現在日本のみならず世界中で注目を浴びている新興SNSのClubhouse(クラブハウス)の話題が日々絶えない状況となっています。
Twitterではアメリカスタンフォード大学の最新調査でClubhouse(クラブハウス)のデータが中国企業のAgora社にデータが送られているという内容を公表しました。
スタンフォード・インターネット・オブザーバトリー(SIO)は、招待制の音声交流サイト(SNS)アプリケーション「Clubhouse(クラブハウス)」のインフラストラクチャに脆弱性があり、ユーザーが外部から音声データにアクセスできる可能性があると述べました。これに応えて、クラブハウスはデータを保護する方法を検討する方針を発表しました。
またClubhouse(クラブハウス)から流出しているデータはClubhouse(クラブハウス)の部屋の利用者のメタ情報(登録情報)などが暗号化されない生のデータとして送られているとの見解を示しました。
またAgoraのサーバーではユーザーの生の音声にアクセスする可能性があり、中国政府に音声情報を提供することもあり得るとSIOは分析しました
この事実はClubhouse(クラブハウス)の利用者にとって何が問題なのでしょうか?
- Clubhouse(クラブハウス)のデータが中国に流出しているという危険性が報じられた
- Clubhouse(クラブハウス)の危険性 Agora社とは?
- Clubhouse(クラブハウス)の危険性 Agora社のapiを使用している
- Clubhouse(クラブハウス)の危険性 Agora社株は爆上がり
- Clubhouse(クラブハウス)の危険性 今回の件で何が問題なのか?
- Clubhouse(クラブハウス)情報流出の危険性 音声は保存されないというが・・・
- Clubhouse(クラブハウス)情報流出の危険性 72時間以内にセキュリティ強化を約束
- Clubhouse(クラブハウス)情報流出の危険性 Twitterでも「もともとごり押しで怪しいと思っていた」という声も
Clubhouse(クラブハウス)のデータが中国に流出しているという危険性が報じられた
この騒動からClubhouse(クラブハウス)についてわかったことがいくつかあります。
Clubhouse(クラブハウス)が開発に関わっている部分はUI的な部分(画面の部分)でありClubhouse(クラブハウス)の実際の機能を動かしているのは上海Agora社という事です。
部屋の中の音声データを配信しているのも取得しているのもAgora社でインターネットで配信しているのももちろんAgora社です。
Clubhouse(クラブハウス)の危険性 Agora社とは?
Agora社は、ビデオ、オーディオ、およびリアルタイムのインタラクティブな配信プラットフォームであり、シリコンバレーのサンタクララと中国の上海にオフィスがあります。
Clubhouse(クラブハウス)を含むグローバル企業にAPIを提供していますが、Clubhouseとの関係が正式に発表されたことはありません。
昨年6月にNASDAQに1株20ドルで上場したCEOインタビュー(動画)でも、Clubhouseの文字が出てこなかったのはちょっと変な感じがします。
これは、Clubhouse(クラブハウス)のリリースと同時に行われるIPOなのにです。
米国政府は中国の申請を除外しているのが関係しているのでしょうか?
