Twitter の TL が騒がしいと思ったら NanoKVM 関連でゴタゴタ()があったらしいので私の見解をまとめます.
結論
危険と判断するには材料不足
状況整理
どうやら,いくつか記事が上がっているようなので見てみましょう.3 つピックアップしました.
記事①:中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も|au Webポータル経済・ITニュース
記事②:中国製「NanoKVM」から隠しマイクが発見、中国のサーバーと密かに通信の可能性:格安リモート管理デバイスに潜む深刻な脆弱性と「意図」 | XenoSpectrum
記事③:中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も - GIGAZINE
言ってることはだいたい同じっぽいので,代表して記事②を取り上げます.
以下のような記述がありました.
2025年12月現在、このデバイスを巡って衝撃的なセキュリティレポートが波紋を広げている。発端は、スロベニアのセキュリティ研究者による詳細な分解調査だ。そこで発見されたのは、製品仕様書に一切記載のない「隠しマイク」と、ずさん極まりないセキュリティホールの数々であった。 最も深刻な発見は、ハードウェアレベルで実装された未記載のコンポーネントである。研究者が基板を顕微鏡レベルで精査したところ、わずか2mm × 1mmという極小サイズのSMD(表面実装部品)マイクが実装されていることが判明した。
これについて,以下のように考察していました.
KVMスイッチ(Keyboard, Video, Mouse)の本来の役割は、遠隔地からサーバーの画面操作を行うことである。通常、そこに音声入力機能は不要だ。しかし、NanoKVMには以下の状態でマイク機能が実装されていた。
最初に言っておくとこれは無知蒙昧で的外れな指摘です.よくこんな記事書けましたね.これでお金を貰えるというのだから驚きです.
背景事象を整理しつつ検証する
議論を進める前に,重要な背景についてまとめておきます.
まず,今回議論の場に上がっている NanoKVM は,中国に籍を置く企業である Sipeed が開発しています.そして,NanoKVM は,同社が開発している LicheeRV Nano をベースとしています.
このことは,公式の GitHub リポジトリの README にも記載があります.
NanoKVM is a series of compact, open-source IP-KVM devices based on the LicheeRV Nano (RISC-V).
LicheeRV Nano(長いので以後 RV Nano とします)の製品イメージは以下の通り.いくつかバリエーションがありますが,有線イーサネット対応モデルの LicheeRV-Nano-E の画像を引用・掲載しています.
イーサネット接続用の RJ-45 端子のすぐ近くに MEMS マイクが実装されているのが見て取れます.NanoKVM にマイクが搭載されているのは,ベースとなった RV Nano にマイクが搭載されているからに他なりません.
そして,NanoKVM のファームウェアは,当然ながらベースとなった RV Nano の開発用 SDK を使用して開発されています.元となった RV Nano にマイクが搭載されている以上,SDK にマイクの制御に関わるプログラムが実装されているのは当たり前であり,NanoKVM に実装が含まれていても不思議ではありません.
では,なぜそもそも RV Nano にマイクが載っているのか,ですが,これは使用されているコントローラチップを見ると答えが見えてきます.
RV Nano に使用されているコントローラは,RISC-V ベースの SG2002 であるとの記載が上記 README にあります.
SG2002 は ARM のコアと RISC-V のコアを混載しているなかなかキショい SoC で,想定用途としてネットワーク接続のカメラを意識した設計の SoC となっています.Milk-V Duo に使われている石と言えば伝わる人には伝わるでしょう.上記のブロックダイヤグラムにある通り映像データのハードウェアエンコーダや 16bit PCM 入力(1ch の 16bit ADC のことと推定)がオンチップに載っています.構成から明らかな通り映像入力や音声入力があるのは当然で,その SoC の開発ボードなんだからマイクが載っているのも当然です.NanoKVM は,内蔵の映像エンコーダを使用できるということでこの SoC を,ひいてはこの SoC を搭載した開発である RV Nano を使ったということです.
ハードウェア的に明示的に無効化されておらず,SDK にも制御プログラムがあるのだから,有効化できるのは当たり前です.
先に挙げた記事ではマイクがあることで騒いでましたが,以上を踏まえれば何も不思議な話ではないことは明らかですね.
「中国のサーバと通信している」という話も,そもそも開発元が中国籍の企業なので,「何を当たり前のことを」としかなりません.もちろん懸念事項にはなり得ますが,内容次第なのでまずはそこを見るべきです.
結局内蔵マイクは悪用されているのか
私的見解を述べると,されていない可能性が高いと見ています.
「技術的に可能」なだけで,まだ悪用されていた証拠がありません.そして,筐体自体がマイクを使うことを想定した作りではないので,仮に使えたところで何が得られるのでしょうか.それ以上に表示されている画面の内容や操作状況の方が悪用の余地があるので,まずはそっちを狙うはずです.
第一,皆さんスマホもってますよね.あれにもマイク載ってますよね.それと同じですよ.
