Clubhouseのセキュリティに懸念、中国政府に監視される可能性も

日本でも話題となっている音声ベースのSNS「Clubhouse」は、ユーザーが開設した「ルーム」に集まった人々がクローズドな会話を楽しむことができます。ところが、「Stanford Internet Observatory(スタンフォード・インターネット観測所／SIO)」の研究者が報告したレポートによると、Clubhouseのバックエンドインフラストラクチャーを中国の企業が提供しており、中国政府によって会話が監視されている可能性があるとのことです。

FSI | Cyber | Internet Observatory - Clubhouse in China: Is the data safe?
https://cyber.fsi.stanford.edu/io/news/clubhouse-china

Clubhouse says it will improve security after researchers raise China spying concerns - The Verge
https://www.theverge.com/2021/2/14/22282772/clubhouse-improve-security-stanford-researchers-china-security

iOS専用アプリ「Clubhouse」はリリース当初から中国のApp Storeでは入手できないようになっていたものの、国や地域の制限を回避することで中国のユーザーでも入手することが可能でした。このため「中国政府による検閲を受けないアプリ」として人気を集め、政治的にデリケートな話題が交わされる貴重な場となっていました。しかし、2021年2月9日には中国からClubhouseへのアクセスが遮断され始めたと報じられています。

中国がClubhouseへの接続を遮断 - GIGAZINE

Clubhouseに音声技術サービスを提供するのは、中国とアメリカに本拠を置くクラウドサービスプロバイダーのAgoraという企業です。そのため、以前から「AgoraがClubhouseのユーザーデータを保存しているのではないか」との懸念が提起されていました。

そこで、SIOの研究者がClubhouseのウェブトラフィックを調査したところ、ClubhouseからAgoraが運営する「qos-america.agoralab.co.」などのサーバーにトラフィックが送信されていることが判明。Agoraのサーバーに送信されるパケットには、ユーザーを識別できる一意のClubhouse IDやチャットルームのIDが含まれており、これらのメタデータは暗号化されずにプレーンテキストのまま送信されていたそうです。

メタデータにアクセスすることできれば、特定のユーザーが誰と会話をしているのかを知ることが可能です。そのため、中国政府がAgoraのネットワークトラフィックやサーバーを介してメタデータにアクセスできる場合、中国本土のユーザーが危険にさらされる可能性があるとSIOは指摘しています。

中国政府がメタデータにアクセスできる可能性が指摘されている一方で、生の音声データにアクセスすることは、音声データがアメリカのサーバーに保存されている限り難しいとのこと。Clubhouseはユーザーの音声を信頼性や安全性の調査目的で一時的に保存すると規定しているものの、Agoraや中国の関連企業がデータを保存することはない、としています。

なお、中国政府は米中相互法的支援協定(MLAA)に基づいて法的にデータの転送を依頼することもできますが、言論の自由や人権を侵害しかねない政治的議論などに関する要求については、アメリカ政府が法的に拒否することが可能です。

ClubhouseはSIOの研究者に対し、「中国におけるデータプライバシーの実績を踏まえ、私たちは中国を除いた全ての国でClubhouseを利用可能にするという難しい決断を下しました」とコメント。しかし、中国のユーザーがApp Storeの制限を回避する方法を利用してアプリを入手したため、中国政府がブロックするまでの間、中国本土のユーザーが交わす会話が中国のサーバーを経由した可能性があると認めています。

今後、Clubhouseは外部のセキュリティ企業を雇ってアプリの修正を行い、メタデータが中国のサーバーに送信されないようにするとともに、データの暗号化を行うとのことです。