このページの本文へ

Clubhouseでも使用される技術にひそんでいた脆弱性とは?

2021年02月26日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

人気のアプリで使われているテクノロジーに目を向けてみる

 2月1日〜3月18日は「サイバーセキュリティ月間」となっている。政府がサイバーセキュリティに関する普及啓発強化のために定めたものだ。

 昨今は、さまざまなアプリやプラットフォームが、毎日のように登場している。新しいものが出ると飛びつきたくなる人もいるかもしれないが、皆の注目を集めているものは、悪意を持った人間のターゲットにもなりやすい。

 最近話題になっているのが、声によるコミュニケーションのプラットフォーム「Clubhouse」。テキストや写真などは使わず、音声だけでコミュニケーションするのが特徴だ。ローンチされたのは2020年3月だが、そこから1年が経ち、日本でも流行の兆しを見せている。

 ルーム内の会話はその場限りで、保存して後から視聴するような機能はないほか、会話の録音や書き起こしなどは利用規約で禁じられているのもユニークだ。もっとも、サイバーセキュリティの観点からすれば、録音が残らない、会話内容が流出しないという保証はないので、発言には注意が必要だろう。

 また、「運営側がルーム内の会話を録音・保存している」という指摘もある。Clubhouseのプライバシーポリシーや利用規約を参照する限り、好ましくない出来事を調査する目的のため、一時的に音声を録音しているとのことだが、その点には留意しておきたい。

 このClubhouseには、Agora.ioによって作成されたビデオ通話ソフトウェア開発キット(SDK)が利用されている。複数のプラットフォームにわたるアプリケーションでの音声およびビデオ通信に使用されるものだ。

 2020年の初め、AgoraのSDKに、ネットワークを介して暗号化されずに送信された機密情報が発見された。マカフィーの調査によると、このSDKの脆弱性を悪用することで、攻撃者がネットワークのトラフィックを傍受して通話情報を収集し、アプリケーションを起動して通話に参加することが可能だという。

 マカフィーはこの問題を2020年4月20日にAgora.ioに報告。同社は2020年12月17日の時点で、脆弱性を軽減し、対応するユーザーへの脅威を排除したというバージョンをリリースしている。

 Agoraが通話設定の問題を修正するSDKをリリースしたことを考えると、それを利用するアプリケーションは、すでに安全なSDKに切り替えているはずだ。しかし、マカフィーの調べによると、未だにSDKの更新がされていないものもあるという。ちなみに、Clubhouseは最新バージョンに更新されている。

 サイバー犯罪が増えている現在は、メーカーがセキュリティパッチや改良版へのアップデートなどを随時提供しているもの。アップデートの通知がきたら、先延ばしせずに適用するのが大事だ。

 メーカーやセキュリティベンダーは、新たな脅威を常に探している。脆弱性に対する対応をしっかりしておけば、不意のリスクにもそなえやすくなる。

 逆に言えば、脆弱性が報告されているにも関わらず、アプリケーションをリリースしている側が対応をしていなければ、利用を控えるという選択肢もあるだろう。そのためにも、ユーザーはアプリやSNSなどを使いっぱなしにするのではなく、よく利用するものほど最新の情報をチェックしておく必要がある。

 重要なセキュリティ情報を掲載した「IPA(情報処理推進機構)」、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する脆弱性ポータルサイトの「JVN(Japan Vulnerability Notes)」などに日頃から目を通しておくのもよいだろう。

 最新情報を仕入れてソフトウェアのアップデートを徹底することの重要さは、肝に銘じておきたい。今回は、McAfee Blogの「Clubhouseでも使用されるAgora SDK、未更新のアプリに注意」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

Clubhouseでも使用されるAgora SDK、
未更新のアプリに注意:McAfee Blog

 2021年2月17日、マカフィーは、ビデオ会議ベンダーであるAgora Incとの10ヵ月にわたる開示プロセスに基づいて調査結果を開示しました。2020年4月にAgoraに調査結果を開示したため、この長い開示スケジュールは当社の非標準プロセスとなりますが、安全なSDKの開発とリリースに十分な時間を与えるためのベンダーとの共同合意がありました。脆弱性を軽減するSDKのリリースは、2020年12月17日に行なわれました。ビデオおよびオーディオ通話のスヌーピングとスパイの影響を考えると、Agoraに開示時間を延長することが重要であると感じました。Agoraの影響を受けるユーザーには、人気のある音声およびビデオメッセージングアプリが含まれます。注目すべきアプリケーションのひとつは、Clubhouseとして知られる人気の新しいiOSアプリです。

