翻訳サイトに入力した内容が流出? 48
ストーリー by headless
送信 部門より
送信 部門より
insiderman 曰く、
共同通信が、「翻訳サイトに入力した内容が流出 省庁、銀行のメールも」と報じている。情報セキュリティー会社ラックへの取材で分かった、とされている。
問題となっているサイトについては明らかになっていないが、I Love Translationというサイトではないかという話が出ている。このサイトでは入力フォーム下に(目立たないが)「翻訳結果の改善計画に関与して(結果はサーバに保存され) 」というチェックボックスがあり、デフォルトでチェックが入っている。
The Huffington Postがラックに取材し、問題の無料翻訳サイトが「I Love Translation」であることを確認している。この件を受けて、IPAでは「クラウドサービスに入力した内容の意図しない情報漏えいに注意」とする注意喚起を行っている。
なお、サイト上にクレジットなどは表示されていないが、処理としては入力内容をBing翻訳およびGoogle翻訳、Baidu翻訳に送り、結果を表示しているだけのようだ。Webページ翻訳ではそのままMicrosoft Translatorに飛ばされる。
なんでみんな安心して使えるかな? (スコア:5, すばらしい洞察)
少なくともGoogle翻訳で翻訳したら、それは少なくとも、どこから(誰が)依頼し、その内容は何か、というログくらいはGoogle側に残っていると想定すべきだろう。たとえば某企業と想定されるIPアドレスからこれこれの翻訳が来ているが、ワードのカウントを取ると、どうやらhogehogeについて調べているようだ、くらいは想像が付く(かもしれない)。
少なくとも無料に見えるものは何らかの対価をどこかで払っていると見なした方がよいと思う。だから、企業なり政府なりは少なくともお金を払った上で、そういうことをしませんよ、というサービスを使うべきと思うんだがなあ。
Re: (スコア:0)
いつから金を払ったら裏切られないと錯覚していた?
自分でやるという選択肢がない時点で終わっていたのだ。
Re: (スコア:0)
金銭授受の有無ではコンセンサスの次元が違ってくる。
裏切らない保証が無いのはそれはそうだが、そこに疑っては如何なる約束も成立し得ない。
30年の信用を重ねたセキュリティ最高責任者が次は裏切るかもしれない等と考えていては何もできないよ。
Re: (スコア:0)
> 金銭授受の有無ではコンセンサスの次元が違ってくる。
> 裏切らない保証が無いのはそれはそうだが、そこに疑っては如何なる約束も成立し得ない。
> 30年の信用を重ねたセキュリティ最高責任者が次は裏切るかもしれない等と考えていては何もできないよ。
それも極論だし、トップが裏切って最大級の被害が出るなんてことも別に珍しくないよ。
Google叩きたいがゆえに現実無視に走るくらいなら、まず自分のアタマを疑ったら?
Re: (スコア:0)
Googleを叩いている人など誰も居まいに。
Re: (スコア:0)
> 金銭授受の有無ではコンセンサスの次元が違ってくる。
有料道路と無料道路で法律がかわる的な発想。
Re: (スコア:0)
Re: (スコア:0)
あなた会社から金をもらって仕事してるんじゃないの? 裏切って当然と思ってるの?
Re: (スコア:0)
タダでLenovoがPCをくれるならSuperfishくらい駆除してから使ったかも
Re: (スコア:0)
> 少なくとも無料に見えるものは何らかの対価をどこかで払っていると見なした方がよいと思う。
> だから、企業なり政府なりは少なくともお金を払った上で、そういうことをしませんよ、というサービスを使うべきと思うんだがなあ。
サービスを無料と有料で別けんなよww
無料サイトは対価として情報を売っているという情報もおもしろい。
#やってないとはいえないがリスクは大きいだろう。
Re: (スコア:0)
「当社からの漏えいはありません」と明記して無料サービスに丸投げする有料サイトを作れば喜んで安心料を払うんだろうな、元コメの人。
金を出せば不正は起こらないなんてどうして信じられるのか不思議でならん。
犯人は情シスかも? (スコア:5, すばらしい洞察)
代替手段を用意しないで上から使うなーとgooogleやらexciteやらを情シスがblockして、
末端がなんとか抜け道は無いだろうかとさまよったあげく釣り上げられたに一票。
Re:犯人は情シスかも? (スコア:1)
同意。
BaiduやGoogleじゃなきゃいいんだろ、とやっちゃう人は多いと思う。
自前でできないから外を頼る訳で。
Re: (スコア:0)
ありがち過ぎて・・・
記者は何か勘違いされてるようだ (スコア:4, 参考になる)
入力して送信した時点で機密情報流出は完了してるんですよ
Re:記者は何か勘違いされてるようだ (スコア:1)
