Clubhouseのデータは中国企業Agora社に送られている。スタンフォード大が警告

  • 208,025

Clubhouseのデータは中国企業Agora社に送られている。スタンフォード大が警告
アジアのクラハラ人気で中国Agora株は2倍に上昇

Clubhouseブームの追い風で中国Agora株が急上昇! 先月から2倍に跳ね上がっています。

そんななかスタンフォード・インターネット・オブザーバトリー(SIO)の最新調査で、Clubhouse(クラブハウス)入室中の各利用者のメタデータを含むパケットがエンド・トゥ・エンド暗号化もない平文でAgora社に送られていることがわかり、Clubhouse社が対応に追われています。

その前にAgora社って何?

Agoraは動画・音声・ライブインタラクティブ配信プラットフォームで、シリコンバレーのサンタクララと中国上海にオフィスを構えています。Clubhouseをはじめ世界中の企業にAPIを提供しているのですが、Clubhouseとの関係は一度も正式には公表されていません。

昨年6月に1株20ドルでNASDAQ上場を果たしたときのCEOインタビュー(動画上)でもClubhouseのクの字も出てこなくて、ちょっと不思議な感じ。Clubhouseのリリースとほぼ同時期のIPOなのにね。米政権の中国アプリ排除もあったし、あまり取引関係は明らかにしたくない感じです。

ClubhouseはAgoraのAPIで1週間で書かれた

でもまあ、ClubhouseのバックエンドがAgora社だという話は割と早い段階から知られていました。

Agora IPOの翌週にはTwitter上で「Clubhouseのソーシャル音声プラットフォームはどこが開発したんだろうね?」とだれかがつぶやいて、あるエンジェル投資家が「Agoraっていう会社で、先週上場したばかり。Clubhouseはこれをベースに1週間くらいで開発されたものだよ」と答えています

そのときの情報が、GameStop株を爆上がりさせたReddit投資フォーラムに出たのは先月25日のことです

「あまり知られていないことだけど、ClubhouseはAgoraのAPIを使って1週間で開発されたアプリらしいよ。だから銘柄コードもAPIなんだね。サブスクリプションではなく従量課金モデルなので利用時間が長くなればなるほど料金は上がる。もしこの情報が本当なら、Clubhouseの成長にこっちから賭けるのもいいかも」

これで、みんなそれゆけー!!!!と買いに走って、赤字経営どこ吹く風でAgora株が急伸中というわけです。

何が問題なの?

そんなわけで、Clubhouseが開発したのはUI的な部分であって、Clubhouseの音声プラットフォームを動かしているのは上海Agora社なんです。音声データのホスティングをしているのもAgora、インターネット配信をやっているのもAgora。

となると、気になるのはAgoraのサーバーの所在地ですけど、これは米中両国にまたがっていますので、仮にClubhouseの音声データが中国側のサーバを経由する場合、中国政府から捜査や治安目的で会話のデータの引き渡しを求められたら応じなければならないという、やっかいな法的義務が生じます(このことはAgoraが米国証券取引委員会(SEC)に提出したIPOのF1目論見書にも明記されている)。

中国国内では外資系も含めて当然の義務だけど、Clubhouseは「リアルタイムで世界中の人とおしゃべりができる。音声は録音・保存・公開禁止だから気兼ねなく話せる」ことで中国で爆発的に広まりました。今月中国国内で利用禁止になる直前まで、天安門、 新疆ウイグル自治区、香港問題で大盛況だったので、言いたい放題したデータが逮捕に使われたら目も当てられませんよね。

そこで心配になってスタンフォード大がネットワーク解析ツールのWiresharkなどを使って調べてみたら、データは案の定Agora経由で処理されていることが判明。ユーザー固有IDとルームIDのメタデータが暗号化もない平文で送られている実態までわかってしまったのでした。

20210215stanford_on_clubhouse_security
ルームとユーザーのIDが平文で送信されている
Stanford Univ.

つまりどういうことかというと、「ユーザーのネットワークにアクセスできる第三者」は簡単に送信内容にアクセスできて、「同じチャンネルに入っているかどうかを見れば、ユーザー同士がしゃべっているかどうかもわかる」ほか、発言主のIDとプロフィールの照合も可能。ぜんぜん「ここだけの話」じゃないってことですね。

ほかにもいろんなセキュリティの脆弱性が見つかったけど、そっちはもっと危険なので「Clubhouse社に直接連絡した。解決されるか修正期限になり次第、公表する」と同大は話しています。

音声は保存されない...んでしょ?

「中国政府が国家の安全を脅かすと判断した場合、Agoraは問題の音声の特定と保存をサポートしなければならない」とレポートにはあります。サーバーが米国内なら中国政府からの請求に応じる必要はありません。

ClubhouseもAgoraも「脅迫や虚言などの通報があったとき証拠資料は要るので音声は一時保存するけど、セッション終了時に削除している」と説明しているので「ないものは出せない」と突っぱねることもできそうだけど、なにしろ平文だと…別に法的手段に頼らなくても、直接アクセスして録音しようと思えば、理論上はできてしまいますからね…。

Clubhouseは72時間以内にセキュリティ強化を約束

Clubhouseは同大の協力を得ながら、暗号化を強化し、中国国内のサーバーに情報が送られないよう対策を進めることを明らかにしました。AgoraとClubhouseには米Gizmodo編集部からもコメントをリクエスト中ですので、 お返事があり次第アプデします。

Sources: Stanford Univ

    あわせて読みたい