2013年 12月 26日 ( 1 )

※この記事は別にBaiduやSimejiの行っていた内容を擁護するものではありません。これをきっかけに、とあるサービスに苦言を呈したいがために書いています

Baidu製のIME、並びにBaidu側に開発が移ったandroidアプリ「Simeji」において、端末固有IDと入力内容を紐付けたデータが、ユーザーの意図に関係なく送信されていることが発覚し、話題になっています。

【ニュース】日本語入力ソフト「Baidu IME」「Simeji」の入力内容無断送信報道について、バイドゥが見解を発表 » アンドロイド用アプリが見つかる!スマホ情報ならオクトバ

このニュース自体は、すでに各所で広範囲に話が進んでいますが、私が気になったのは、この調査報告を行った企業が、ネットエージェントだというところでした。

NetAgent Official Blog : 入力情報を送信するIME

ネットエージェントといえば、androidアプリを自動で解析し、悪意のある機能を持っているかどうかを判定して公開している、secroidというサービスを運営しています。

Androidアプリの潜在リスクチェックはsecroid(セキュロイド)

このサイトは今も運用中のようで、実際に上記のネットエージェント公式ブログでは、合わせてSimejiのSecroid判定のページをリンクしています。

d0252816_0161728.png

「リスク:HIGH」だそうです。これだけ見れば、ちゃんと判定できているように思えます。

では、同サイトの現在の「人気:無料」ランキングを自動解析した結果と、注意リストの一覧を見てみましょう。
d0252816_0155051.png

d0252816_0144359.png


何が言いたいか、わかっていただけると思います。大してリスク判定ができていません。
人気アプリの半分近くはsimejiと同じリスクレベルが表示されているし、注意リストにパズドラ含め、有名アプリがいくつか入っています。
「simejiだって、有名アプリ」でしたが、こちらにあるのはsimeji以上の極悪機能が今もなお、バレずに隠されているのでしょうか。
(どうも、チート行為防止のために入れていると思われるroot端末チェックが原因のように見えます)

ここから例えば注意リストに上がったアプリを、今回のsimejiのように人の手で再調査を行い「~に問題があった(なかった)」という回答が出されるならよいですが、実情はこの状態で放置され続けています。

こうした形の公開の仕方では、オオカミ少年のように、いずれユーザーが本当のリスクある情報に対し注意を示さなくなるとしか思えません。

とにもかくも私が言いたいことは、せめて今回simejiがこうした危険性を持っていたことを見つけられたのだから、一時的にリスクレベルを最大のDANGERにするといった行動をとってもらうか、そういった「本当にリスクあるアプリをキチンと抽出する気が今後もないのであれば、1日でも早くクローズして欲しい」ということです。

セキュリティに対してもっとも危険なのは、「危険であるはずの要因に慣れてしまう」ことにあるかと思います。
ネットエージェントのより良いセキュリティ啓蒙活動に、期待しています。
[PR]