パスワードを忘れた? アカウント作成
11930658 story
情報漏洩

翻訳サイトに入力した内容が流出? 48

ストーリー by headless
送信 部門より
insiderman 曰く、

共同通信が、「翻訳サイトに入力した内容が流出 省庁、銀行のメールも」と報じている。情報セキュリティー会社ラックへの取材で分かった、とされている。

問題となっているサイトについては明らかになっていないが、I Love Translationというサイトではないかという話が出ている。このサイトでは入力フォーム下に(目立たないが)「翻訳結果の改善計画に関与して(結果はサーバに保存され) 」というチェックボックスがあり、デフォルトでチェックが入っている。

The Huffington Postがラックに取材し、問題の無料翻訳サイトが「I Love Translation」であることを確認している。この件を受けて、IPAでは「クラウドサービスに入力した内容の意図しない情報漏えいに注意」とする注意喚起を行っている。

なお、サイト上にクレジットなどは表示されていないが、処理としては入力内容をBing翻訳およびGoogle翻訳、Baidu翻訳に送り、結果を表示しているだけのようだ。Webページ翻訳ではそのままMicrosoft Translatorに飛ばされる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by System0C7 (27746) on 2015年02月22日 14時59分 (#2765650)

    少なくともGoogle翻訳で翻訳したら、それは少なくとも、どこから(誰が)依頼し、その内容は何か、というログくらいはGoogle側に残っていると想定すべきだろう。たとえば某企業と想定されるIPアドレスからこれこれの翻訳が来ているが、ワードのカウントを取ると、どうやらhogehogeについて調べているようだ、くらいは想像が付く(かもしれない)。

    少なくとも無料に見えるものは何らかの対価をどこかで払っていると見なした方がよいと思う。だから、企業なり政府なりは少なくともお金を払った上で、そういうことをしませんよ、というサービスを使うべきと思うんだがなあ。

    • by Anonymous Coward

      いつから金を払ったら裏切られないと錯覚していた?

      自分でやるという選択肢がない時点で終わっていたのだ。

      • by Anonymous Coward

        金銭授受の有無ではコンセンサスの次元が違ってくる。
        裏切らない保証が無いのはそれはそうだが、そこに疑っては如何なる約束も成立し得ない。
        30年の信用を重ねたセキュリティ最高責任者が次は裏切るかもしれない等と考えていては何もできないよ。

        • by Anonymous Coward

          > 金銭授受の有無ではコンセンサスの次元が違ってくる。
          > 裏切らない保証が無いのはそれはそうだが、そこに疑っては如何なる約束も成立し得ない。
          > 30年の信用を重ねたセキュリティ最高責任者が次は裏切るかもしれない等と考えていては何もできないよ。

          それも極論だし、トップが裏切って最大級の被害が出るなんてことも別に珍しくないよ。

          Google叩きたいがゆえに現実無視に走るくらいなら、まず自分のアタマを疑ったら?

          • by Anonymous Coward

            Googleを叩いている人など誰も居まいに。

        • by Anonymous Coward

          > 金銭授受の有無ではコンセンサスの次元が違ってくる。

          有料道路と無料道路で法律がかわる的な発想。

          • by Anonymous Coward
            守秘義務とかの契約内容は変わりますね。
      • by Anonymous Coward

        あなた会社から金をもらって仕事してるんじゃないの? 裏切って当然と思ってるの?

    • by Anonymous Coward

      タダでLenovoがPCをくれるならSuperfishくらい駆除してから使ったかも

    • by Anonymous Coward

      > 少なくとも無料に見えるものは何らかの対価をどこかで払っていると見なした方がよいと思う。
      > だから、企業なり政府なりは少なくともお金を払った上で、そういうことをしませんよ、というサービスを使うべきと思うんだがなあ。

      サービスを無料と有料で別けんなよww

      無料サイトは対価として情報を売っているという情報もおもしろい。
      #やってないとはいえないがリスクは大きいだろう。

      • by Anonymous Coward

        「当社からの漏えいはありません」と明記して無料サービスに丸投げする有料サイトを作れば喜んで安心料を払うんだろうな、元コメの人。
        金を出せば不正は起こらないなんてどうして信じられるのか不思議でならん。

  • 犯人は情シスかも? (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2015年02月22日 19時00分 (#2765756)

    代替手段を用意しないで上から使うなーとgooogleやらexciteやらを情シスがblockして、
    末端がなんとか抜け道は無いだろうかとさまよったあげく釣り上げられたに一票。

