新型コロナで人気の「Zoom」が抱える問題...セキュリティ保護は大丈夫なのか?

Motherboardは、Zoomが「少なくとも数千人の」をメールアドレスを漏洩したと報じ、その理由を個人のアドレスが自社の所有物のように扱われていたためだと指摘している。
Open Image Modal
画像
TechCrunch Japan

新型コロナウイルス(COVID-19)のパンデミックのおかげで、ビデオ通話は新奇なものから必需品へと変わった。人気ビデオ会議サービスのZoom(ズーム)は、いちはやく他を引き離して最も使われているサービスになっている。

しかし、それでいいのだろうか?

最近のZoom人気は、同社のセキュリティー保護やプライバシーに関わる問題に改めて光を当てた。米国時間3月31日、The InterceptはZoomのビデオ通話は、同社の主張とは異なり、エンドツーエンド(終端間)暗号化が行われていないと報じた。

そしてMotherboardは、Zoomが「少なくとも数千人の」をメールアドレスを漏洩したと報じ、その理由を個人のアドレスが自社の所有物のように扱われていたためだと指摘している。

以上は、2019年にその運営状態や誤解を招くマーケティングに対して集中砲火の後始末に明け暮れた会社のごく最近の事例だ。

  • Apple(アップル)は、ZoomがユーザーのMacに秘密のウェブサーバーをインストールしていたのを公表しなかったことを1人のセキュリティー研究者が発見した。その後、数百万台のMacの安全を守るためにアップデートをプッシュ配信せざるを得なかった。そこにサーバーがあったのはユーザーがアンインストールした際にZoomが削除しなかったためだった。問題を発見した研究者であるJonathan Leitschuh(ジョナサン・レイチュア)氏は、ウェブサーバーが存在するということは、あらゆる悪意あるウェブサイトがZoomのインストールされたMacのウェブカムをユーザーの承諾なしに起動できることを意味していると語っている。レイチュア氏はバグ報奨金の受け取りを拒否した。なぜならZoomはレイチュア氏に対して守秘義務契約書への署名を要求し、同氏がバグの詳細を公表できなくなるためだったからだ。

  • Zoomは、ユーザーのZoomの利用習慣に関するデータを密かにFacebookに送っていた。そのユーザーがFacebookアカウントを持っていなくてもだ。Motherboardによると、ZoomのiOSアプリは、ユーザーがアプリを開いた際、デバイスのモデル名、通信会社名などをFacebookに知らせていた。Zoomは指摘を受けてそのコードを削除したが、時すでに遅く、集団訴訟やニューヨーク州検事総長の捜査を免れることはなかった。

  • さらにZoomはシステムの「参加者追跡機能」を巡って再び炎上した。同機能を有効にすると、会議のホストは参加者が通話中にZoomのメインウィンドウを離れたかどうかをチェックすることができる。

  • あるセキュリティー研究者は、Zoomが「いかがわしい」テクニックを使ってユーザーの介入なくMacアプリをインストールしていたことを発見した。「macOSマルウェアが使っているのと同じトリックだ」と研究者は言う。

  • 明るい面、そして一部のユーザーを安心させる話題としてTechCrunchが報じたのは、Zoomのビデオ通話にアプリをダウンロードせずに参加することが実は可能であるという事実だ。 しかし、Zoomは「陰湿な手口」によって、ブラウザーのみでは容易にビデオ通話を開始できないようにしている。

  • Zoomは警察当局から受けた要求に関する透明性の欠如を問題視されている。プライバシー権利団体のAccess NowはZoomに対して警察から要求を受けた回数の公開を求めた。Amazon(アマゾン)、Google(グーグル)、Microsoft(マイクロソフト)をはじめとする多くの大手テック企業が半年に一度報告しているのと同じように。

  • そしてZoomBombing(ズームボミング/ズーム爆弾)が起きた。「トロール(荒らし)」が、オープンで保護されておらずデフォルト設定の脆弱なビデオ会議に侵入し、画面共有を乗っ取りポルノや露骨な画像を送りつける行為だ。今週FBIは、トロールがビデオ通話をジャックできないように設定を変更するようユーザーに警告した。

  • そしてZoomは今週、プライバシーポリシーを強化した。 ユーザーの会議に関する情報(ビデオ、文字起こし、共有されたメモなど)を広告のために収集できるようになっていたことへの批判を受けたためだ。

Zoomに代わるプライバシーに配慮された選択肢はたくさんある。 ただし、いくつかある選択肢にはそれぞれ弱点がある。FaceTimeとWhatsAppはエンドツーエンド暗号化されているが、FaceTimeはApple製品でしか使えず、WhatsAppは同時に4名しかビデオ通話できない。あまり知られていないビデオ通話サービスであるJitsi(ジッツィ)はエンドツーエンド暗号化を使用していないが、オープンソースなのでコードを見てセキュリティーのバックドアがないことを確認できる。かつ、あらゆるデバイスやブラウザーで動作する。Jitsiを自分で管理するサーバーで動かせば高いレベルでプライバシーを守ることができる。

公平を期すためにいうと、Zoomは本質的に悪いというわけではなく、これほど人気がある理由はたくさん有している。簡単に使えて、信頼性が高く、大多数の人にとって驚くほど便利だからだ。

しかしZoomの誤解を招く主張はユーザーに誤ったセキュリティーとプライバシーの感覚を与える。バーチャル飲み会やバーチャルヨガ教室を主催するのであれ、Zoomを使って治療や政府の閣議を行うのであれ、プライバシーを守る権利は誰にでもある。

今やZoomはユーザーに対するこれまでにないほどの責任を負っている。当面は、Zoomは各自の責任で利用しよう。

関連記事: