はじめに
Zoomの導入を検討されている企業の方、もしくは既にZoomを導入されている方の中には、「Zoomのセキュリティって安全なの?」と疑問を持たれている方も多いのではないでしょうか。
Zoomのセキュリティに関する問題は、新型コロナウイルスの影響により、世界的にZoomの利用者が急増した2020年3月ごろからアメリカを中心に指摘されるようになりました。
Zoomが明記していたセキュリティ対策が、実際には実装されていなかったことも問題を大きくした原因の一つです。
ユーザーからのZoomへのセキュリティの懸念が高まったことにより、Zoomはミーティング機能そしてウェビナー機能のアップデートを開始。2020年7月までにセキュリティを強固にする様々な機能が実装されています。
本記事では、Zoomのセキュリティにはどのような問題があったのかを解説すると共に、2020年7月までに行われたZoomの対策について解説をしていきます。
Zoomのセキュリティは2020年4月のアップデートで、強固に
Zoomはかつてから、セキュリティの脆弱性に関する問題点が指摘されていましたが、2020年4月に複数回のアップデートを実施。「Zoom 5.0」へのバージョンアップを行い、セキュリティを強固なものにしました。
セキュリティに関する指摘は、アップデートにより収束に向かっており、現在では企業が最も安心して導入できるWeb会議ツールの1つになっていると言えるでしょう。
また同年4月には、Zoom社の経営陣からお客様に向けての声明文が発表されました。
声明文には、「Zoomは、業界で一番安全なビデオファーストコミュニケーションプラットフォームを開発し、大切なお客様に引き続き満足していただけるよう尽力しています。」と明言されており、Zoomはセキュリティを更に強固なものにするために、今後も多くの機能が追加される予定であることが示されています。
指摘されていたZoomのセキュリティの問題点
Zoomを正しく安全に使うためにも、Zoomのセキュリティに関して、どのような問題点が指摘されていたのかを知っておく必要があるでしょう。
Zoomのセキュリティ問題で大きく指摘されているのは、以下の5つの問題です。
- Zoomのユーザー情報がFacebookに送信されていた
- 参加者のプライバシーを侵害する恐れ
- 第三者が勝手にミーティングに参加する恐れ
- Windowsユーザーのパスワードが盗まれるの可能性
- エンドツーエンドの暗号化がなされていない可能性
ここからは、上記で挙げた問題点の詳細と、Zoomが実施した対策について解説をしていきます。
1.Zoomのユーザー情報がFacebookに送信されていた
iOS版のZoomアプリを起動する際に、ユーザーの情報をFacebookに同意なく送信されてしまう問題点が指摘されました。
これはZoomアプリに、Facebookアカウントでログインができるように「Facebook SDK」を採用したことにより、ユーザーのIPアドレス・使用端末・通信キャリアなどが転送されてしまっていたことが原因になっています。なお、Facebook SDKが収集していた情報に、参加者の氏名など個人を特定する情報は含まれていません。
実際に2020年3月には、Zoomのユーザーが、本人の同意なしにデータが転送されるのは米カルフォルニア州のデータ保護法に違反するとして、Zoom社を相手に集団訴訟を起こし、日本でも大きな話題を呼びました。
Zoom社はアップデートにより対応を行い、「Facebook SDK」を削除しながらも、Facebookアカウントでログインできる体制を再構築しました。ただし、旧バージョンのZoomアプリを利用する場合には適応されない可能性があるため、「Zoom 5.0」へのバージョンアップが必要になってきます。
参考:Zoomの iOS クライアントでの Facebook SDK 利用について - Zoom Blog
2.参加者のプライバシーを侵害する恐れ
Zoomのミーティングもしくはウェビナーの参加者が、Zoomから30秒以上視線を逸らしている場合、ホスト(管理者)に通知がいく「アテンショントラッキング」の機能がありました。
ミーティングやウェビナーに集中して参加しているかをホスト側が確認するために設けられた機能でしたが、ユーザーからは監視されているようでプライバシーの侵害にあたるとして非常に不好評でした。
また、アテンショントラッキングの機能の存在をZoomが十分にユーザーに告知しておらず、知らず知らずの間に監視されていたことも批判が大きくなった要因です。
2020年4月4日のアップデートにより、アテンショントラッキング機能は削除され、現在はホスト側がこの機能を利用することはできなくなっています。
3.第三者が勝手にミーティングに参加する恐れ
ミーティングやセミナーに関係のない第三者が勝手に参加してしまう「Zoom爆弾(Zoom Bombing)」と呼ばれる荒らしの問題が指摘されていました。
実際に日本の大学でもZoomを使ったオンライン授業を実施している最中に、第三者が招待URLを入手し、勝手に授業に参加。チャットルームを荒らす、不快な画像を共有するなどといった問題が報告されています。
このような問題を受け、Zoomはホスト側が参加者の入退室を管理できる「待合室」機能の設定をデフォルトでオンにするといった対策を講じました。またパスコードを必ず設定するといった対策を行うことによって、Zoom爆弾を防ぐことができます。
4.Windowsユーザーのパスワードが盗まれる可能性
Windows版のZoomアプリを使用すると、ハッキングの被害に合う可能性を否定できず、パスワードが盗まれる可能性があるという指摘がされていました。
Zoomのミーティングでは、参加者同士がグループチャットでテキストメッセージを送り合うことができます。このグループチャットを利用して、不正なリンクを共有することにより、クリックしたユーザーのIDやパスワードなどの認証情報が盗まれてしまうという問題です。
こちらの問題もZoom社は迅速に対応を行い、アップデートにより、2020年3月に解決されています。
5.エンドツーエンドの暗号化がなされていない可能性
「エンドツーエンド暗号化(E2E)」とは、通信を行う二者のみがデータの暗号化と復号を行うことができ、接続事業者や通信サービスの運営者であっても、通信内容を覗き見できないシステムのことを指します。
Zoom社は、「Zoomのミーティングはエンドツーエンドで暗号化されている」と表記していたものの、実際はエンドツーエンドの暗号化がなされておらず、Zoom側がユーザーの情報を閲覧できる状況になっていることが明らかになりました。
例えば、Zoomのオンラインミーティングでやり取りをした企業の機密情報が、Zoom側に見られてしまうという可能性があるシステムだったのです。
この問題を受けて、Zoom社は、一般的なエンドツーエンドの暗号化がなされていなかったことを認め、ユーザーへの謝罪を行いました。現在、無料プランを含め全てのユーザーは、エンドツーエンドの暗号化の設定を有効化することが可能です。
参考:ミーティング・ウェビナーの暗号化について (翻訳版) - Zoom Blog
最後に
本記事では、Zoomのセキュリティ・脆弱性問題とその対策について解説をしてきました。
Zoomは、2020年3月ごろからセキュリティに関するユーザーからの指摘が相次いだのは事実です。しかし、アップデートにより改善を行い、今や他のWeb会議ツールと比較しても、厳重なセキュリティ性を誇るツールの1つになりつつあります。
コメント
0件のコメント
記事コメントは受け付けていません。