中国企業製の低価格KVMに極小マイク搭載疑惑 研究者が指摘：セキュリティニュースアラート

Sipeed製NanoKVMに公式資料で十分に説明されない小型マイクが搭載されていたと研究者が指摘した。録音機能の存在や情報公開の在り方を巡り、注目が高まっている。

[後藤大地，ITmedia]

　中国企業Shenzhen Sipeed Technology（ブランド名Sipeed）が販売する機器「NanoKVM」に、公式資料で十分に説明されていない小型マイクが実装されているとする指摘が研究者によって示され、関心が高まっている。

　同研究者は2025年2月に詳細な調査結果を公開し、同機内部に極小の表面実装型マイクを確認したと報告した。基板上には約2×1mmの部品が配置され、録音機能が利用可能な構造が整っていたとされている。

研究者が小型マイクを発見、初期ロットでは認証弱く録音可能状態に

　NanoKVMを接続した遠隔地のPCの画面を手元のWebブラウザで見ながらキーボードやマウスを使って制御できることが、この製品のメリットだ。

　研究者の説明によると、NanoKVMに搭載されている「Linux」イメージにコマンドラインツール「amixer」と「arecord」が含まれ、SSH接続後すぐ録音を開始できたとされる。

　初期ロットでは固定パスワードと有効化したSSHがそのまま残されていた事例も紹介されており、認証要件が弱かった段階では録音機能が第三者から容易に利用されかねない構造にあった。録音音声データは簡単な操作で外部に取り出すことが可能とされ、追加のスクリプトで通信経路を構築すれば、常時転送に近い動作も可能となる余地があるとされる。

　研究者は、NanoKVMの性質上、対象機器の管理権限を扱う位置付けで使われるケースが多い点を重視し、筐体内の構成部品が文書化されていない状態を問題視した。一般の利用者が筐体を開けて基板構造を確認する場面は少なく、搭載部品が十分に説明されないまま録音可能な構成が成立している状況は、誤解を招きやすいとしている。物理的にマイクを除去する手段は存在するが、部品が極小であるため作業には拡大装置と一定の技能が必要とされる。

　研究者の調査ではNanoKVMは開発段階で急速に機能をまとめた痕跡が複数残されていたとされる。ファームウェア内の構成要素にはデバッグ用途とみられるツールも含まれていたとされ、小型マイクの実装も当初の開発過程で評価目的として扱われた可能性が指摘されている。しかし用途が限定される部品が明確に説明されず、市販製品に搭載した形で残っていた点は、管理機材として使われる際の信頼性判断に影響を与えると述べている。

　この指摘に対し、Sipeedは「X」（旧「Twitter」）でマイクは非公開要素ではなく、以前から技術資料に記載していたと主張した。投稿では「隠しマイクではない」と述べ、同社のWikiの説明を根拠として示した。研究者の報告は搭載部品の明示性と実用段階での説明不足を問題としており、双方の主張は完全には一致していない。

　今回の問題は、低価格な遠隔管理機器が広く普及する中、筐体内部の構造や搭載部品がどこまで公開されるべきかという論点を浮き彫りにしている。音声取得機能が成立し得る部品が含まれる製品に触れる機会は増えており、利用者が装置の内部構成を把握しにくい状況が続く場合、誤解や不信を招きやすい。技術文書の透明性や部品説明の精度が利用者側の安心感に直結することを象徴する事例といえる。