人気音声アプリ「クラブハウス」中国当局がデータ利用する恐れ=スタンフォード大学研究

2021/02/16
更新: 2021/02/16

米スタンフォード大学の研究機関「スタンフォード・インターネット・オブザバートリー(SIO)」は12日、日本でも人気急上昇中の招待制音声アプリ「クラブハウス(Clubhouse)」に関する報告書を発表した。報告によれば、このアプリの仕組みは中国国内企業が作成しており、利用者の音声データは中国政府に利用される恐れがある。

話題の音声アプリに潜む危険性

 

スタンフォード大学の研究機関SIOの報告書によれば、クラブハウス利用者のID等は暗号化されておらず、音声技術を提供する企業が音声データを中国本土経由で送信していることが明らかになった。SIOの研究者は、これまでの中国共産党政権によるソーシャルプラットフォームに対する対応を考えれば、「クラブハウス」での発言に基づいて、利用者を罰するかもしれないと推測している。

台北大学犯罪学科助教授の沈伯洋氏はラジオ・フリー・アジアの取材に対し、クラブハウスがソフトウェアに修正を加えなければ、音声データが中国当局に渡る恐れがあると述べた。アップデートされるまで、使用を控えることを勧めている。

中国の検閲監視を可視化する情報サイト「Greatfire.org」によれば、クラブハウスのAPIは8日午後から停止されている。中国当局が通信を遮断したとみられる。

クラブハウスは「検閲はなし、音声は録音・保存・公開禁止」と銘打たれており、自由な言論を楽しめる音声交流プラットフォームと考えられていた。英BBCなどによると、中国や海外のユーザーが数千人規模で集まって新疆やチベット問題、香港の民主化、台湾など、当局がタブーとみなす事案を話し合うことがあった。

中国本土系企業が技術を提供

クラブハウスのバックエンド・インフラを提供する企業は、中国・上海に本社を置くAgora(アゴラ)社だ。しかし「クラブハウスがアゴラの音声技術で動作することを、ユーザーは何も知らない可能性がある」とSIOの研究者は指摘している。

技術文書を分析したSIOの研究者によると、アゴラは「クラブハウス利用者の生の音声にアクセスできる可能性が高い」。そのうえ「アゴラによって傍受、複製、その他の方法で保存される」可能性もあると結論付けた。

アゴラは中国国内企業である以上、中国当局から要請があった場合、利用者データの提供など協力義務を課される。SIOの研究者は、「音声メッセージの内容が国家安全保障を脅かすものであると中国当局が判断した場合、アゴラは当局がデータを特定し保管するのを手伝わなければならないだろう」と述べている。

2017年6月、中国はサイバーセキュリティ法を施行した。中国で事業を行うネットワーク事業者とIT企業に対し、中国国内にデータを保存することを義務付けたほか、要請があった場合にはデータを中国当局に提出することを規定した。

アゴラが2020年に米国証券取引委員会に提出した報告書では、中国のサイバーセキュリティ法に基づいて中国当局に「情報収集の支援を提供する」必要があるとしている。

一方、アゴラの広報担当者はロイター社へ宛てた電子メールで、同社とクラブハウスとの関係についてコメントしないと書いた。

セキュリティ面の欠陥

アゴラを経由しなくても、中国当局はクラブハウスの音声データにアクセスできる可能性も示唆されている。SIOの研究者によると、クラブハウスのメタデータが、中国がホストだと考えられるサーバーに中継されているだけでなく、「中国の事業体が管理する世界中のサーバー」にも中継されている。「中国のサーバーを介して送信される暗号化されていないデータは、中国政府がアクセスできる可能性が高い」と報告書は指摘している。

また、報告書には、クラブハウスが中国当局によって禁止される前に、中国ユーザーの会話が「中国のサーバーを介して送信される可能性がある」ことを認めた同アプリ運営側からの声明も含まれていた。

研究者はさらに、クラブハウス利用者のID番号とチャットルーム番号が暗号化されていないプレーンテキストで送信されていることについて、ネットワークにアクセスさえすれば誰にでも見られると指摘した。

SIOの研究者は「インターネットトラフィックの観察者なら誰でも、共有チャットルームのIDを簡単に照合して、誰が誰と話しているかを確認できる。中国本土のユーザーにとって、これは厄介なことだ」とツイッターに投稿した。

アプリ運営側の対応

セキュリティの指摘を受けて、クラブハウスの運営者は、データ保護を強化するために変更を加えると表明した。「今後の72時間で、私たちは顧客のデータが中国のサーバーに送られないよう、暗号を追加する措置を行う。また、外部のデータセキュリティ企業と協力し、これらの変更を確認および検証する予定だ」と声明で述べた。

アゴラの広報担当者は、同社はユーザーの個人データにアクセスしたり保存することはせず、米国のユーザーを含む中国国外のユーザーの音声データは中国を経由することはないと説明した。

(文亮)