Clubhouse(クラブハウス)の危険性 Agora社のapiを使用している
比較的早い段階から、Clubhouse(クラブハウス)のバックエンドはAgora社であることが知られています。 Agora社の新規株式公開から1週間後、誰かがツイートしました。
「Clubhouse(クラブハウス)のソーシャルボイスプラットフォームはどこから来たのですか?」投資家は、「Agoraっていう会社で、先週上場したばかり。Clubhouse(クラブハウス)はこれをベースに1週間くらいで開発されたものだよ」と答えています。
Clubhouse(クラブハウス)の危険性 Agora社株は爆上がり
ClubhouseはAgoraのAPIを使って1週間で開発されたアプリらしいよ。という情報からAgoraの株を買いまくっているという状況のようです。Agoraは他のクラウドサービスと同じように従量課金のシステムを取っているのでClubhouseをみんなが使えば使うほどAgora社は潤うようです。AgoraはAmazonのAWSと同じようにクラウドサービスを提供しているのかAWSなどのクラウドサービスを使ってインフラを構築しているのかわかりませんが、この先もユーザーが増えればAgoraは成功するという事です。
投資家は、アプリを動かした可能性のあるAgoraや、ソーシャルメディアアプリに接続されていないが同様の名前を持つClubhouse Media Groupの株式を購入することで、Clubhouseの人気を高めている可能性があります。
https://www.cnbc.com/2021/02/01/agora-shares-soar-as-investors-try-to-jump-on-clubhouse-apps-growth.html
招待制のオーディオソーシャルメディアアプリClubhouseは、2020年の発売以来爆発的に拡大しており、個人投資家は注目しています。
投資家は、アプリのライブストリーミングオーディオ機能を強化した可能性のあるAgoraや、ソーシャルメディアアプリに接続されていないが同様の名前を持つClubhouse Media Groupの株式を購入することで、非公開アプリの人気を高めている可能性があります。アゴラの株価は月曜日に44%以上急上昇し、1株あたり81.48ドルという史上最高値を記録しました。Clubhouse Mediaは、116%以上急上昇し、1枚あたり17.99ドルの高値を記録しました。
今、人々はクラブハウスの成長を収益化することを望んでいます。
「それは広く[知られている]わけではありませんが、アプリは1週間でAgoraのアプリケーションプログラムインターフェース(api)上に構築されたと報告されています。ティッカーもAPIです。Agoraにはサブスクリプションではなく使用量ベースのモデルがあるため、分が増えるにつれて、より多くのお金を稼ぐことができます。レポートが真実である場合、Clubhouseの成長を再生するためのレーダーの下の方法のようです」とユーザーは先週RedditのWallStreetBetsフォーラムに投稿しました。これは最近のGameStopマニアの背後にあります。
同時に、ClubhouseMediaは急上昇しています。午後の取引では、年初来の株価は約400%上昇しています。投資家がソーシャルメディア会社だと思って株式に注いでいるのか、それとも他の人がソーシャルメディアアプリだと信じて株式を購入しているのかは不明です。
Clubhouse(クラブハウス)の危険性 今回の件で何が問題なのか?
Clubhouse(クラブハウス)がUI部分を開発し、Agora社がClubhouse(クラブハウス)の音声プラットフォームを実行しているという事がわかったと思います。
Agoraは音声データをホストし、Agoraはそれをインターネットに配信します。 ここで気になるのは、Agoraサーバーの場所です。
Agoraサーバーは米国と中国に分散しているため、Clubhouse(クラブハウス)の音声データが中国のサーバーを通過する場合、中国政府はセキュリティの目的を調査して確認します。
Clubhouse(クラブハウス)の音声データが中国のサーバーを経由した場合は会話データは中国政府に引き渡す必要があり、面倒な法的義務があります。
Agoraが米国証券取引委員会(SEC)に提出したIPOのF1目論見書にも明記されている
中国政府が、VIEに関連する契約上の取り決めが、関連業界への外国投資に関する中国の規制に準拠していないと判断した場合、またはこれらの規制または既存の規制の解釈が将来変更された場合、当社は深刻な事態にさらされる可能性があります。罰則を科すか、これらの事業に対する当社の利益を放棄することを余儀なくされます。
https://www.sec.gov/Archives/edgar/data/1802883/000162828020009726/agoraf-1a2.htm
中国政府の政治的、法的、規制的および経済的政策の複雑さおよび変化は、当社の事業、経営成績および財政状態に悪影響を及ぼし、当社の成長および拡大戦略を維持できなくなる可能性があります。