新規開発案件にたずさわった時など、資料など見ての下調べ中に、
「このキーワードでググってもいいですかね?」と
確認したことはあまたある。
だってgoogleに知れちゃうし、下手すると
とんだ先にもばれちゃうからねぇ。
Re: (スコア:0)
そして役員会議まで上げられた挙句丸一日説教されることはどこの会社でもあること
Re: (スコア:0)
まさにこれですね。
ただ、ここまでのリテラシを公教育に頼ることはできないので、社会人になってからの学習機会が重要になる気がします。
Re: (スコア:0)
そもそも、皆分かって使っている=記者の取り越し苦労という可能性はないのかな。
Re: (スコア:0)
メールを送ったら、受け取った人が怪しげな翻訳サイトを使って翻訳。その結果が流出。
メール送った時点で流出としていいのかもしれないね。
Re: (スコア:0)
そりゃいかん
御社はすぐに全てのネット回線を解約する義務がある
取引相手とメールで連絡しあうなどもってのほかだ
Re:あなたは何か勘違いされてるようだ (スコア:1)
だから前者の時点で大問題なのに、後者しか問題にしてないのがおかしいって元コメ氏は言っているんでしょ。
翻訳サービスとか変換サービスとか (スコア:1)
Web上のサービスをみんな信頼しすぎだと思う。
・翻訳
・セキュリティ診断
・HTML/XML/JSON解析
・パスワード生成
↑俺とかもこの辺のサービス使うけど、こいつらが内容を保存して、悪用しようと思ってないという保証なんてどこにもない、ってことは念頭においてるよ。
テストデータならともかく、ガチなユーザーデータとか入れたらアカン。
Google翻訳とか、大手のものならまだまさか悪用してないだろうとか言えるけど、個人サイトなんて全く信用できんよ。
# メール機能チェックしてる人に「test.com にメール送るな!それは第三者が持ってる実在のアドレスだ!」って注意した覚えもある。
Re:翻訳サービスとか変換サービスとか (スコア:4, 興味深い)
Excel を使っていると誤爆しやすいショートカットでセルの値でオンラインヘルプを検索しに行くのにオイオイって思ったのでオンライン検索も追加で。
どこの誰にセルにに入力された値で検索する需要がるのか全く想像ができない。
Re:翻訳サービスとか変換サービスとか (スコア:3, 参考になる)
Google翻訳なんて、JavaScriptで、入力した先からどんどん文字を送信してしまいますからねぇ。
機密のメールをペーストした時点でアウトです。
最終的に何に使われているかなんて、だれもわかりません。
その点、翻訳ボタンを押すまで送信しないページは、まだ良心的なほう。(^_^;
ペーストしてから、固有名詞を消すだけの余裕をもわえますから。
Re: (スコア:0)
この機能のせいか、フォームへの入力が突然滅茶苦茶遅くなることがありませんか?スクリプトは切っていても起きるのが不思議なんですけど。
Re: (スコア:0)
今回の騒ぎのためか、「翻訳」ボタンが付けられたり
「リアルタイム翻訳を無効にする」というリンクが設置されていますね。
Re:翻訳サービスとか変換サービスとか (スコア:1)
ここに書き込んだ時点で、流出?
ACでも素性が流出してる、という事?
Re: (スコア:0)
/.Jに例えるなら、「会社の機密情報とかをプレビューしただけ」でも流出している可能性があるってことですよ。
掲示板への書き込みじゃないから大丈夫…とか思ってると、実は悪意のある人が運用してるサービスで、入力されたデータを片っ端から保存して、裏で何か金になるものがないか調べてる可能性だってあるということ。
例えば、
セキュリティ診断なら 「問題ありませんでした、と表示して脆弱なサイトとしてリストアップ」
HTML解析とかなら 「未公開や開発中の機密データを保存」、
パスワード生成サービスなら 「パスワードを生成すると同時に攻撃用のパスワード辞書に登録」
その気になれば、いろいろと悪用のしようはあります。
Re: (スコア:0)
ACでもログインしてれば内部的に誰なのかは区別されてるよ。
Re: (スコア:0)
パスワードジェネレータを使うときは
・オフラインモードにする(オフラインで使えないのはあまりにも論外)
・パスワードを生成する
・生成したパスワードをローカルにコピーする
・ページを閉じる
・オフラインモードを解除する
くらいのことはやってる。
# それよりローカルにコピーしてソースを読んでから使ったほうがいいけど
Re:翻訳サービスとか変換サービスとか (スコア:2)
そこまでして外部のパスワードジェネレータを使う意味がわからん。
Re: (スコア:0)
意図しない通信を防ぐと言う意味では
自前でビルドしてないローカルのネイティブコードよりは
オフラインモードで使うブラウザ上のコードの方が
信頼出来るんじゃないか?
