コンプライアンス
「Clubhouse」、「Riffr」など音声SNSアプリに潜むセキュリティリスクを解説
近年、「音声SNS」と呼ばれるアプリの利用者数はますます増加傾向にあります。しかし他のアプリケーションと同様に、これらのアプリもセキュリティリスクが潜んでいる可能性があります。本ブログ記事では、これらの音声SNSアプリの解析結果から得た知見をもとにこれらのアプリに潜むセキュリティリスクについて実証し解説し、リスク回避の方法としていくつかの推奨事項を共有します。
近年、「Clubhouse」、「Riffr」、「Listen」、「Audlist」、「HearMeOut」など、「音声SNS」と呼ばれるアプリの利用者数はますます増加傾向にあります。今後は全世界で利用者が1日当たり約50万人、月間では約600万人程度も増加するという予測もあるほど、多くの関心を集めています。しかし他のアプリケーションと同様に、これらのアプリもセキュリティリスクが潜んでいる可能性があります。これらのアプリはそれ自体が本質的に悪意のあるものではなく、サイバー犯罪者がこれらのプラットフォームを侵害し悪用することで脅威に発展することに留意する必要があります。
本ブログ記事では、これらの音声SNSアプリ(Clubhouseを中心に、Riffr、Listen、Audlist、HearMeOutを含む)の解析結果から得た知見をもとにこれらのアプリに潜むセキュリティリスクについて実証し解説し、リスク回避の方法としていくつかの推奨事項を共有します。また、スタンフォード大学インターネット監視機関(The Stanford Internet Observatory, SIO)は、本記事に関連する脅威の調査結果を独自に報告しています。
トレンドマイクロは2020年2月8日から11日にかけて当該調査を行いました。このため本記事に記述する問題の一部が本記事公開時点でアプリベンダによって修正あるいは現在修正手続きがなされている場合があります。また、本記事に記載される音声SNSアプリの提供元企業には、当該調査結果についてすでに報告しています。弊社はClubhouseの運営会社「Alpha Exploration社」がSIOや他のリサーチャから報告された懸念事項に迅速に対処したことを確認しています。
まず、トレンドマイクロは「Clubhouseから音声を流出させた」とされるソフトウェアツールを独自に入手し解析を実施しました。弊社の解析結果からこの事例はセキュリティ侵害によるものでないことがわかりました。この事例は音声を流出させたソフトウェアの開発者が自身の個人アカウントではなく開発者専用アカウントを使用してミラーサイトを作成し、他の利用者にも会話の聴取を可能にさせるというものでした。最も重要な点は、ミラーサイトは聴取を可能にしたものの音声の録音は行われていなかったことです。音声データはClubhouseのサーバからクライアントへのリクエストとしてストリーミングされていたためミラーサイトを経由することはありませんでした。言い換えれば、このミラーサイトは開発者アカウントの権利を利用して「JavaScriptを用いたClubhouseクライアント」として機能するWebサイトを作っただけのものでした。これはClubhouseの利用規約には違反していますが、決して特定のセキュリティ上の弱点が利用されたわけではありません。
このような規約違反の行動は、ベンダ側の対応によって制限することは可能です。ただし一方で、技術的なセキュリティ侵害ではないことから、正当なユーザの利用に影響を与えずに確実に回避する技術的対策を設けることも困難です。これは音声SNSアプリに限らず、どのようなウェブサービス、ソーシャルネットワークでも起こり得る出来事と言えます。
■懸念されるリスク比較:スマートフォンの「電話機能」と「音声SNSアプリ」
スマートフォンの「電話機能」を利用した際に懸念されるセキュリティリスクは音声SNSアプリを利用した際に懸念されるリスクと一部似通っています。これらの機能は類似するため、どちらのチャネルにおいても盗聴、傍受、あるいは規約に反して録音される可能性があります。あるいは、どちらも簡単に入手可能なディープフェイクツールを用いて脅迫メールやネット詐欺を実行するために悪用される可能性があります。一方で、異なる点として音声SNSアプリはオンライン上のプラットフォームへと拡張されているという特徴があります。他にも、これらのチャネルに潜在するリスクにはいくつか違いがあります。
