アメリカの顔をした中国企業　Zoomとクラブハウスの問題

＜Zoomやクラブハウスと中国政府との関わりが問題になっている。仮にクラブハウスから利用者の電話番号を入手できたとすれば、利用者の位置情報、通話の盗聴がハッキングなしで可能となる...... ＞

日本ではあまり注目されなかったZoom問題

2020年12月にオンライン会議サービスで有名なZoom社の元幹部が逮捕された。中国当局の指示を受けてZoomの会議の内容を検閲し、会議を中断したり、利用者のIDを利用停止にしたというものだ。日本でも報道されたが、あまり注目されなかったようだ。

実は逮捕の半年以上前に、すでにZoomの危険性は指摘されていた。2020年4月カナダ、トロント大学のCitizenLabは、レポートを公開し、Zoomの会議の内容が中国当局に漏れている可能性を指摘していた。このレポートはアメリカでも深刻に受け止められ、TIME、ロイター、The Intercept_など各誌で取り上げられた。

さらにその後、国土安全保障省からのZoomの安全性の警告、深刻な脆弱性の発見、50万件の利用者の個人情報が販売されていたことの暴露、グーグルが従業員にZoomの使用をやめるよう通知など、さまざまな出来事が続いた。もちろんいち早く台湾政府はZoomを禁止した。

こうした一連の問題の後での逮捕だったので、ある程度予想された結末だったとも言える。しかし、Zoom事件の問題は根が深い。最初にZoomの問題を発見したCitizenLabはそのレポートの中でZoomを「A US Company with a Chinese Heart」と呼んでいた。Zoomはアメリカのシリコンバレーの企業であるが、開発拠点を中国に置き、従業員も中国人が多いため、こういう呼び方をした。

ちなみに日本のサイバーセキュリティ関係者の多くは、この逮捕までZoomの危険性に気づいておらず、のんきにZoom呑み会開いており、筆者が危険性を指摘しても冷笑的だった。同様のことはIoT機器に感染するマルウエアMiraiでも起きた。2016年に世界的な被害を起こし、日本国内でも感染が広がった。先立つ2013年3月27日にたったひとりの人物が約42万の機器をハッキングし、420億のIPアドレスを調査した事実を紹介し、今後IoT機器への攻撃が深刻な脅威になることを警告したが、当時は耳を傾ける者はいなかった。今回は同様の展開にならないことを祈りたい。

Zoomより深刻なクラブハウス問題

最近、注目されているクラブハウス（Clubhouse：開発会社はAlpha Exploration）でも「A US Company with a Chinese Heart」の影がある。クラブハウスは音声通話でAgoraというシリコンバレーの企業のシステムを利用している。

Agoraは音声通話処理に特化したサービスを提供しており、クラブハウス以外にもいくつもの企業が同社のサービスを利用している。Agoraのサービスを利用することで、中核となる音声通話処理を自前で開発したり、そのためのインフラを維持したりする必要がなくなる。これまでもAgoraとクラブハウスの関係については取り沙汰されていたが、検証されたレポートが最近公開された。

2021年2月12日にスタンフォード大学の Internet Observatory（SIO）は、「clubhouse in China: Is the data safe?」というレポートを公開した。