2019年12月には世界で1000万人しか利用していなかったWeb会議Zoom。2020年3月には2億人が利用することになり、「安全面」への指摘も急増しています。なにが危険なのかみてみましょう。
ビデオ会議に乱入されるZoom爆弾
先日日本のニュースでも話題となりました。Zoomでビデオ会議を開始する時に参加者にビデオ会議参加用のURLを通知しますが、この時ビデオ会議参加用のパスワードを設定していないと、URLさえ知っていれば誰でもビデオ会議に参加することが可能になり(たとえURLを知らなくてもランダムでアクセスしてくる)、乱入者が暴言を叫んだり、露出行為を行う等が問題視されています。
FBIやニューヨークの大学でZoomの使用を禁止する動きは、このZoom爆弾がきっかけのようです。
ただし当記事執筆時において、Zoom爆弾はビデオ会議主催者側がパスワードを設定したり待機室を利用するなどの方法で、リスクを緩和することが出来るようになっています。
パソコンの情報を不正に取得される脆弱性
Windows版クライアントのチャット機能に、UNC(Universal Naming Convention)パスの処理に関する脆弱性が存在することが確認されていました。
これは、サイバー攻撃者が準備した悪意の有るハイパーリンクをクリックすると、Windowsの認証情報を盗まれたり、任意の実行可能ファイルを起動されることが可能になるというものです。
ただし、Zoomクライアント 4.6.9にアップデートすることでこの問題は解決されています。
暗号化に関する懸念
Zoom社は当初Zoomにおける通信は「エンドツーエンドの暗号化によって保護されている」と謳っていましたが、セキュリティ業界からZoomの暗号化はエンドツーエンドの暗号化ではないのではないか?との指摘を受けました。「エンドツーエンドの暗号化」とは、ビデオ通信をしている二台のパソコンがあった場合に、この二台のパソコン以外から暗号化を復号化する手段が存在しない状態を指します。
しかし、Zoomのビデオ通信では暗号化鍵はZoom社が保有する暗号化鍵を用いて暗号化を実施しているため、Zoom社のサーバ内に保存されたビデオ会議の録画データを「技術的には」Zoom社が復号化できることを意味していました。
この事についてZoom社は、「暗号化レベル自体はSaaSとしては一般的なレベルであるが、「エンドツーエンドの暗号化」ではなかったことは事実」として謝罪しています。
ユーザデータの取り扱い
Zoom社は、ユーザーの承諾を得ずにユーザーの情報をFacebookに送信しているとして、米国で集団訴訟を起こされています。Zoom Appを起動したタイミングでFacebookに対して、Zoomユーザーが接続している都市とタイムゾーン、Zoomユーザーが使用している電話会社情報等を送信しているというもの。また、カナダのトロント大学の調査報告によると、中国にデータを送信しているとも指摘されています。
これに対し、4月18日から会議の経由リージョンを無料ユーザーは中国のサーバを経由することはない仕様となるほか、有料プランユーザーは、会議の経由リージョンをカスタマイズできるようになりました。
■Zoomの利用は控えるべきか?
以上4点が、問題として大きく取り上げられた点となります。
暗号化やZoom爆弾は、以前からも度々指摘されていたものですが、ユーザー数が少ないうちは表面だって問題視される世論になっていませんでしたが、2億人が使う社会インフラの一部になったことが、問題を表面化させたともいえます。もちろん、表面化しなければいいという事でもないのですが、実際どこまで危険なのかと客観的に考える必要はあります。
例えば、公開前の一部上場企業のIRや、個人情報を含むマーケティングデータの共有等は避けておくべきものでしょう。ただ、これも外部に漏れるという事ではなく、現在のZoom暗号化の仕組みでは、Zoom社自身に復号化され悪用?されるリスクが存在するという事です。
ユーザー情報をFacebookに送信しているという点も、Facebook使っていないユーザーもという点が問題とされていますが、接続している都市とタイムゾーンと電話会社情報等がFacebookに知られては困るのでFacebookを利用していないのだ!という人以外は・・・と捉えることもできます。
Zoomに限らず、パソコンソフトやITサービスは、不完全な状態で製品化されていることが非常に多い製品です。Windowsにしたって、毎年どころか年に何回も勝手にWindowsUpdateが掛かってますよね。問題なく製品化されているソフトの方が少ないといってもいいくらいです。なので、常に最新版を使用することが、パソコンを利用するうえで、まず気を付けなくてはいけないことです。
そして、セキュリティの問題は、データの重要度に応じて安全対策を検討する必要があります。毎年ニュースになるのが、顧客情報の流出。でも、本当にソフトのセキュリティーホールで顧客情報が流出したというのは極一部。一番多いのは、顧客情報の入ったパソコンを忘れてきたとか無くしただとかの人為ミスです。
ビデオ会議の利便性が優先される案件なのか、よりセキュリティに配慮された仕組みが優先されるべきなのか、必要とコストにあった選択を客観的に検討するべきなのです。
例えば、リアル例会とオンライン例会を同時に行う場合、音声を上手く組んであげないと、ハウリングが起きてしまいます。そんな問題を解決する一式を組み上げたうえでお届けすることも可能です。
一緒にスピーカーもとか、カメラを2台にしたいとか。オペレーターもとか。
まずはあなたの困っていることをご相談ください。
上田一生
(公益財団法人東京動物園協会)
【ゲスト】
芦刈さま(サンシャイン水族館)
井上さま(しものせき水族館海響館)
佐々木さま(埼玉こども動物園)
堀田さま(須磨海浜水族館)
笹森研究員(元極地研・南極越冬隊)
鈴木研究員(教員)
鈴木研究員(農家)
冨田研究員(映画監督)
先日は『世界ペンギンの日』に、動物園・水族館でペンギンの飼育・展示に従事される方々をZoomで繋ぎ、ペンギンについて語り合うフォーラムを開催しました。そしてその模様をYouTubeLiveで生配信いたしました。動物園・水族館が自粛休業している今だからこそのフォーラムです。
500名以上の方々に視聴いただき、コメントやTwitterなどからリアルタイムに質問を受け付け、その場で答えてもらったりと相互のやり取りもできたのではないかと思っております。