上司の陰口もダダ漏れだった? あのWeb会議アプリを信用し過ぎちゃいけない問題:659th Lap
ある研究チームによれば、あるWeb会議アプリが動作中に不審な挙動をしていたことが判明したという。もしかしたら、あなたのプライバシーが丸裸になっているかもしれない……。
コロナ禍によって、働き方やビジネス活動など多くのものがオンラインシフトした。会議もその一つだ。国内で1度目の緊急事態宣言が発令された2020年4月、3密回避のために多くの企業が一斉にテレワークにシフトし、その時初めてWeb会議を体験した人も多いことだろう。
今ではすっかり定着したWeb会議だが、あのWeb会議アプリに不審な挙動が見られたという。プライバシーが筒抜けになるかもしれないというその怪しい挙動とは?
Web会議アプリの困った問題について、米ウィスコンシン大学マディソン校と米ロヨラ大学シカゴ校の研究チームが発表した論文で明らかになった。論文のタイトルは「Are You Really Muted?: A Privacy Analysis of Mute Buttons in Video Conferencing Apps(あなたは本当にミュートされていますか? ビデオ会議アプリにおけるミュートボタンのプライバシー分析)」だ。
この論文によると、Web会議アプリの多くは音声をミュートした状態でも、実際はミュートを無視しているのだという。
一般的なWeb会議アプリは、ユーザーを撮影し、声を拾って相手に送信する。それにはアプリがPCに接続されたカメラとマイクにアクセスする必要がある。根本的なコントロールはOSが握っているため、カメラやマイクをアプリから操作するにはOSのAPIを介し、ユーザーの同意も得た上で機能を有効にする必要がある。そうしてWeb会議アプリでカメラの有効/無効を切り替えたり、音声のミュート機能のオン/オフを切り替えられたりできるわけだ。
カメラ機能が「有効」の状態であれば映像が映され、カメラに備わるインジケーター(多くはLEDランプ)が点灯して「いま映していますよ」ということをユーザーに示す。カメラが無効になれば、インジケーターは消灯する。
一方で一般的なマイクは、そうしたインジケーターのようなものが存在しない。設定画面を開けばマイクの動作状況を確認できなくはないが、基本的にはマイクの動作状況はあくまでアプリ側でしか確認できない。表面上は「ミュート」だとしておきながら、実は音声を拾っている可能性もあり得るわけだ。
研究チームはこの点に注目し、マイクの動作状況とWeb会議アプリでのマイクの制御についてミスマッチがないかどうかを調査し、その結果を論文にまとめた。
調査チームは「Zoom」「Slack」「Microsoft Teams」「Google Meet」「Cisco Webex」「Blue Jeans」「WhereBy」「GoToMeeting」「Jitsi Meet」「Discord」といった10本のネイティブWeb会議アプリを調査した。日本ではなじみが薄いアプリもあるが、どれもワールドワイドで利用されているものだ。同チームは、Windows、macOS、Linuxの3つのOSでアプリの動作を検証した。
論文によれば、WebブラウザベースのWeb会議アプリであれば「WebRTC」を経由してマイクが音声を拾うため、アプリ側でミュートにするとWebRTC内部で音声データの転送が停止するという。研究チームが調査したWebアプリベースのWeb会議アプリはいずれもミュート操作とともに音声が取得された形跡は認められなかった。
問題はネイティブWeb会議アプリだ。研究チームはWeb会議アプリがミュート状態でも音声データを取得しているかどうかを、それぞれのOSでAPIアクセスを監視した。すると全てのWeb会議アプリが、ユーザーがミュート操作をしたにもかかわらずマイクから生の音声を取得していたことが明らかになった。とはいえ一部のアプリを除けば、音声は無音で処理されていたり不連続だったりと、「ミュート」されているのと同意だった。
ただ、「Webex」については、Windows版とMac版のアプリでマイクから音声を拾った後、そのデータを1分ごとにWebexのサーバに送信していたことが分かった。送信されたデータは音声データそのものではなく、いわゆるテレメトリーデータに当たるものだ。研究チームがディープラーニングによってそのデータを解析したところ、どうやらユーザーが料理したり食事したり、会話したりタイピングしたりといった「生活音」と関連性がありそうだという。
ユーザーの会話を直接的に取得しているわけではなさそうだが、「それらの音声を分析すれば、ユーザーがどんな生活をしているのかが推測できる可能性もある」と研究チームは論文で解説している。
Webカメラは外付けであればケーブルを引き抜いてしまえばよく、PC内蔵カメラはレンズに目隠しのテープを貼れば撮影できなくなる。しかし、PC内蔵マイクはそうはいかない。研究チームは、OSレベルでマイクをミュートしてアプリからのアクセスを制限可能にするか、物理的にマイクをオン/オフできるスイッチを設けることを提案する。
こうしてWeb会議アプリ、特にWebexについては“怪しい”部分があることが判明した。現時点では大問題に発展するようなことはなさそうだが、Web会議アプリのミュート機能はそこまで信頼できるものではなさそうだ。現在の生活には欠かせない存在になったツールなだけに、そこは割り切って利用すべきなのだろうか。
上司X: Web会議アプリは、ミュートにしていても実は音声を拾っている、っていう話だよ。
ブラックピット: アプリでミュートにしても、PCの内蔵マイクがオフになることはない、ってことですね。
上司X: そういうことらしい。マイクで拾った音声はアプリまでは確実に到達していると。
ブラックピット: でもでも、そこでデータ化されなければいいんじゃないですか?
上司X: だが、誰かがアプリに何か仕掛けをするかもしれない。ミュートになっていても音声をダダ漏れにするためにね。
ブラックピット: 確かに会議中にミュートにしてるのに、普通に話しているかのように自分側の音声が漏れてたらそりゃイヤですけど……。生活音を聞かれたくなければアプリを終了しておけばいいんですよね?
上司X: たぶんそうだ。今回の論文はあくまでアプリ起動時の調査らしいからな。
ブラックピット: でしたら、なおさらそこまで気にしないかなあ、僕は。会議でもないのにWeb会議アプリを常時起動しておく義理も趣味もありませんし。そもそも会議でミュートにすることもあまりないですし……。
上司X: 確かにな。この論文はなかなかセンセーショナルな内容だけど、今のところは、ミュートしていても音声がダダ漏れになるかもしれないことにそこまでおびえる必要はないのかもしれない。もうすっかり身体がWeb会議に慣れちゃってるからなあ。こういうのが問題になって「やめておくか」みたいな流れにならないことを祈りたいよ。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.