まず通話に参加できる人数ですが、これにより窃取されるデータ範囲や誤った情報を受け取る可能性のある人数が決まります。「電話機能」を利用する場合一度に少人数のグループで同時通話が可能ですが、音声SNSアプリを利用する場合は何千人を対象に通話することができます。Clubhouseだけでも最大5000人が「ルーム」と呼ばれるグループ音声チャット空間に参加することができるためFacebookのようなオンライン上で音声機能を利用しないSNSアプリで利用可能な同時送信機能などと比較してもかなりの数を対象にすることができます。これは攻撃者がルーム参加者から情報を窃取したりユーザの評判を悪くしたりする目的を遂行するために、何千人ものルーム参加者が潜在的に被害者あるいは脅威を目の当たりにする聴衆となる可能性があることを意味しています。
上記に関連して窃取される恐れのあるデータの種類も異なります。「電話機能」を通じて窃取される可能性のあるデータは受信者が発信者から開示された情報によって異なります。一方で、音声SNSアプリの多くは同アプリ内にアカウントを有する潜在的な攻撃者によって以下の情報にアクセスされる可能性があります。
- 写真
- 電話番号
- 電子メールアドレス
- その他の個人を特定できる情報(PII)など
窃取される可能性のある情報はユーザがアカウントに登録した情報あるいは登録情報の公開範囲などにより異なります。
上記とは別に懸念されるのがユーザへのなりすまし行為です。「電話機能」を利用して通話する場合は連絡帳に登録された電話番号から通話相手がだれかをある程度推測することもできますが、音声SNSアプリの場合はサイバー犯罪者がなりすます標的人物の写真や個人情報を利用して偽のプロフィールを作成できるため、ほかのユーザから本人と認識される可能性が高くなります。
また一部のオンラインプラットフォームを利用する音声通話SNSアプリはサイバー犯罪者が遠隔操作を行うためのサーバ(C&Cサーバ)として秘密裏にチャネル上でやり取りするために悪用される可能性があります。このことについては弊社のレポートにまとめて詳説しています。
■音声専用SNSアプリのプラットフォーム上で懸念されるセキュリティリスク
この段落では、音声専用SNSアプリの利用者に対し実行されると推測される攻撃サンプルをいくつかご紹介します。これらの詳細については、技術的な概要を参照ください。
1. ネットワークトラフィックの傍受と盗聴
動画:ネットワークトラフィックを傍受し盗聴する様子
この動画では攻撃者がネットワークトラフィックを解析しRTCを利用するパケットを傍受することで誰と誰が通話しているかを知ることができる様子を確認できます。
以下のスクリーンショット(図2)はClubhouseアプリを用いた実証実験から取得したもので、攻撃者がどのようにこの攻撃手順を自動化し、2人のユーザが作成したプライベートチャットに関する機密情報を窃取するためにRTC制御パケットを傍受することができたかについて示しています。
これに対しClubhouse運営側は今後上記に関連する攻撃を阻止するために適切な暗号化技術を実装させると回答しています。
2. ユーザへのなりすまし行為とディープフェイクによる音声合成
攻撃者は標的人物の声を録音・合成することで、インターネット上でその人物になりすまし、標的人物が決して言わないような内容について言及させて詐欺を行ったり、標的人物の評判に影響を与えることができます。あるいは、例えば攻撃者は有名なトレーダを騙る偽プロフィールを作成し合成した声を悪用して標的人物を指定のルームに誘導し偽の投資話を持ちかけることもできます。
3. 音声が録音される危険性
多くのアプリの利用規約に記載されている通り、音声専用SNSアプリのコンテンツの多くは「ルーム参加者だけのため」のものであり一時的な利用を目的として作成されています。しかし一部の攻撃者は、音声を録音したり偽装元の正規アカウントに保存された連絡先をすべてフォローして偽アカウントを作成したりすることでより本物のアカウントに見せかけます。そして偽アカウントを利用して他のルームに無作為に参加し、別の機会に録音・合成した音声を使用して、なりすました人物の評判を落とすような内容について言及したり、詐欺的な商取引を可能にする内容を標的人物本人が発したかのように偽装することができます。
4. 嫌がらせと脅迫メール
これが実際にどのように行われるかは、アプリやネットワークの構造によって異なります。例えば一部のプラットフォーム内では標的人物をフォローした攻撃者は、標的人物がパブリックルームに参加すると通知を受けることができます。この通知を受けた攻撃者は、同じルームに参加し、司会者に発言を求め、何かを言ったり、録音・合成済みの音声を流したりして標的人物を脅迫することができます。トレンドマイクロはこれらすべてが自動的に実行されるように簡単にスクリプト化できることを確認しました。幸いにもほとんどのアプリには、不正スクリプトを利用したユーザをブロックして報告する機能が備わっています。
5. アンダーグラウンドで提供されるボットサービス
Clubhouseの提供開始直後、トレンドマイクロはサーフェスウェブ上でClubhouseについて活発に議論しているフォーラムを発見しました。一部のフォーラム利用者はすでにフォロワーを購入することを議論しており、一部の開発者と推測されるフォーラム利用者はAPIをリバースエンジニアリングしてClubhouseへの招待状と引き換えにボットを作成することを約束していました。弊社もまたそれが可能であることを検証しました。
