スタンフォード・インターネット・オブザーバトリー(SIO)の最新調査で、
Clubhouse(クラブハウス)入室中の各利用者のメタデータを含むパケットがエンド・トゥ・エンド暗号化もない平文で
Agora社に送られていることがわかり、Clubhouse社が対応に追われています。

・Agora社とは
動画・音声・ライブインタラクティブ配信プラットフォームで、シリコンバレーのサンタクララと中国上海にオフィスを構えています。
Clubhouseをはじめ世界中の企業にAPIを提供しているのですが、Clubhouseとの関係は一度も正式には公表されていません。
Clubhouseのリリースとほぼ同時期のIPOなのにね。米政権の中国アプリ排除もあったし、あまり取引関係は明らかにしたくない感じです。

・ClubhouseはAgoraのAPIで1週間で書かれた
ClubhouseのバックエンドがAgora社だという話は割と早い段階から知られていました。
Agora IPOの翌週にはTwitter上で「Clubhouseのソーシャル音声プラットフォームはどこが開発したんだろうね?」とだれかがつぶやいて、
あるエンジェル投資家が「Agoraっていう会社で、先週上場したばかり。Clubhouseはこれをベースに1週間くらいで開発されたものだよ」と答えています。

そのときの情報が、GameStop株を爆上がりさせたReddit投資フォーラムに出たのは先月25日のことです。

・何が問題なの?
Clubhouseが開発したのはUI的な部分であって、Clubhouseの音声プラットフォームを動かしているのは上海Agora社なんです。
音声データのホスティングをしているのもAgora、インターネット配信をやっているのもAgora。

中国国内では外資系も含めて当然の義務だけど、Clubhouseは「リアルタイムで世界中の人とおしゃべりができる。
音声は録音・保存・公開禁止だから気兼ねなく話せる」ことで中国で爆発的に広まりました。
今月中国国内で利用禁止になる直前まで、天安門、 新疆ウイグル自治区、香港問題で大盛況だったので、
言いたい放題したデータが逮捕に使われたら目も当てられませんよね。

そこで心配になってスタンフォード大がネットワーク解析ツールのWiresharkなどを使って調べてみたら、
データは案の定Agora経由で処理されていることが判明。ユーザー固有IDとルームIDのメタデータが
暗号化もない平文で送られている実態までわかってしまったのでした。

・つまりどういうことかというと、「ユーザーのネットワークにアクセスできる第三者」は簡単に送信内容にアクセスできて、
「同じチャンネルに入っているかどうかを見れば、ユーザー同士がしゃべっているかどうかもわかる」ほか、
発言主のIDとプロフィールの照合も可能。ぜんぜん「ここだけの話」じゃないってことですね。

・Clubhouseは同大の協力を得ながら、暗号化を強化し、中国国内のサーバーに情報が送られないよう対策を進めることを明らかにしました。

https://i.ytimg.com/vi/kT0NZbXnbTE/maxresdefault.jpg
全文は以下
https://www.gizmodo.jp/2021/02/clubhouse-agora.html

関連スレ
流行は日本だけ?すでに「クラブハウス疲れ」「退会」が始まる
https://asahi.5ch.net/test/read.cgi/newsplus/1613011472/