Re:翻訳サービスとか変換サービスとか (スコア:2)
自前でビルドしたローカルのパスワードジェネレータを使えばいい。
Re: (スコア:0)
$ man pwgen
# っていう話では無くて?
Re: (スコア:0)
>生成したパスワードをローカルにコピーする
それを元に切り貼りしてから使用する。
abc123defg456
hijk789lmnop*-$
みたいなのがあれば、
ha69lminop*-$jk783dbc12efg45
を最終パスワード(候補)にするとか。
その翻訳サイトは何が目的なんだ (スコア:1)
サイト上にクレジットなどは表示されていないが、処理としては入力内容をBing翻訳およびGoogle翻訳、Baidu翻訳に送り、
結果を表示しているだけのようだ。Webページ翻訳ではそのままMicrosoft Translatorに飛ばされる。
ってことは、
☑ Involved in the translation results improvement plan(Save the results to a server)
ってのも嘘っぱちってことやね。
広告で稼いでいるようにも見えないし、機密情報を盗み見る目的としては効率がわるすぎるだろうし、
他人のプライベートな話を除き見てほくそ笑む趣味の人が作ったのだろうか。
Re: (スコア:0)
ってことは、
☑ Involved in the translation results improvement plan(Save the results to a server)
ってのも嘘っぱちってことやね。
その嘘っぱちを真に受けて、入力しちゃった奴はフリーソフトのアドウェアの導入のチェックを外さずにインストールするバカと同レベル、報道は誤報とセンセーショナルに騒いでいる人がいました。
http://blog.livedoor.jp/blackwingcat/archives/1892895.html [livedoor.jp]
皆さんどう思われますか?
ページの下の方にある広告 ? (スコア:0)
「6. ‘호르몬전쟁'의 M/V를 youtube IBIGHIT와 1theK에서 본 후 뮤직비디오에 ‘좋아요’ 클릭 후 본인 닉네임이 보이게 캡쳐 또는 사진을 찍어서 인증샷
*공식 youtube IBIGHIT와 1theK만 인정」
「I Love Translation」での日本語訳
「6. ' ホルモン ' 戦争の M ・ V 1theK と IBIGHIT を youtube で見た後、ミュージックビデオに ' 良い ' のクリック後に自分のニックネームが見えるように撮影、または写真を撮って認証ショット
* 公式 youtube IBIGHIT と1theK だけを認める」
「6.「ホルモン戦争」のM / Vのyoutube IBIGHITと1theKで見た後、ミュージックビデオに「いいね」をクリックした後、本人ニックネームが見えるようにキャプチャや写真を撮って認証ショット*公式youtube IBIGHITと1theKのみ認められ」
「6。「ホルモン戦争」のM / VをIBIGHIT youtubeと1theK MVの中から「好き」というニックネームをクリックした後、私に見える捕獲や写真写真^^*公式IBIGHIT youtubeと認め1theK」
そもそもこの翻訳サイトって (スコア:0)
この翻訳サイトって、今回はじめて聞いたんですが・・・・
GとかY!は信じられないって方が使っていたのでしょうか?
某大手メーカーでは (スコア:0)
数年前に「翻訳サイトを使うなとは言わないけど、情報漏えいに注意し、文章全体を翻訳するようなアホなマネはするな」とのお達しが出ましたとさ。
Re: (スコア:0)
社内にWEB翻訳システムと、電子辞書を導入すればいいのにと思いますよね。
×「翻訳サイトを使うときは注意しろ」
○「翻訳サイトは社内のXXXを使うこと」
Re: (スコア:0)
そうなんだけど、社内Webに翻訳システムがあるのに、周知されてないんだよね!
Re: (スコア:0)
がんばって周知したりはしてるんだけど、できがwふんがふっふ
メールは平文だったのか? (スコア:0)
暗号化したメールで、かつ、秘密保守契約を結んでいたなら、メール全文をクラウドに送信した時点で契約違反だな。
Re: (スコア:0)
なんでもクラウドって言っちゃうヤツ
Re: (スコア:0)
暗号化されていないメールでも、日本企業のプロバイダ間なら中身を見たりしないように国内法で
きっと規制されてるだろ?
ところがGoogleなどの海外企業。とくに本社がどこにあるのかさっぱり聞いたこともないような企業を間に挟むことになる時点で
意図的な漏えいとになすことができるだろうに