6. 秘密裏に情報の送受信が行われるチャネル
これらのプラットフォームを利用してサイバー犯罪者はデータファイル内に不正コードを隠蔽する手法である「ステガノグラフィ」を利用して情報を隠ぺいしたり、秘密裏にC&Cサーバとやり取りするための通信路を作成することができます。音声専用SNSアプリの利用者が増加しネットワークが拡大し続ける場合、攻撃者はそれらのアプリを信頼できる代替チャネルとして悪用する可能性があります。例えば攻撃者が複数のルームを作成しボット化した端末を参加させることでDDoS攻撃などのコマンドを送信することができ、暗号化された通信監視機能がない場合痕跡を残すこともありません。
■被害に遭わないためには
音声SNSアプリを安全に利用するために以下のベストプラクティスに準拠することが推奨されます。
- パブリックルームに参加する際は公共の場で情報共有するときの心持ちを忘れないこと。バーチャルルームの参加者の誰かが音声を録音している可能性があるので、見ず知らずの人に共有しても問題ない内容だけを話すようにしましょう。(書面による同意なしに音声を録音する行為はこれらのアプリの利用規約に反している場合があります)。
- 参加者のアカウント名だけで本人と信じないこと。現在これらの音声SNSアプリにはアカウント検証プロセスが実装されていません。該当のアカウントがなりすまされている可能性もあるということを常に念頭に置く必要があります。
- 必要なアクセス要求のみ許可し、必要なデータだけを共有すること。例えばSNSアプリから連絡帳に保存されている情報すべてにアクセスできるよう許可を要求された際に、それを拒否することができます。その後、必要な情報だけを選択し利用することができます。
アプリや通信プロトコルの技術分析に基づいて、これらのサービス提供者は以下の機能を検証し実装することが推奨されます。(未対応の場合)
- 認証情報やAPIキーなどの機密情報をアプリ内に保存しないこと。アプリのマニフェストファイル内に認証情報が平文で埋め込まれている事例が確認されています。これらの情報がサイバー犯罪者に詐取された場合、別のアプリ上でなりすましアカウントを作成するために悪用される可能性があります。
- 暗号化されたプライベート通話機能を提供すること。パフォーマンスと暗号化の間には確かにトレードオフがありますが、最先端のメッセージングアプリは暗号化されたグループチャットをサポートしています。使用例は異なりますが、音声SNSアプリはテキストベースのアプリと同等のプライバシーレベルを提供する必要があると考えています。具体的にはRTPを通信プロトコルに利用する代わりに安全性の向上したSRTP(Secure Realtime Transport Protocol)を使用することが推奨されます。
- ユーザアカウントを検証すること。現在提供されている音声SNSアプリはどれもTwitter、Facebook、Instagramのようにアカウント検証プロセスが実装されておらず、すでにいくつかのSNS上で偽アカウントが確認されています。アカウント検証機能が利用可能になるまでは、ユーザが対話しているアカウントの人物が実際にその人物であるかどうかをフォロワー数やリンクされているSNSアカウントを確認するなどして手動で確認することが推奨されます。
- リアルタイムにコンテンツを分析すること。音声・動画専用SNSアプリにおけるコンテンツモデレーションに関する課題は従来のものと比較しさらなる負担を要するものとなります。これはテキストや写真などと比べ音声や動画を送受信する場合に処理する情報量が必然的に多くなるからです。一方で、これらのSNSサービスがコンテンツ検査を実装した場合には音声ストリームを傍受する手段を備えていることを裏付けることとなり、プライバシーの問題が生じます。しかしコンテンツ検査を実行することは、例えばインシデント発生時に優先順位付けに役立つなど、いくつかの利点を提供します。
詳細に関してはホワイトペーパー「Mind Your Voice: Security Risks and Recommendations for Audio-centric Social Media Platforms(英語)」を参照ください。
参考記事:
• 「Security Risks for Audio-centric Social Media Apps」
By Federico Maggi, Trend Micro
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)
記事構成:岡本 勝之(セキュリティエバンジェリスト)
高橋 哲朗(スレットマーケティンググループ)