インターネット上で多くのユーザーがつながれるコミュニケーションツール、Zoom。
パソコンやスマートフォン、タブレットなど、どの端末でも使える便利なツールですが、利用者が急増したことでセキュリティに関する問題が表面化していました。
指摘を受けてZoom側は早急に対応することを発表しましたが、果たしてZoomのセキュリティ面は改善されたのでしょうか。
この記事では、Zoomが短期間のうちに人気を集めた背景を解説したうえで、Zoomが指摘されたセキュリティ面の問題とZoom側の対応、そして対応後の状況についてご紹介します。
目次
Zoomが人気を集めている背景
新型コロナウイルスが巻き起こしたパンデミックにより、会社へ行かず自宅で仕事をするビジネスマンが多くなりました。
直接顔を合わせることができない状況の中、それでも会議や商談を行わなければ業務に支障をきたします。
そこで注目を集めたのが、インターネットを介してコミュニケーションが図れるWeb会議ツール、Zoomです。
Skypeと違ってビジネス仕様に設計されているZoomは使い勝手が良く、またたく間に利用者数が増加しました。
Zoom社のエリック・ユアンCEOの発表によれば、Zoom会議に参加した1日あたりの人数は2019年12月では約1,000万人でしたが、2020年3月には2億人を超えました。
利用者数が3ヵ月で20倍に膨らむという驚異的な成長の背景には、新型コロナウイルスの世界的流行があったと考えられます。
参照:A Message to Our Users – Zoom Blog
Zoomに指摘されたセキュリティ面の問題とZoom側の対応
利用者数が急激に増加した後、2020年の3月から4月にかけて、Zoomのセキュリティ面を危惧する指摘が各方面から相次ぎました。「暗号化方式が公表している内容と異なるのではないか」「ユーザーの個人情報が危険にさらされているのではないか」といった声があがり始めたのです。
これらの指摘を受けてZoom側は早急に対応することを約束し、セキュリティ面の問題を解決するべく動き出しました。そして、2020年4月27日には「Zoom5.0」へのバージョンアップを行い、現在では指摘された問題がほとんど解決したと考えられています。
参照:New Updates for Chrome OS – Zoom Help Center
Zoomが抱えていたセキュリティ面における問題
それでは、指摘されたセキュリティ面の問題とはどのようなものだったのでしょうか。
ここからは、Zoomが抱えていた問題についてさらに詳しくご紹介します。
暗号化方式が厳密にはエンドツーエンドではなかった
エンドツーエンド暗号化とは、送信者と受信者のみが暗号化されたデータを復号できる、セキュリティ度の高い暗号化方式です。
Zoomはこのエンドツーエンド暗号化によってユーザーの情報を守っていると発表していましたが、厳密には異なる方式であったことが判明しました。つまり、Zoomのサーバーが暗号鍵を保持する仕様になっており、暗号鍵が流出すれば会議の内容を傍受される恐れがあったのです。
この問題を受けてZoomはプライバシーポリシーを更新し、サービスの提供以外の目的でユーザーの会議データを使用することはないと明言しました。
さらに、暗号化アルゴリズムを従来の「AES-256 ECB」から「AES-256 GCM」へ移行することで、より強固なセキュリティを構築しました。
iOS環境でZoomを使ったユーザーの情報がFacebookに送信されていた
iOSアプリからZoomを利用したユーザーの情報が無断でFacebookに送信されていたことも指摘された問題点の一つです。ZoomにはFacebookアカウントを利用してログインする機能が実装されていますが、この機能が誤作動を起こしたことが原因だといわれています。
収集された情報は使用しているデバイスや通信会社の名前などで、個人情報とはいえないものでしが、Facebookアカウントを持っていないユーザーのデータまでFacebookに送られていたという点は大いに問題視されました。
指摘を受けてZoomはプログラムを修正し、それ以降同じような問題は起こっていません。
アテンショントラッキング機能を使って参加者の動向を監視できた
従来のZoomには「アテンショントラッキング機能」が実装されていました。
アテンショントラッキング機能とは、参加者がZoomの画面から30秒以上目を逸らしていると、ホストに通知が送られるというものです。
この機能に対して「参加者を不必要に監視するものだ」という批判が集まりました。
その結果、Zoomはアテンショントラッキング機能を削除しました。
「Zoom爆弾」と呼ばれる荒らし行為が発生した
「Zoom爆弾」とは、会議に招待されていない第三者による不適切な発言やいたずら書き、ポルノ画像の投稿といった荒らし行為のことです。
Zoomでは、ホストから送られたURLをクリックすれば誰でも会議に参加できます。
このURLをインターネット上で公開するいたずらを行うユーザーが現れ、不特定多数の人間が会議に参加できる状況が生まれていたのです。
「Zoom爆弾」は、Zoomにもともと備わっている機能を活用すれば防ぐことができます。
例えば、待合室機能を使えば会議に参加しようとしているユーザーの身元をホストが確認でき、安全だと判断した段階で会議を始められます。
また、会議にパスワードを設定する、後から参加できないようにロックをかける、といった対策でも「Zoom爆弾」は防止可能です。
Windowsユーザーの認証情報が盗まれる可能性があった
WindowsのZoomアプリにはセキュリティ上の脆弱性があり、条件がそろうとチャット機能で不正なプログラムを起動することができました。
そのため、Windowsユーザーの認証情報が盗まれる可能性がありましたが、この問題は2020年3月下旬のバージョンアップによって解決されました。
まとめ
2020年の3月から4月にかけて指摘が相次いだZoomの問題点は、バージョンアップなどの対応によってほとんど解決されています。とはいえ、今後も同様の問題が起こらないとは限りません。
Zoomを利用するときは、なるべく最新のバージョンに更新してから使うようにしましょう。
また、Web会議にはパスワードを設定して、会議中はロックをかけることで「Zoom爆弾」も効果的に防ぐことができます。
インターネット上では常に情報漏洩のリスクが存在するということを忘れずに、万全のセキュリティ対策を整えてZoomを利用しましょう。
この記事をシェアする