テンセント社中国語入力ソフトに深刻なセキュリティの脆弱性

2023/08/15
更新: 2023/08/15

カナダ・トロント大学の研究グループ「シチズン・ラボ(Citizen Lab)」による最近の報告書で、中国語入力ソフトに深刻なセキュリティの脆弱性があることが判明。利用者の打ち込んだ文字情報やクリック数は監視者によって容易に監視され、入力内容は中国本土にあるサーバに送信されていたことが明らかになった。

この問題により、中国の利用者だけでなく、米国、台湾、日本の利用者にも影響が及んだ可能性があるという。

Citizen Labは、市場シェア70%以上、月間ユーザー数5億人を誇るテンセントのソフトウェア「Sogou Input Method(以降Sogou)」を、Windows版、Android版、iOS版で分析。

その結果、入力内容やクリック数などの機密性の高い利用者データを保護しておらず、監視者が解読できれば、情報が復元される可能性があることが判明した。

Citizen Labはこれらの問題は中国の利用者のみならず、全体の3.3%が米国、1.8%が台湾、1.5%以上が日本からの利用者にも影響を及ぼしていると指摘した。

Sogouの利用者は「リスクが高い」 ため、機密の個人情報を含む入力には注意する必要があると述べた。

「公開させない」

 5月31日、Citizen LabはSogouの開発者に調査結果を報告し、その文書の中で、開発者が脆弱性を修正・発見するための具体的な期限を提示した。

その後6月25日、テンセントのセキュリティ・レスポンス・センター(TSRC)からは「この脆弱性は存在しないか、あるいはセキュリティリスクは低い」との返事があった。

しかし、24時間も経たないうちに、テンセントは以前の回答は誤りであり、実際に脆弱性があるとし、その後、脆弱性を公表しないよう要請したとされている。

開発者に脆弱性を伝えた後、Citizen Labの電子メール・ドメインは中国のファイアウォールによってブロックされ、メールの受け取りが難しくなっている。

Citizen Labは、Sogouや中国の他の開発者は「自作」コードではなく、TLSのようなテスト済みの暗号化プロトコルを利用すべきだと主張した。

 さらに、脆弱性が解消されたとしても、情報漏洩の懸念は残るため、中国共産党やテンセントによって利用者のデータが入手される可能性があると述べている。