送信に関する設定画面

(4)クラウドサービスを利用する上での勘所

 「IMEに限らず、機密情報を不用意に外部に流さないように意識する」ことが重要です。

 クラウドサービスは便利に利用できる反面、何らかの情報をサービス事業者側に渡すことが避けられません。
 下記表1の3つのクラウドサービスは、普段の業務上、何気なく利用しているサービスです。特に「オンライン翻訳サービス」は、パソコンに翻訳ソフトをインストールすることなく気軽に文章を翻訳できますが、翻訳する元の“文章そのものを事業者に渡している”ともいえます。
 業務で機密情報を扱う場合は、このことを認識し注意して利用してください。

表1:情報漏えいなどにつながるリスクがある、クラウドサービスの使い方
オンライン翻訳サービス サービス概要
  • 翻訳したい文書をウェブページにコピー&ペーストすると、サービス事業者側の翻訳プログラムが自動的に翻訳。

利用時のリスク
  • コピー&ペーストした翻訳元文書の内容を外部に送信してしまうことになり、その内容が機密情報に該当する場合、知らない間に社内規定に反してしまうことになる。

想定される被害例
 ある社員が、海外の会社と、契約に関する交渉を暗号化メールでやり取りしていた。
 復号したメールが英語で書かれていたため、オンライン翻訳サービスを利用して日本語に翻訳した。その事により契約情報が漏えいしてしまった。
 せっかく情報漏えい防止のために暗号化メールを使用していたのに、オンライン翻訳という別の経路で情報が漏えいしてしまった。
フリーのウェブメール サービス概要
  • メールソフトが不要で、ブラウザのみでメールを利用できる。
  • メールデータをクラウド上に置くので、外出先などどこからでもメールを参照できる。

利用時のリスク
  • 個人情報を含むメール本文、メールアドレス情報がサービス事業者に渡る。
  • IDとパスワードが漏えいすると、第三者にメール本文、メールアドレス情報を盗み見られる。
  • 万が一サービス事業者が情報漏えい被害に遭うと、メールの内容、メールアドレス情報が外部に流出する恐れがある。

想定される被害例
 普段から会社の業務メールを、個人のウェブメールアドレスに転送していたが、簡単なパスワードを設定していたため、第三者にウェブメールにログインされてしまい、業務メールをすべて第三者に読まれてしまった。
 社内で使用する端末やメールアドレスには、社内規定により複雑なパスワードを設定していたが、個人のウェブメールでは社内規定が及ばず簡単なパスワードを設定していた。
オンラインストレージ サービス概要
  • インターネット上のサーバーをファイルの保管庫として利用。

利用時のリスク
  • 個人情報を含むファイルがサービス事業者に渡る。
  • IDとパスワードが漏えいすると、第三者に預けているデータを盗み見られたり、改変されたりする。
  • 万が一サービス事業者が不正アクセスにあった場合、預けているファイルが外部に流出する恐れがある。

想定される被害例
 自宅で仕事をするために、業務で使用するデータを個人のオンラインストレージ上に置いていたが、当該オンラインストレージサービスにログインするためのパスワードが簡単だったために推測され、第三者にログインされて業務上のデータを盗み見された。

 業務においてクラウドサービスを利用する際には、事前調査や準備を行い、効果的に利用できる条件を整えることで、安全にクラウドサービスを活用してください。サービス利用に際して疑問点がありましたら、当該サービスの運営者もしくは開発者にお問い合わせください。
(ご参考)IPA「クラウドサービス安全利用のすすめ」
     http://www.ipa.go.jp/security/keihatsu/pr2012/ent/02_cloud.html

問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 加賀谷/田中
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。

更新履歴

2014年 2月 4日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。