Clubhouseをインストールする前に知っておくべきこと

いま話題のアプリ「Clubhouse」は、セキュリティ上の問題をいくつか抱えています。

招待制の音声チャットサービス「Clubhouse」は、瞬く間にApp Storeのダウンロード数ランキングでトップになり、ユーザー数はわずか数週間で60万人から1,000万人に増えました(英語記事)。近頃は、良い意味でも悪い意味でも、Clubhouseの話題で持ちきりです。こうして盛り上がっているときには、自分のプライバシーやお財布を脅かすものを見過しがちです。

Clubhouseとは

念のためおさらいしておくと、Clubhouseとは、飛び込みで参加できる音声チャットのスペースを提供するアプリです。利用者は会話を聞いたり、(主催者の許可を得て)会話に参加したりできます。初期にClubhouseのファンになった著名人の一人がイーロン・マスク氏で、同氏が1月下旬に投稿したツイートをきっかけに、Clubhouseへの関心が一気に高まりました。この後に、マーク・ザッカーバーグ、ドレイクといった有名人諸氏が続きました。そうした人々が支持した効果は絶大で、Clubhouseの利用者は急増を見せたのです。

とはいえ、Clubhouseはまだベータテストの段階で、その上、新しく登場したSNSから利益を得る機会を虎視眈々と狙う詐欺師もいますから、セキュリティが万全だとはとても言えません。

「これじゃない」方のClubhouse

Clubhouseは大いに話題になった一方で、多少の混乱も呼びました。イーロン・マスク氏がClubhouseに登場すると発表したとき、投資家は株の購入に飛びつきましたが、名前の似たまったく別の組織と混同してのことでした(英語記事)。「正しい方の」Clubhouseは、まだ株式公開もしていません。

また、現時点でClubhouseのアプリはiPhone版しかありません。ところがGoogle Playに同じ名前のプロジェクト管理アプリがあり、このチャットアプリを求める人たちがダウンロードしてしまいました(英語記事)。間違いに気づいて怒った人々がアプリのレビュー欄を荒らし、アプリ作成者は一時的にストアからアプリを取り下げなければならなくなりました。

これらの問題は重大なものではなく、Clubhouseを利用する人に直接の脅威とはなりません。ところが残念なことに、Google Playには、あからさまにClubhouseを名乗る偽アプリも多数あります。スマートフォンやタブレットにそうした偽アプリをインストールすると、大量のバナー広告に煩わされることになるだけでなく、サイバー犯罪者があなたのオンラインバンキングやSNSのパスワード、さらには連絡先リストにアクセスできるようになるというリスクを冒すことになります(英語記事)。

Google Playに偽のAndroid版Clubhouseアプリが多数出現

Google Playに偽のAndroid版Clubhouseアプリが多数出現

Androidユーザーとしては、ClubhouseのWebサイトをこまめにチェックして、公式アプリがGoogle Playに公開されるのを待つしかありません。

Clubhouseにおけるプライバシー問題

Clubhouseはまだベータ版です。ベータ版は本来、バグを発見して修正しやすいように、限られた少数の人々だけが利用できるようになっているものです。案の定、Clubhouseのセキュリティシステムには複数のバグが見つかっています。

まだ歴史の浅いサービスながら、利用者のプライバシーが保証されない点を専門家たちが注意喚起せざるを得ない事態が、すでに何度か起きています。2月中旬、スタンフォード大学インターネット観測所(Stanford Internet Observatory:SIO)のリサーチャーが、ユーザーIDとチャットルームIDがサーバーに平文で送信されていることを発見しました(英語記事)。SIOは、Clubhouseのバックエンドインフラを提供する中国企業Agoraが利用者の音声の生データにアクセスできる可能性があると示唆しました(ただしこれまでのところ、その主張を裏付ける人も反論する人も現れていません)。

SIOがClubhouseについての記事を投稿してからわずか数日後、Twitterで録音データの漏洩についての噂が出回り(英語)、まもなくClubhouseがこれを認めました。報じられるところによると、ある利用者が、チャットルームでの内容をアプリから自分のWebサイトへストリーミングしたとのことでした(英語記事)。この件についてClubhouse開発元は多くを語っていませんが、その利用者がプライバシーポリシーに違反していたことは明言しました。これはハッキングではなかったのです。その犯人は出入り禁止とされ、開発元はバグの修正を約束しましたが、この(未完成の)ソフトウェアにまだいくつ穴が残っているのか、何とも言えません。

SIOはまた、技術に詳しい人であればアプリのコードを割り出すのは難しくないだろうとも述べています(英語記事)。実際に、サンクトペテルブルクのある開発者は、非公式のAndroid版Clubhouseを1日で開発しています(英語記事)。このような話を聞けばなおさら、利用者としては、コードの中にどんな脆弱性が潜んでいるのだろうかと考えずにはいられません。

ハッキングの必要はない

Clubhouseのアプリで登録を済ませると、連絡先リストへのアクセスを許可するように求められます。拒否すると、自分から誰かをClubhouseに招待することができなくなります。そのため、Clubhouseを存分に活用したければ連絡先リストへのアクセス権を与えるしかありません。その上、プライバシーポリシーでは、開発元がそうしたデータを委託先やマーケティング会社、法執行機関といった非常に広範囲のサードパーティや外部組織に転送することが認められています。

また、Clubhouseアプリにはシークレットモードが用意されていないため、アプリ内での行動はすべて痕跡が残ります。また、アプリのインターフェイスには、アカウント削除用のボタンがありません。削除の手続きを行うには、メールでリクエストする必要があります。

それに加え、現時点でClubhouseには本格的なアカウント認証機能がないため、基本的に誰でも誰かになりすますことが可能です。例えば、偽物のブラッド・ピットのチャットルームに人々が殺到するなど(リンク先は英語)、著名人のなりすましは何件もありました。これらは害のないいたずらに見えるかもしれませんが、この問題はもっと深刻な面もはらんでいます。詐欺師たちは以前から、自分の目的のために、有名人の本物のアカウントや偽物のアカウントを利用してきました。Twitter上で繰り広げられたBitcoin詐欺の事例は、そんなに昔の話ではありません。

耳にしたことすべてを鵜呑みにするわけにはいかないものですが、Clubhouseについても例外ではありません。著名な誰かがチャットルームで興味深いプロジェクトを推奨していたら、信頼できると分かっている情報源で裏を取るようにしましょう。

安全のヒントと推奨事項

  • この記事を投稿する時点では、ClubhouseのAndroid版はまだ存在しません。Google Playに公開されている偽アプリには、だまされないようにご注意ください!
  • 「Clubhouseでの言動は公開されない」とは考えない。共有する情報は、一般公開の場に出してもいいような情報だけにしましょう。
  • 新しいアプリをインストールするときは、本当にそのアプリが必要かどうか、よく考えてからにする。本当に必要な場合、ベータ版または初期バージョンでバグが洗い出されるのを待ってもよいかと思います。
  • アプリをインストールする前に、アプリが収集するデータについて調べる。開発元はどこか、開発元はどのようなデータを取得し、誰と共有するのか、といった内容を調べましょう。
  • 警戒を怠らない。詐欺を働く人々は、人をだます新たな手口を次々と考え出します。Kaspersky Dailyでは、今後もそうした手口を紹介していきますので、ぜひ参考になさってください。
  • Android版Clubhouseのふりをしたアプリのようなマルウェアの侵入をブロックする、信頼できるセキュリティ製品をデバイスにインストールする。
ヒント