スマホにマイクが載っているからといって全てのアプリがマイクを使うかといったらそうじゃないですよね.もちろん,全てのアプリからマイクを使うことはできますが,「使える」のと「使っている」のは別物です.
今回の場合,RV Nano がスマホ本体,NanoKVM がアプリに対応します.
この手の製品を使う人は,当然それなりのリテラシーや技術をもっているはずです.たとえば怪しい通信は遮断する.あるいはそもそも外向きの通信を弾く.DNS を捻じ曲げる.そもそもマイク自体を取り外してしまう.など何でもできますよね.つまりエンドユーザ側で如何様にもできるのです.オープンソースなので材料は揃っています.
え? 本番環境で使ってる? あなたバカなの?
先の記事の最後に,このような記述がありました.
ここで浮上するのは、「これは中国政府によるスパイ活動の一環なのか?」という疑問だ。
ソースコードや開発者の対応を分析からは、これは「悪意」というよりも「極端な怠慢と急造」の結果である可能性が高い。
そもそも開発コストを下げるために既存のモジュールを使用しただけで消し忘れではないし,Sipeed は迅速に対応しています.何が「悪意か、無能か?」だ.無能は筆者お前だ.
余談
本件に関してもそれ以外でも,「中国メーカだから叩いて良い」という風潮や,それに呼応した悪意を感じる記事をよく目にしますが,これはあるべき姿ではありません.国内企業にも批判すべきところはありますし良い企業もありますが,これは中国でも変わらないしアメリカであってもそうです.
全ての事象について,重要となる背景を見逃すことなく,正しく批判できる社会であることを望みます.
しかし,中国企業だからというだけで警戒心を持つということ自体は理解できます.事実,現在の中国政府の意向があの様子である限り,ある程度強めに警戒するのは自然です.
ただ,その意識に支配された結果重要なことを見落とすことはしないでください.
余談 2
本件に関連する Sipeed 公式の投稿を見つけたので貼っておきます.
Thank you @geerlingguy , for providing this valuable clarification to the community!
— Sipeed (@SipeedIO) 2025年12月9日
The sensational article was originally published 10 months ago. Regardless of the author's specific intent, we immediately reviewed the device and modified certain behaviors that, while…
Thank you @geerlingguy , for providing this valuable clarification to the community! The sensational article was originally published 10 months ago. Regardless of the author's specific intent, we immediately reviewed the device and modified certain behaviors that, while technically harmless, were perceived as "suspicious" by some users, particularly those sensitive to devices originating from China. We took these steps to address those psychological concerns. While we published detailed, professional documentation addressing these points, the technical complexity often prevents the average user from fully understanding the facts. Consequently, users are often more easily influenced by emotional social media articles and videos. Since the #NanoKVM's release, we have received valuable support from community developers via Pull Requests, as well as good-faith disclosures of genuine vulnerabilities from various security organizations. We are committed to responding to and fixing these issues promptly. Finally, we would like to remind users that rather than attempting to find "absolutely secure" or "non-Chinese manufactured" devices—a quest often misled, as even competing products like JetKVM and GL.iNet KVM are manufactured in Shenzhen, China—the most effective defense lies in learning and properly configuring network isolation and security measures.
以下 LLM による翻訳
このセンセーショナルな記事は元々10ヶ月前に公開されました。著者の具体的な意図にかかわらず、私たちはすぐにそのデバイスをレビューし、技術的には無害ではあるものの、一部のユーザー、特に中国製のデバイスに敏感なユーザーから「怪しい」と見なされた特定の動作を修正しました。私たちはこれらの心理的な懸念に対処するためにこれらの措置を講じました。 これらの点を扱った詳細で専門的なドキュメントを公開したものの、技術的な複雑さはしばしば一般のユーザーが事実を完全に理解することを妨げます。その結果、ユーザーは感情的なソーシャルメディアの記事や動画の影響を受けやすくなっています。 NanoKVMのリリース以来、私たちはPull Requestsを通じてコミュニティの開発者から貴重なサポートを受け、またさまざまなセキュリティ組織から真正の脆弱性に関する善意の開示を受けています。私たちはこれらの問題に迅速に対応し、修正することに取り組んでいます。 最後に、ユーザーの皆さんに思い出していただきたいのは、「絶対に安全な」または「中国製でない」デバイスを探す試み - JetKVMやGL.iNet KVMのような競合製品でさえ中国の深圳で製造されているため、しばしば誤った方向に導かれる探求 - ではなく、最も効果的な防御はネットワークの分離とセキュリティ対策を学び、適切に設定することにあるということです。
最後の一文,ものすごく大事なことなので再度引用します.
Finally, we would like to remind users that rather than attempting to find "absolutely secure" or "non-Chinese manufactured" device the most effective defense lies in learning and properly configuring network isolation and security measures.
最後に、ユーザーの皆さんに思い出していただきたいのは、「絶対に安全な」または「中国製でない」デバイスを探す試み(中略)ではなく、最も効果的な防御はネットワークの分離とセキュリティ対策を学び、適切に設定することにあるということです。