  • by Anonymous Coward on 2015年02月22日 15時01分 (#2765652)

    入力して送信した時点で機密情報流出は完了してるんですよ

    • by Anonymous Coward on 2015年02月22日 18時36分 (#2765742)

      新規開発案件にたずさわった時など、資料など見ての下調べ中に、
       「このキーワードでググってもいいですかね?」と
      確認したことはあまたある。

      だってgoogleに知れちゃうし、下手すると
      とんだ先にもばれちゃうからねぇ。

      親コメント
      • by Anonymous Coward

        そして役員会議まで上げられた挙句丸一日説教されることはどこの会社でもあること

    • by Anonymous Coward

      まさにこれですね。

      ただ、ここまでのリテラシを公教育に頼ることはできないので、社会人になってからの学習機会が重要になる気がします。

    • by Anonymous Coward

      そもそも、皆分かって使っている=記者の取り越し苦労という可能性はないのかな。

    • by Anonymous Coward

      メールを送ったら、受け取った人が怪しげな翻訳サイトを使って翻訳。その結果が流出。
      メール送った時点で流出としていいのかもしれないね。

    • by Anonymous Coward

      そりゃいかん
      御社はすぐに全てのネット回線を解約する義務がある
      取引相手とメールで連絡しあうなどもってのほかだ

  • by Anonymous Coward on 2015年02月22日 15時23分 (#2765659)

    Web上のサービスをみんな信頼しすぎだと思う。

    ・翻訳
    ・セキュリティ診断
    ・HTML/XML/JSON解析
    ・パスワード生成

    ↑俺とかもこの辺のサービス使うけど、こいつらが内容を保存して、悪用しようと思ってないという保証なんてどこにもない、ってことは念頭においてるよ。
    テストデータならともかく、ガチなユーザーデータとか入れたらアカン。
    Google翻訳とか、大手のものならまだまさか悪用してないだろうとか言えるけど、個人サイトなんて全く信用できんよ。

    # メール機能チェックしてる人に「test.com にメール送るな!それは第三者が持ってる実在のアドレスだ!」って注意した覚えもある。

    • Excel を使っていると誤爆しやすいショートカットでセルの値でオンラインヘルプを検索しに行くのにオイオイって思ったのでオンライン検索も追加で。
      どこの誰にセルにに入力された値で検索する需要がるのか全く想像ができない。

      親コメント
    • by jizou (5538) on 2015年02月22日 15時27分 (#2765661) 日記

      Google翻訳なんて、JavaScriptで、入力した先からどんどん文字を送信してしまいますからねぇ。
      機密のメールをペーストした時点でアウトです。
      最終的に何に使われているかなんて、だれもわかりません。

      その点、翻訳ボタンを押すまで送信しないページは、まだ良心的なほう。(^_^;
      ペーストしてから、固有名詞を消すだけの余裕をもわえますから。

      親コメント
      • by Anonymous Coward

        この機能のせいか、フォームへの入力が突然滅茶苦茶遅くなることがありませんか?スクリプトは切っていても起きるのが不思議なんですけど。

      • by Anonymous Coward

        今回の騒ぎのためか、「翻訳」ボタンが付けられたり
        「リアルタイム翻訳を無効にする」というリンクが設置されていますね。

    • ここに書き込んだ時点で、流出?
      ACでも素性が流出してる、という事?

      親コメント
      • by Anonymous Coward

        /.Jに例えるなら、「会社の機密情報とかをプレビューしただけ」でも流出している可能性があるってことですよ。
        掲示板への書き込みじゃないから大丈夫…とか思ってると、実は悪意のある人が運用してるサービスで、入力されたデータを片っ端から保存して、裏で何か金になるものがないか調べてる可能性だってあるということ。

        例えば、

        セキュリティ診断なら 「問題ありませんでした、と表示して脆弱なサイトとしてリストアップ」
        HTML解析とかなら 「未公開や開発中の機密データを保存」、
        パスワード生成サービスなら 「パスワードを生成すると同時に攻撃用のパスワード辞書に登録」

        その気になれば、いろいろと悪用のしようはあります。

      • by Anonymous Coward
        コピー機使ったら危険(メモリに残るから)以上の危険さはあるんじゃないかな。http だし。

        ACでもログインしてれば内部的に誰なのかは区別されてるよ。
    • by Anonymous Coward

      パスワードジェネレータを使うときは
      ・オフラインモードにする(オフラインで使えないのはあまりにも論外)
      ・パスワードを生成する
      ・生成したパスワードをローカルにコピーする
      ・ページを閉じる
      ・オフラインモードを解除する
      くらいのことはやってる。
      # それよりローカルにコピーしてソースを読んでから使ったほうがいいけど

