Simejiを安心・安全に使っていただくための取り組みについて

simejiは危険!?

日々ユーザーの利便性向上のために開発を行っている「Simeji」ですが、よりいっそう安心・安全に使っていただけるように様々な取り組みを行っています。
今回はこれまで行ってきた取り組みをまとめてご紹介します。

 

 

1.第三者機関による調査結果を公開しています

外部のホワイトハッカーに調査を依頼
Simejiでは複数の外部のホワイトハッカーに依頼して調査をしてもらった結果を公開しています。

バイドゥ株式会社と株式会社スプラウトは、スプラウトが運営するバグ報奨金プラットフォーム「THE ZERO/ONE – Bug Bounty(バグバウンティ)」上で募集するバグ報奨金プログラムの第一弾として「Simeji」の調査報告受付を3月上旬より開始します。
バイドゥとスプラウト、ホワイトハッカー向けバグ報奨金プログラムを開始

 
バグ報奨金プログラムとは?

バグ報奨金プログラムとは、ウェブサービスやアプリケーションなどにバグや脆弱性(※)が存在しないかどうかの調査を、企業が外部のホワイトハッカーに依頼し、もし問題が見つかった場合は報告を受け取り、その対価として報奨金を支払う取り組みのことです。海外の大手インターネット企業では、自社のセキュリティを向上させるための手段として広く認知されているものです。
バイドゥとスプラウト、ホワイトハッカー向けバグ報奨金プログラムを開始


バイドゥとスプラウト、ホワイトハッカー向けバグ報奨金プログラムを開始

 
複数のホワイトハッカーにバグや脆弱性を見つけてもらう

バイドゥではセキュリティ向上を目的として、「Simeji」のiPhoneアプリとAndroidアプリの最新版を対象に、アプリを経由したスマートフォンの乗っ取り(利用者の意に反して通話、SMS送信、メール送信、カメラ起動、盗撮、盗聴することが可能かなど)が起こり得ないか、許可された範囲を超えて利用者のプライバシー情報が収集されていないか、「Simeji」では使用していないとされているバイドゥのソフトウェア開発キット「Moplus SDK」のソースコードが存在しないかについての調査報告を募集します。
バイドゥとスプラウト、ホワイトハッカー向けバグ報奨金プログラムを開始

 
肝心の調査内容は?

1. スマホの乗っ取りが可能かどうか
 乗っ取り:ユーザーの意に反して通話、SMS送信、メール送信、カメラ起動、盗撮、盗聴することが可能など

2. Permission(許可)を取得しているもの以外の情報取得が可能
 - Android申請時に提出しているもの。iOSはプライバシー設定(Settings>Privacy)でユーザー自身が許可した内容に反して端末情報の取得が可能
 - Simeji内でユーザーが任意で情報送信を許可しているもの以外

3.「Moplus SDK」が使用されている
 (1) アプリケーション内に「Moplus SDK」のソースコードが存在する
 (2) アプリケーション内に「Moplus SDK」が使用されていた場合、その機能を実行可能
【Simeji】調査の中間報告 No.1

 
調査結果1

依頼内容に合致する脆弱性報告数 0件
【Simeji】調査の中間報告 No.1

 
調査結果2

依頼内容に合致する脆弱性報告数 0件
【Simeji】調査の中間報告 No.2

調査の結果、スマホを乗っ取ったり、許可無く情報を抜き取ったりする脆弱性はみつかりませんでした。

 
 
 

2.悪意のあるアプリから守る方法についての解説

Simejiだけに限らず、アプリ全般についての対処方法も含めて解説しています。

Simejiは危険なアプリ?安全ですか?というお問い合わせがたびたび寄せられています。
今日はAndroidでSimejiを安全に使うコツを説明します。
Simejiは危険?Android端末を悪意のあるアプリから守る方法

 
アプリを安全に使う3つのコツ

・Google Playなど悪意のあるアプリのチェック機能を持つストアからアプリを取ること
・提供元不明のアプリのインストールを控えること
・アプリが取得しようとする権限(パーミッション)の内容を読んで、機能と無関係なものがないかどうかチェックする
Simejiは危険?Android端末を悪意のあるアプリから守る方法

 
Simejiの取得する権限の主な使用範囲

【Google Play請求サービス】
有料きせかえや、Simejiプレミアムサービス等の課金決済でGoogle Playの請求サービスを使います。

【端末ステータスとIDの読み取り】
端末のステータスを読み取ります。
クラッシュ情報(強制終了といった不具合)を収集するとき、クラッシュしたときの端末の状況を把握する目的で端末ステータスの読み取りをしています。なお、端末固有のIDや通話履歴は読み取りません。

【画像/メディア/ファイル】
きせかえ機能の実現のために取得します。端末内部に保存されている画像にアクセスし、キートップの背景画像に適用します。
Simejiは危険?Android端末を悪意のあるアプリから守る方法

【起動時の実行】
端末の電源がONになるとすぐに起動し、クラッシュログを取得する準備をします。この処理が「バックグラウンド通信」として働き、8時間に1度の頻度でSimejiが不具合を起こした報告をSimejiのサーバーに送信します。なお、バックグラウンド通信は通信量がかかります。Androidの「データ使用」設定でバックグラウンドデータ制限をオンにしてパケット通信料を制限することができます。

【ネットワークへのフルアクセス】
クラウド超変換や、きせかえのダウンロード機能など、Simejiがインターネットに接続するために使います。

【他のアプリの終了】
SimejiがSimeji自身を終了させるために使います。端末のメモリーを開放するためです。
Simejiは危険?Android端末を悪意のあるアプリから守る方法

 

