人気急上昇にもかかわらず、クラブハウスアプリは基本的なプライバシーとセキュリティ保護が欠けていることが判明した。
クラブハウス / WIRED
1月下旬のある日曜日の夜、音声のみのソーシャルネットワーク「Clubhouse」が一躍主流となった。テスラとスペースXの創業者イーロン・マスク氏へのインタビューは、ロビンフッドのCEO、ウラド・テネフ氏がバーチャルステージに登場したことで、一転した。
マスク氏がインタビュアーに就任し、テネフ氏にウォール・ストリート・ベッツの真相を尋ねたところ、会場はクラブハウスの定員5000人を超え、参加者は殺到した。音声はクラブハウスの利用規約に違反してYouTubeでライブ配信され、招待券を手に入れようと殺到する人々が殺到し、アプリはスタートアップランキングでトップに躍り出た。
2020年3月にシリコンバレーの起業家、ポール・デイヴィソン氏とローハン・セス氏によって設立されたClubhouseは、現在200万人以上のユーザーを抱え、評価額は約10億ドルに達しています。現在はiOSアプリのみで利用可能ですが、Android版も開発中とのことです。Clubhouseは招待制で、新規登録者1人につき2人をアプリに招待できます。
Clubhouseの排他性は幅広い層に人気があり、カニエ・ウェスト、ジャレッド・レト、ケヴィン・ハート、オプラ・ウィンフリーといった著名人が参加しています。一方、バーチャル「ルーム」からのライブ音声配信を聴き、モデレーターの許可があれば議論に参加できることに魅力を感じる人もいます。
しかし、多くのスタートアップと同様に、人気の高まりは監視の目も厳しくなる。ここ数週間、Clubhouseの評判はプライバシーとセキュリティ面で大きく傷つけられている。では、このアプリはどれほど安全なのだろうか?
データ収集の問題
Clubhouseの最大の問題点の一つは、誰でもルームを録画し、そのコンテンツを他の場所でストリーミングできる可能性があることです。2月初旬、スタンフォード・インターネット・オブザーバトリー(SIO)は、あるユーザーが複数のルームから音声フィードとメタデータを別のウェブサイトにストリーミングしていることを発見しました。Clubhouseはブルームバーグに対し、このデータの「流出」を認め、利用規約に違反していると述べました。同社は当該ユーザーをプラットフォームから追放し、具体的な詳細は明らかにしませんでしたが、再発防止のための「安全策」を追加したと述べました。
しかし、これは氷山の一角に過ぎませんでした。1週間後、SIOは、ユーザー固有のClubhouse ID番号とチャットルームIDが平文で送信されることなど、複数のセキュリティとプライバシーの問題を詳細に報告しました。SIOによると、もう一つの大きな懸念は、Clubhouseのバックエンドインフラを提供する中国企業Agoraが、政府機関にプラットフォーム上の生の音声へのアクセスを許可する可能性があることです。
リバースエンジニアリングによるソフトウェアの新機能発見で知られるセキュリティ研究者、ジェーン・マンチュン・ウォン氏は、Clubhouseのバックエンド設計に「欠陥」があり、ユーザーはClubhouseアプリ自体を使わずに、Agora APIから音声データをプログラムでストリーミングできると述べています。ウォン氏がアプリを調査した時点では、複数のルームを同時に聴くことが可能でした。さらに、Clubhouseのルームでは、各スピーカーに専用の音声トラックが割り当てられており、Agoraは複数のスピーカーからの音声を1つにまとめることはありません。このため、不要なデータ収集が促進される可能性があります。
「各スピーカーからの音声トラックはAgora経由でユーザーのスマートフォンにストリーミングされ、同時に再生されます」とウォン氏は語る。「各音声トラックには、対応するユーザーIDなどのメタデータが含まれています。これにより、各個人の音声データの収集と処理が容易になります。」
Clubhouseは「データ保護とユーザーのプライバシーに深く取り組んでいる」と述べている。しかし、広報担当者は、アプリが「データ保護をさらに強化できる領域をいくつか特定した」ことを認めている。
「当社はSIOが特定した欠陥に対処し、Clubhouseのクライアントが中国のサーバーにpingを送信するのを防ぐため、追加の暗号化とブロックを追加する変更を展開しました」と広報担当者は述べ、HackerOneと提携した同社のバグ報奨金プログラムを強調した。
一方、アゴラは「Clubhouseとのいかなる関与も確認できず、自社アプリケーションにおけるClubhouseのセキュリティおよびプライバシープロトコルについても言及できない」と述べている。同社はさらに、顧客のアプリケーションから個人を特定できる情報を保存または共有していないと付け加えている。「その情報は、アゴラの顧客が自身のアプリケーション内で管理しています。」
モデレーションとユーザーコントロール
Clubhouseは、ユーザーの安全を守るための適切なモデレーション管理が欠如していると批判されてきた。マーケティングエージェンシーThe Social ElementのCEO兼創設者であるタマラ・リトルトン氏は、1月にClubhouseに加わり、通常のルームの共同モデレーターを務めている。リトルトン氏は、このプラットフォームの問題点として、「ユーザーの発言をコントロールする方法がない。モデレーターとしてユーザーを削除したり報告したりすることはできるが、例えば陰謀論を広めるようなルームは誰でも開設できる」と述べている。
