日本語入力ソフトからの情報不正送信で2013年末に揺れたバイドゥ(百度)が、再び批判にさらされている。他社が運営する非公開の顔文字辞典サーバーに、2時間に30万回を超える大量アクセスを実施したうえ、そのアクセスの際に、日本語入力ソフトでユーザーが入力した文字列を検索語として流用した疑いが出てきたからである。当事者から事件の経緯やデータ流用の有無などについて聞いた。
事件は2014年4月10日の夜に発生した。スマートフォンやWebブラウザー向けに「みんなの顔文字辞典」というサービスを提供するアイ・オーの非公開サーバーに、不審なIPアドレス群から約40万回の大量アクセスがあったのである。「ログを確認するとアクセス開始は19時台。20時過ぎから30分間ほどアクセス数が急増し、その後30分程度の休止期間を経て、21時過ぎに再度30分間ほど大量アクセスがあった。20時から22時までの2時間のアクセス数は30万回を超えていた」(アイ・オー代表取締役 石本光明氏)。
サーバー負荷急増を伝えるアラートメールが届いたことと、実際にサービスが利用しづらくなったことで大量アクセスに気付いた石本氏は、直ちに該当アクセス元からのサービス利用を禁止した。しかし、その時点までに約21万の顔文字データが引き出されていた。石本氏は、IPアドレスやドメイン名の登録者を調べられる「whois」サービスによって、アクセス元IPアドレス群がバイドゥ日本法人のものであることを突き止めた。
サービスを「狙い撃ち」したアクセスだった
さらにアクセスログを解析した石本氏は、これが通常のクローラ(Webを巡回してデータを収集するプログラム)によるデータ収集ではないことを確信する。アクセスされたサービスのURLは一般には非公開だったうえ、サービス用に独自設計したAPI(Application Programming Interface)に合わせた形でアクセスされていたからだ。
バイドゥが公開している通常のクローラのIPアドレスやソフトウエア名とも異なっていた。「当社が提供する“みんなの顔文字辞典”は、Android/iOS向けのスマートフォンアプリ版とChromeブラウザーの拡張機能版の2種類がある。アクセス先URLなどから、バイドゥは拡張機能版の内容を解析して専用のボット(自動アクセスプログラム)を作成し、それを使ってアクセスしたものと考えられる」(石本氏)。
