いま、「Clubhouse(クラブハウス)」をはじめとする音声SNSの利用が急拡大しています。実はこれらのアプリもセキュリティリスクが潜んでいる可能性があります。これらのアプリはそれ自体が本質的に悪意のあるものではなく、サイバー犯罪者がこれらのプラットフォームを侵害し悪用することで脅威に発展することに留意する必要があります。今回は音声SNSの解説と、潜むセキュリティリスクの検証を行っていきたいと思います。
音声SNSの種類と広まった背景
音声SNSは2020年前半、新型コロナウイルスのパンデミック(世界的大流行)が流行し、多くの人が隔離生活を送るなか広まり始めました。ロックダウンによってリアルの交流が断たれる中、それまで何カ月も会えていなかった多くの友人や仲間たちの声がSNSで聞くことができ、まるで家に遊びにきたような気分になることもあり、自粛生活に退屈し始めていた人の中で流行したと言われています。音声SNSは、ソーシャルディスタンスの確保と外出の自粛が新しい生活様式となった今の時代に、人々が互いにつながりたいと願う気持ちが形になった最新のSNSともいえます。
音声SNSはにわかにユーザ数を伸ばしている「Clubhouse」以外にも、「Riffr」、「Listen」、「Audlist」、「HearMeOut」、「Wavve」、「Spoon」など、まるで新しいファイル形式のような名前の“音声ファースト”なスタートアップが登場しています。15年にリリースされたチャットツール「Discord」は現在1億人のユーザがおり、20年にはゲーマーのための音声プラットフォームから“みんな”の音声プラットフォームへと方向転換しています。ツイッターからも「Audio Spaces」が開発中と発表され、プラットフォームも実に様々です。
Clubhouse(クラブハウス)の特徴
Clubhouseは、Paul Davison氏とRohan Seth氏が立ち上げた音声ベースのソーシャルプラットフォームです。まだベータ版の段階で、限定的に公開されています。「room(ルーム)」に入って(あるいは、roomを作成して)、あるトピックの話を聞いたり、それに参加したりできます。Clubhouseは、有名人が参加していることでも注目を集めています。
日本でユーザが目に見えて広がり始めたのは今年1月下旬のことです。今のところiOSのみに対応したβ版で日本語化もされていません。Android版はリリース予定さえ不明ですが、アーリーアダプターとして多くのインフルエンサーが利用し、わずか数週間でその熱狂ぶりがテレビのワイドショーでも取り上げられるまでになっています。Clubhouseには次のような特徴があります。
1.完全招待制
参加者は実名でかつ、他の参加者から招待される必要があります。誰に招待されたかはプロフィールに明記され、それをさかのぼればClubhouseにおけるルーツをたどることもできます。つまりClubhouseでは参加者全員が、何らかのつながりを持っていることになります。
2.全ライブ配信
Clubhouseによる音声でのやりとりはその場限りで、会話に参加しているスピーカー全員の明示的かつ書面での同意がない限り、その内容は、録音はおろか、メモとして記録することも禁止されています。また「オフレコ」として話したことは、たとえClubhouse内でも共有してはいけないルールになっています。
3.大勢でも話しやすい
ビデオ会議アプリなどではタイムラグがあるため、どうしても交互に話すような形になりますが、Clubhouseでは普段の会話に近いテンポで話すことが可能です。1つのRoomに2000人以上が参加することもあり、遅延なく会話ができることが魅力のひとつとなっています。
音声SNSアプリのセキュリティリスク
「クラブハウス」の会話流出、セキュリティ上の懸念強まる - 2021年2月22日
招待制の音声交流サイト(SNS)アプリ「クラブハウス」はユーザ情報がハッカーなどに盗まれないよう措置を講じていると説明して1週間後に、少なくとも1件の攻撃を受けた。音声データの抜き取りがあり得ることが示された形だ。
クラブハウスの広報担当者リーマ・バーナシー氏は、身元不明のユーザ1人がこの週末にクラブハウスの音声フィードを「複数のルーム」から第三者のウェブサイトに流すことができたと説明した。同社はこのユーザによる利用を「恒久的に禁止」し、再発防止に向け新たな「安全対策」を導入したとしているが、クラブハウスはそうした約束ができる立場にはないと研究者らが指摘する。