これは外国の関連会社を含む中国では当然の義務ですが、「世界中の人々とリアルタイムでチャットでる。録音が禁止されているため、ためらうことなく話すことができる」ということでClubhouse(クラブハウス)は中国で大爆発を起こしましたが、今月中国で禁止されるまで、天安門事件、ウイグル自治区、香港問題などの話題が盛り上がっていたようで中国当局の監視下に置かれているという情報があることから、これらの音声データが逮捕に使われる可能性も懸念されています。
オンライン会議ツールのzoomでも中国のサーバーを経由しているという話が話題となりましたがzoomでも天安門事件について話していたroomは強制的に終了されたという話もありこれからのインターネット上の会話は中国に検閲される流れが常識なのかもしれません。
スタンフォード大学がこれを懸念し、Wiresharkなどのネットワーク分析ツールを使用してチェックしたところ、データは期待どおりにAgoraを介して処理されたことが判明しました。
Wiresharkは難しいツールではなくググれば誰でも使える
Wiresharkは我々エンジニアかられすれば特別なツールでもなんでもなく複雑な操作や特別な知識が無くてもインターネット上に流れているデータをのぞき見することができます。
このWiresharkは開発者が期待された通り、想定通りのデータが流れているか検証に使ったりするのですが、悪い使い方ももちろんできてしまいます。またインターネット上で使い方は山ほど出てきますのでググれば誰でも使えます。
例えばどのようなドメインに通信しているのか、通信先のサーバーのIPアドレスはどこなのかなど素人でも簡単に取得できますし、今回のように暗号化されていないデータが通信に乗ってきた場合はそのままキャッチすることができます。
今回スタンフォード大学が検証して問題と公表したのは、Wiresharkなどのパケットキャプチャツールを使ったらデータが暗号化されずそのまま取得できてしまったという事になります。
ユーザー固有のIDや部屋IDなどのメタデータ(情報)が暗号化なしでプレーンテキストで送信されることもこれらのツールによって判明しました。
これによりClubhouse(クラブハウス)のユーザーが通信に流れてきた場合は第三者に傍受されることが可能であるという事です。
※懸念点として考えられるのは例として挙げるのであればClubhouse(クラブハウス)の部屋に入っている悪意を持った誰かがパケットを監視していた場合、入ってきたメンバーの個人情報などを横取りすることができるということは考えられます。
スタンフォード大学が発表している「ネットトラフィックの監視者はいずれも共有チャットルームで誰が誰に話しているか知るため、IDを簡単に照合できるだろう。これは中国本土の利用者の不安を誘う」と指摘。
という内容はこれに当てはまると思います。
SIOの報告によると、中国の事業体が管理するサーバーに音声が伝えられ、世界中に拡散される状況もあるという認識です。
またAgoraのサーバーではユーザーの生の音声にアクセスする可能性があり、中国政府に音声情報を提供することもあり得るとSIOは分析しています。
つまり、「ユーザーのネットワークにアクセスできる第三者」は、送信したコンテンツに簡単にアクセスでき、「ユーザーが互いに話し合っているかどうかを判断できます」。
これは中国当局も例外ではありません。
クラブハウスユーザーのIDと個人情報を照会することも容易くもし会話内容がサーバー上で保管されていた場合は誰がどのような発言をしたのかがまるわかりとなります。
この内容が監査されている組織にとって問題発言となった場合にはどうなるのでしょうか?
Clubhouse(クラブハウス)では「Clubhouse(クラブハウス)内でのみ内容は公開」と言っていますがこれは建前でしょう。
スタンフォード大学は、Clubhouse(クラブハウス)には他にもさまざまなセキュリティの脆弱性が発見されたと述べていますが、より危険であるため、「Clubhouse(クラブハウス)に直接連絡します。解決または一定の期限内に、すぐに発表します」と話しているようです。
Clubhouse(クラブハウス)情報流出の危険性 音声は保存されないというが・・・
「中国政府が国家の安全を脅かすと判断した場合、Agoraは問題の音声の特定と保存をサポートしなければならない」とレポートにはあり、サーバーが米国内なら中国政府からの請求に応じる必要はないようです。
Clubhouse(クラブハウス)とAgoraは、「脅迫や嘘の報告がある場合は証拠資料が必要なので、一時的に音声を保存しますが、会議の最後に削除します」と説明しています。ただ今回発覚したように暗号化がされていない生のデータでツールを使えば、法的手段に頼らずに直接アクセスして記録しようとすることは可能でしょう。
Clubhouse(クラブハウス)情報流出の危険性 72時間以内にセキュリティ強化を約束
Clubhouse(クラブハウス)は、スタンフォード大学と協力して、暗号化を強化し、中国のサーバーに情報が送信されないようにする対策を講じると発表しました。
コメント 記事に関するご意見・ご感想・ご質問などお気軽にどうぞ!※メールアドレスは非公開です