Clubhouse アプリのスクリーンショット

 Clubhouseは最近、ソーシャルネットワーキング分野の最新プレーヤーのひとつとして注目を集めているアプリで、Elon Musk、Kanye Westなど、さまざまな地域のインフルエンサーがプラットフォームについて投稿し、人気が高まっています。2020年4月にリリースされたClubhouseは、デリケートな社会的および政治的トピックを議論するためのプラットフォームとして、中国のソーシャルメディアのニッチをすばやく切り開きました。招待制ということや、主要なプレーヤーたちなどによって注目されるようになり、今年の初めにさらに話題になりました。そして当然のことながら、アプリケーションは2021年2月8日に中国での使用がブロックされました。

 先週、Stanford Internet Observatory(SIO)は、人気のClubhouseアプリによるAgoraリアルタイムエンゲージメントソフトウェアの使用に関する調査を発表し、Agoraが中国政府にClubhouseユーザー情報と通信へのアクセスを提供できた可能性があることを示唆しました。スタンフォードの開示の詳細は、ビデオSDKでの作業と比較して、オーディオSDKに焦点を当てていますが、機能と欠陥は、最近の開示であるCVE-2020-25605と同様です。これには、アプリID、チャネルID、トークンのプレーンテキスト送信が含まれます。これは、音声通話またはビデオ通話に参加するために必要な資格情報です。私たちは、Clubhouseが2月16日にAgora SDKの最新バージョンに更新されたことを確認しています。これは、今回の脆弱性に関する公開の1日前でした。

 Clubhouseを取り巻く最近の騒ぎにもかかわらず、現実には、このアプリケーションはAgora SDKを活用する多くのアプリケーションのひとつにすぎません。特に、ソーシャルアプリeHarmony、Skout、MeetMeと、広く使用されているヘルスケアアプリを調査しました。そのうちのいくつかは、ユーザーベースが大幅に大きくなっています。たとえば、MeetGroup(複数のアプリで構成)は、2020年12月の時点で合計およそ60万人ユーザーのClubhouseと比較して、月間およそ1800万人のユーザーを報告しています。

 これらのデータポイントを強調することが重要であると感じ、これらのアプリケーションを調査し続け、この脆弱性を悪用する悪意のある攻撃者の潜在的なインスタンスを監視しています。Agoraが通話設定の問題を修正する更新されたSDKをリリースしたことを考えると、脆弱なアプリケーションは、すでに安全なSDKに切り替えているはずです。これにより、多くの人が主張するように、機密性の高い音声およびビデオ通話データが保護されます。そのことを念頭に置いて、以前に調査したAgoraベースのアプリのいくつかを再度チェックインして、パッチが適用されたバージョンに更新されているかどうかを確認することにしました。しかし2020年2月18日の時点で、まだ多くのアプリで更新されていないことがわかり、驚いています。
 

アプリ名 インストール アプリバージョン アプリのバージョン日付 Agora SDKの更新
MeetMe 50,000,000+ 14.24.4.2910 2/9/2021 Yes
LOVOO 50,000,000+ 93.0 2/15/2021 No
Plenty of Fish 50,000,000+ 4.36.0.1500755 2/5/2021 No
SKOUT 50,000,000+ 6.32.0 2/3/2021 Yes
 Tagged 10,000,000+ 9.32.0 12/29/2020 No
GROWLr  1,000,000+ 16.1.1 2/11/2021 No
eharmony  5,000,000+ 8.16.2 2/5/2021 Yes
Clubhouse  2,000,000+ 0.1.2.8 2/16/2021 Yes
Practo  5,000,000+ 4.93 1/26/2021 No

 検閲と基本的なプライバシーの懸念に関するコンテキストで、脆弱なSDKを使用するこれらのアプリや他の多くのアプリが迅速に、またはこれまでに更新されているかどうか、およびこれらのタイプの調査結果がソーシャルメディアプラットフォームに対するユーザーの信用と信頼にどのような永続的な影響を与えるかを確認することは興味深いでしょう。

 McAfee ATRによるAgora SDKの調査の詳細については、技術調査ブログをご覧ください。

 このようなアプリを使用するときにユーザーが自分自身を保護する方法については、消費者の安全に関するヒントのブログをご覧ください。

※本ページの内容は2021年2月18日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Beyond Clubhouse: Vulnerable Agora SDKs Still in Widespread Use
著者:Steve Povolny,Douglas McKee and Mark Bereza

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ

マカフィーは大切なものを守ります。