  • by Anonymous Coward on 2015年02月22日 15時35分 (#2765662)

    サイト上にクレジットなどは表示されていないが、処理としては入力内容をBing翻訳およびGoogle翻訳、Baidu翻訳に送り、
    結果を表示しているだけのようだ。Webページ翻訳ではそのままMicrosoft Translatorに飛ばされる。

    ってことは、

    ☑ Involved in the translation results improvement plan(Save the results to a server)

    ってのも嘘っぱちってことやね。

    広告で稼いでいるようにも見えないし、機密情報を盗み見る目的としては効率がわるすぎるだろうし、
    他人のプライベートな話を除き見てほくそ笑む趣味の人が作ったのだろうか。

    • by Anonymous Coward

      ってことは、

      ☑ Involved in the translation results improvement plan(Save the results to a server)

      ってのも嘘っぱちってことやね。

      その嘘っぱちを真に受けて、入力しちゃった奴はフリーソフトのアドウェアの導入のチェックを外さずにインストールするバカと同レベル、報道は誤報とセンセーショナルに騒いでいる人がいました。
      http://blog.livedoor.jp/blackwingcat/archives/1892895.html [livedoor.jp]

      皆さんどう思われますか?

  • by Anonymous Coward on 2015年02月22日 15時39分 (#2765664)

    「6. ‘호르몬전쟁'의 M/V를 youtube IBIGHIT와 1theK에서 본 후 뮤직비디오에 ‘좋아요’ 클릭 후 본인 닉네임이 보이게 캡쳐 또는 사진을 찍어서 인증샷
    *공식 youtube IBIGHIT와 1theK만 인정」

    「I Love Translation」での日本語訳
    「6. ' ホルモン ' 戦争の M ・ V 1theK と IBIGHIT を youtube で見た後、ミュージックビデオに ' 良い ' のクリック後に自分のニックネームが見えるように撮影、または写真を撮って認証ショット
    * 公式 youtube IBIGHIT と1theK だけを認める」

    「6.「ホルモン戦争」のM / Vのyoutube IBIGHITと1theKで見た後、ミュージックビデオに「いいね」をクリックした後、本人ニックネームが見えるようにキャプチャや写真を撮って認証ショット*公式youtube IBIGHITと1theKのみ認められ」

    「6。「ホルモン戦争」のM / VをIBIGHIT youtubeと1theK MVの中から「好き」というニックネームをクリックした後、私に見える捕獲や写真写真^^*公式IBIGHIT youtubeと認め1theK」

  • by Anonymous Coward on 2015年02月22日 18時09分 (#2765722)

    この翻訳サイトって、今回はじめて聞いたんですが・・・・

    GとかY!は信じられないって方が使っていたのでしょうか?

  • by Anonymous Coward on 2015年02月22日 18時16分 (#2765729)

    数年前に「翻訳サイトを使うなとは言わないけど、情報漏えいに注意し、文章全体を翻訳するようなアホなマネはするな」とのお達しが出ましたとさ。

    • by Anonymous Coward

      社内にWEB翻訳システムと、電子辞書を導入すればいいのにと思いますよね。

      ×「翻訳サイトを使うときは注意しろ」
      ○「翻訳サイトは社内のXXXを使うこと」

      • by Anonymous Coward

        そうなんだけど、社内Webに翻訳システムがあるのに、周知されてないんだよね!

        • by Anonymous Coward

          がんばって周知したりはしてるんだけど、できがwふんがふっふ

  • by Anonymous Coward on 2015年02月22日 18時40分 (#2765746)
    暗号化されていない電子メールで送信したテキストなら情報漏洩にはならないかも。
    暗号化したメールで、かつ、秘密保守契約を結んでいたなら、メール全文をクラウドに送信した時点で契約違反だな。
    • by Anonymous Coward

      なんでもクラウドって言っちゃうヤツ

    • by Anonymous Coward

      暗号化されていないメールでも、日本企業のプロバイダ間なら中身を見たりしないように国内法で
      きっと規制されてるだろ?

      ところがGoogleなどの海外企業。とくに本社がどこにあるのかさっぱり聞いたこともないような企業を間に挟むことになる時点で
      意図的な漏えいとになすことができるだろうに

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...