3.個人情報を漏らさないために気をつけるポイント

使い方を間違えなければ、基本的には安全

Simejiでは、新語や流行語など、内部の辞書で見つからない候補をネット上のサーバーへ探しに行く(クラウド超変換)機能を搭載していますが、この機能は入力したよみの言葉と対応する編変換候補の言葉を(照合)しているだけで、メッセージアプリのように入力した言葉を残すしくみは使っていません。また、スマホからネットへ言葉を渡す間で第三者に入力が盗まれないように暗号化という技術を使い、安全性を保っています。
Simeji(しめじ)は安全?個人情報を漏らさないために

 
一発変換した時には学習したデータを消そう

人の氏名やひみつにしたいお店の名前などを一発変換した時は、学習履歴から削除するなど注意しましょう。
Simeji(しめじ)は安全?個人情報を漏らさないために

 

Android版では、変換候補欄に出てくる学習してしまった単語を長押しすることで、学習した単語の削除が選択できます。
iOS版は現在、設定の「その他の設定」から「変換学習リセット」ですべての学習履歴を一括リセットするしか手段がありません。個々の学習履歴を操作する機能は次期バージョンで搭載予定です。
Simeji(しめじ)は安全?個人情報を漏らさないために

 
パスワードなどひみつの文字列を辞書登録しない

Simejiで数字の集まりを入力、確定しても、辞書には登録されません。ですが、あえて「ぱす」といったよみに対して文字列を登録することで、数字や記号の集まりを候補にすることは可能です。しかしこれでは他人にスマホを貸したとき、うっかり候補としてパスワードが見られてしまう可能性もあります。ひみつの文字列は辞書登録しないようにしましょう。
Simeji(しめじ)は安全?個人情報を漏らさないために

 

4.iPhoneでSimejiを入れた時の注意書きについて

Simejiを入れると下記のような注意書きが出てくるので心配になる方もおおいようです。

Simejiを入れたら「住所やクレジットカード番号などの重大な個人情報がSimejiに抜かれます」みたいな注意書きが出ます。
Simejiは危険(なアプリ)ですか?というご質問について


Simejiは危険(なアプリ)ですか?というご質問について

 
Simeji以外のキーボードアプリでも同じ注意書きが出ます。

実はこの表示はSimeji以外のキーボードアプリを入れても同じ警告が出てくるのです。
また、Simejiは、クレジットカード番号のような半角数字はネット側に送信しないしくみになっています。また、チャットアプリのように文字をネット上に残すしくみを使っていませんから、入力語をあとから調べたり、なにか他の目的で利用することもできません。
Simejiは危険(なアプリ)ですか?というご質問について

 
iOSではパスワード入力時に自動的にApple純正キーボードアプリになるので安心

でも、パスワードを入力したら情報が送られるのでしょう?と思われるかもしれませんが、iOS(iPhone)の場合、パスワードを入力するときは自動的にSimejiからApple純製の英数字入力キーボード(簡易版)に切り替わりますので、Simejiがそれを読み取ることはできません。
Simejiは危険(なアプリ)ですか?というご質問について

 

5.Simejiがフルアクセスを求めてくるけど大丈夫?

上記の注意書きと同じような形で「フルアクセス」を求める注意書きが出てくる時があります。

Simejiは「フルアクセス」を求めてくる危険なアプリですか?というご質問をいただくことがあります。
Simejiは危険(なアプリ)ですか?というご質問について

 
フルアクセスとは

フルアクセスとは、Apple以外のサードパーティ製のキーボード開発者が、iPhoneやiPadなどの端末の保存領域にアクセスしたり、キーボードアプリを介してインターネットに接続するために必要な権限のこと
Simejiは危険(なアプリ)ですか?というご質問について

「フルアクセスを許可すると、このキーボードの開発元に過去にこのキーボードを使用して入力した内容を含めたすべての入力内容を転送することを許可します(略)」という警告文が表示されますが、この内容はSimeji特有の警告ではなく、端末に標準搭載されているキーボード以外の文字入力アプリを選択した場合に表示されるiOSのシステムによる標準的な警告です。
Simejiは危険(なアプリ)ですか?というご質問について

 

「フルアクセス」もSimeji以外のキーボードアプリで同じ注意書きが出ます。

実はこの表示はSimeji以外のキーボードアプリを入れても同じ警告が出てくるのです。
Simejiは危険(なアプリ)ですか?というご質問について

 

「フルアクセス」をONにしなくてもSimejiは使えます

フルアクセスをONにしなくてもSimejiの基本的な入力機能は利用できます。
Simejiは危険(なアプリ)ですか?というご質問について

 

 

6.Simejiを使うと初期化しなくてはいけなくなる!?

Simejiを使うと初期化しないといけなくなるという噂があるようです。

「Simeji入れて他のキーボード削除したらロック解除できなくなった。初期化しないと治らないらしい。怖い。」
【閲覧注意】Simeji(しめじ)の本当は怖い話

この現象はSimejiなどサードパーティのキーボードを使ったことが原因ではなく、
・解除用パスワードに特殊記号を使った
・そのうえでiPhone標準の英語キーボードを削除してしまった
場合に起こる事態です。
【閲覧注意】Simeji(しめじ)の本当は怖い話

パスワードを入力できるのは標準キーボードだけです。そして特殊記号は標準の英語キーボードでしか入力できない
【閲覧注意】Simeji(しめじ)の本当は怖い話

 
対応策

できればロック解除パスワードには特殊記号を使わないことをお勧めします。どうしても使いたい場合は標準キーボードを削除しないよう注意しましょう。
【閲覧注意】Simeji(しめじ)の本当は怖い話

 
 

まとめ

いかがだったでしょうか?
ご覧いただいた通り、Simejiの安心・安全への取り組みは多岐にわたっています。
これからも、安心・安全に使える日本語入力アプリとして、サービスの向上に努めていきたいと思います!

Last Update:2018.08.24