仏の顔も三度と言いますが百度(Baidu)は懲りずに何度でもやらかしていて豪快です

 山本一郎です。キリスト教徒ですが、仏の顔と言われるとなんとなくホンジャマカの石塚英彦を思い浮かべてしまいます。確かに三度小便をかけたくなる感じがします。

 ところで、中国最大手の検索サイトにして数々の不祥事でもその名を馳せる百度(Baidu)。何度やらかしても懲りずにまた新たなネタを提供してくれるあたり、その社名は伊達ではありません。ちなみにこれまでやらかした事件については以下などを参照してください。

また百度(baidu)が日本語入力ソフトの件でやってくれたようです(ヤフーニュース個人 山本一郎 13/12/26)

懲りない百度(Baidu)がまた日本語入力関連でやらかした件で(ヤフーニュース個人 山本一郎 14/4/25)

 こうして振り返ってみると毎年何か事件が起きているようで楽しいですね。で、今年はこれまで以上に大きな規模でやらかしたようです。

中国バイドゥのAndroid用SDKに外部操作可能なバックドア、約1億人に影響(ITpro 15/11/9)

 1億人という数はインパクトがあります。何か適当な数字のようにも感じられますが、話を聞いたところそれなりに根拠があるようなので文句は言わないようにします。しかも興味深いのは、今回発見されたセキュリティ上の問題が、いわゆるプログラム上のミスによる不具合ということではなく、明らかに開発者側がなんらかの意図をもって最初から外部操作を可能とするように仕組んだバックドアであると分析されている点です。

このバックドア動作の前提条件は、「端末をインターネットに接続する」だけだという。トレンドマイクロによれば、Moplus SDKを組み込んだアプリは約1万4000種類あり、うち約4000種類がバイドゥの公式アプリである。公式アプリの一つである「Baidu Map」起動時に、不正なバックグラウンドプログラムが動作し、外部からの操作でAndroid端末に任意の連絡先を追加できることを確認したという。

出典:ITpro

 問題のあるアプリの数も尋常ではありません。ここまでくるともはや言い逃れはできそうにないのですが、そこはBaiduも慣れたものでしてしれっと以下のようなコメントを出しておりました。

「Moplus SDKに関するすべての脆弱性に迅速に対応し、10月30日までに修正を完了した。Moplus SDKを利用しているすべてのサードパーティー開発者に対しても通知を行った」「我々はあくまで今回の問題を『脆弱性』だと認識しており、意図的に実装した『バックドア』ではない」

出典:ITpro

 修正を完了したからもう文句を言われる筋合いはないといったニュアンスがありありです。幾ら何でも中華すぎる話で、さすがにこういう態度はいかがなものかと思うのですが、まあBaiduに対して反省みたいなものを期待する方が間違いなのかもしれません。

 また、いくら修正版アプリが出たからといって、一旦出回った大量の問題あるアプリがすぐに市場から無くなるわけではありません。約1億人と推定されるユーザーについては、アプリをアップデートしなければずっとバックドアを悪用されてしまう可能性が残ります。さらに、確信的に修正前のMoplus SDKを使って悪意のあるアプリを新たに作成してアプリ市場に流通させようとするような輩が出てくることも警戒しなければなりません。

 今回の一件についてはITジャーナリストの本田雅一さんも論考記事を発表されておりまして、その中でGoogleに対して言及がありました。

中国バイドゥがAndroidにバラまいた猛毒 グーグルのエコシステム戦略は大丈夫か(東洋経済 15/11/9)

プラットフォーム・ホルダーとして、どのような対策を講じるのか。グーグルによるプラットフォーム運営の真価が問われる時が来ている。

出典:東洋経済

 こういう不正なアプリが出回ってしまう状況をGoogleはどうするのかということですね。これはAndroidが始まった当初からずっとついてまわってきた問題でもありますが、その都度に泥縄式の対応で済ませてきた感は拭えません。そろそろ抜本的な改善が施されてしかるべきタイミングではないかと強く感じるところです。しかし、ここでなかなかに微妙なのは、現状Googleは中国において事業を展開してないことでして、Baiduが中国国内だけで行儀の悪いことをしている分には手の出しようがない一方、そろそろ中国へ再進出したい気持ちが高まってきたとおぼしきGoogleとしては、これまで中国内のAndroid市場を野放しにしてきたツケをどう払うのかが気になります。「ビジネス上の合理的な判断」の結果、ユーザーの情報が危機に晒されたままにしておくのは、ビジネスの倫理を考える上でどこまで正しいのか、考えてしまいます。まあ、まずは中国系アプリメーカーが正規AndroidアプリストアのGoogle Playで真っ当な商売するようにコントロールするのが先なんでしょうが、それもかなりむつかしそうではありますね。

 ところで、今回の件ではBaidu日本法人からもアナウンスが出ておりました。

当社に関する一部報道につきまして(Simeji 15/11/9)

本日(2015年11月9日)、Baidu本社(中国)が開発したSDK「Moplus」に関する報道が一部でございましたが、当社(Baidu日本法人)が日本にてみなさまに提供している「Simeji」には本SDKは使用されておりません。

出典:Simeji

 そうですか。どんなアプリを使うかはまさに個人の責任に基づいた自由ですが、事情を知っていて、なお、いまだにSimejiを使っている人はなかなかの勇者だと思います。

 正直、この手の話を見るに米中冷戦ってこういうのがひとつの構造、一形態なんじゃないかと感じるんですが、どうなんですかね。