ウォン氏は、広東語を話す部屋で荒らし行為に遭遇したことがある。「誰かがステージに上がってきて、私たちの言語を嘲笑するような意味不明な言葉を喋り、英語で話せと迫り、議論の内容とは無関係な政治的にデリケートな話題を持ち出しました。後で報告することはできますが、こうした荒らし行為は議論の流れを妨げます。部屋の視認性を損なうことなく、このような行為をどう防げるのか、私にはわかりません。」
もう一つの問題は、アプリが国際的に拡大するにつれて、Clubhouseのモデレーションチームが対応できる言語の数が増えていることです。しかし、Clubhouseの創設者であるデイヴィソン氏は、より多くの言語に対応できるよう、モデレーションチームを拡大していると述べています。
Clubhouseは、全員が退室するまですべての音声を録音します。これは安全上の理由によるものだと同社は説明しています。コミュニティガイドラインでは、一時的な音声録音は「ルームがライブ状態」にある間、「インシデント調査を支援する目的のみ」に行われると規定されています。
ルームがアクティブ中にユーザーが違反を報告した場合、Clubhouseは「インシデント調査のため」音声を保管し、調査完了後に削除します。インシデントが報告されなかった場合、Clubhouseはルーム終了時に一時的な音声録音を削除するとしています。「ミュートされたスピーカーや観客の音声は一切録音されず、すべての一時的な音声録音は暗号化されます。」
しかし、この方法には潜在的なセキュリティ上の懸念があります。音声はエンドツーエンドで暗号化されていないため、アクセスされる可能性があります。また、会話は部屋に人がいる間ずっと録音されるため、実際に部屋を出ることなく別のアプリに切り替えてもマイクはアクティブなままだと、Think Privacyの共同創設者兼CEOであるAlexander Hanff氏は述べています。「Clubhouseはミュートされていないマイクの録音を継続し、全員が実際に部屋を出るまですべての録音を保持します。」
リトルトン氏は、音声録音は珍しいことではないと指摘する。例えば、オンラインゲームでは有害な行動を抑制するために使用されている。「私としては、両方を同時に実現することはできないと思っています。ライブで人間の行動に頼るか、テレビ放送のように遅延があるかのどちらかです。」しかし、彼女はClubhouseのモデレーションツールを強化すれば、ユーザーにより多くのコントロールを提供できると考えている。「報告に関して、もっと対策を講じる必要があります。Uberのような評価システムがあれば、ルームモデレーターは、その人が過去に悪質な行動をとったことがあるかどうかを確認できるでしょう。」
プライバシー慣行
データ保護の専門家によると、ClubhouseはEUの一般データ保護規則(GDPR)に必要な基本的なプライバシー保護策を欠いている可能性がある。例えば、友人をアプリに招待したい場合、連絡先リスト全体を公開する必要がある。これは既にドイツの規制当局の関心を集めている問題だ。
データプライバシーの講演者であり教育者でもあるピア・テスドルフ氏は、このアプリは設計段階からプライバシーを考慮していないと指摘する。「データを共有するのは構わないが、オプトイン方式であるべきだ。それがGDPRの趣旨だ」
Clubhouseに参加するには、アプリに電話番号を提供するだけで済みます。しかし、Clubhouseは連絡先リストへのアクセス許可を求め、許可するまで他のユーザーを招待することはできません。許可を促すポップアップが複数回表示されます。Clubhouseのプライバシーポリシーでは、連絡先情報やアドレス帳を共有するには「明示的な同意」が必要であるとされています。
ESETのサイバーセキュリティ専門家、ジェイク・ムーア氏は、プライバシーポリシーはClubhouseが最初からどれだけのデータを収集しているかを示していると述べている。「明示的な同意」といった文言は「実質的には有料プレイのシナリオであり、許可を与えなければアプリを適切に使用できない。そして、彼らはあなたの名前、電話番号、メールアドレス、写真、そして場合によってはあなたの学校や所属組織にさえアクセスできる」と彼は述べている。
Clubhouseは、この機能はオプトインのみであり、アプリの使用に必須ではないと主張している。「ユーザーはオプションで携帯電話の連絡先へのアクセスを許可することで、どの友人がアプリを利用しているのかを確認できる」と広報担当者は述べ、ユーザーはiOSの設定から連絡先へのアクセスを取り消すことができ、「Clubhouseのサポートに連絡して過去のデータを削除できる」と付け加えた。
Clubhouse は新しいアプリであり、Zoom などの他のアプリと同様に、需要の急増とともに急速に規模が拡大し、ユーザーにとって最適なセキュリティとプライバシーの設定が整っていないことが判明しました。
ウォン氏によると、いくつか簡単な修正策があるという。Clubhouseは、ユーザーが一度に1つのルームしか聴けず、1つのデバイスからしかログインできないようにすることで、セキュリティを強化できる。「また、電話番号をサーバーにアップロードする前にハッシュ化することで、アプリが必要以上のデータを収集しないようにすることも検討できる。さらに良いのは、招待システムを改良し、連絡先データを一切必要としないようにすることだ」
この記事はWIRED UKで最初に公開されました。