ユーザは全ての会話が録音されていると想定すべきだと、スタンフォード・インターネット・オブザーバトリー(SIO)が21日遅くに警告。フェイスブックで以前、セキュリティ責任者を務めたSIOのディレクター、アレックス・ステイモス氏は「クラブハウスは世界中で行われる会話のプライバシーについて何も約束できない」と述べた。SIOはクラブハウスについてのセキュリティ上の懸念を13日に指摘していた。
ステイモス氏のチームはクラブハウスが後方業務の運営で上海に本社を置くスタートアップ企業アゴラに頼っていることも確認した。新しい友人の追加やルームの検索といったユーザの操作の部分はクラブハウスが担っているが、データトラフィックなどの処理はアゴラに依存しているという。
こうした状況はプライバシーに関する幅広い懸念を呼ぶものであり、会話が国家の監視下にないと考えている中国の市民や反体制派にとっては特にそうだとステイモス氏は指摘した。
引用:https://www.bloomberg.co.jp/news/articles/2021-02-22/QOWR70DWX2PV01
海外大手メディアBloombergは現地時間2月22日、人気音声SNSの「Clubhouse」において、データ流出が確認されたと報じました。Bloombergによると、あるユーザが先週末に、Clubhouseの複数の「ルーム」から音声データを抜き出し、別のWebサイトで音声を配信したことが判明しています。Clubhouseの広報担当者は、Bloombergに対してデータ流出が発生したことを認め、流出させたユーザのアカウントを永久停止し、既に追加のセキュリティ対策を講じたと説明しています。
英大手メディアBBCは、セキュリティ対策の専門家へのインタビューを行い「音声データを流出させたユーザの行為は、悪意ある攻撃や意図的なハッキングではなかったと思われる」との意見を紹介しています。Clubhouseのセキュリティに一部欠陥があり、事件を起こしたユーザは、欠陥を抜け道として利用し、別のWebサイトへ音声データを転載した可能性があります。
右派に人気のSNS「Gab」にサイバー攻撃、約5300万円の身代金要求 - 2021年03月02日
右派ユーザに人気のソーシャルネットワークサービス「Gab」がハッキングされ、パスワードや非公開メッセージなど、大量のデータが盗まれた。同社は50万ドル(約5300万円)弱相当のビットコインを身代金として支払うよう要求されたという。
ハッキングされたデータは「GabLeaks」と呼ばれ、透明性を求める集団「Distributed Denial of Secrets(DDoSecrets)」によって共有された。DDoSecretsによると、70GBに上るこのデータには、公開投稿や非公開投稿、ユーザープロフィール、ハッシュ化されたパスワード、ダイレクトメッセージ、暗号化されていないグループ用パスワードなどが含まれるという。ただしプライバシーへの懸念から、データセットを提供する相手はジャーナリストや研究者に限られるとしている。
トレンドマイクロでもクラブハウスを始めとする音声SNSアプリに潜むセキュリティリスクについて、次のような懸念が出されています。
- ネットワークトラフィックの傍受と盗聴、
- ユーザへのなりすまし行為とディープフェイクによる音声合成
- 音声が録音される危険性
- 嫌がらせと脅迫メール
- アンダーグラウンドで提供されるボットサービス
- 秘密裏に情報の送受信が行われるチャネル
Clubhouse運営側は今後上記に関連する攻撃を阻止するために適切な暗号化技術を実装させると回答していますが、具体的なセキュリティ対策については今後追ってという形になるでしょう。
現時点で運営側のセキュリティ対策が追いついていない中、被害にあわないためには自分自身がセキュリティ意識を高める他ありません。
- パブリックルームに参加する際は公共の場で情報共有するときの心持ちを忘れない
- 参加者のアカウント名だけで本人と信じない
- 必要なアクセス要求のみ許可し、必要なデータだけを共有する
- 認証情報やAPIキーなどの機密情報をアプリ内に保存しない
- 暗号化されたプライベート通話機能を提供する
こうしたチェック項目を心掛けることで、かなりのリスクを減らしていけることでしょう。
