TechRepublicのレポートによると、スタッフによるZoomの使用を禁止する著名企業や政府機関が増えている。この傾向は、セキュリティ技術者として講演や著作活動をしているBruce Schneier氏が先日述べた、Zoomのセキュリティとプライバシに関する問題に対応するものだ。氏は一連の問題を、"(1)プライバシプラクティス上の問題、(2)セキュリティプラクティス上の問題、(3)ユーザコンフィギュレーションの問題"という3つに分類して説明している。これに対してZoomは、CTOのEric Yuan氏による公開書簡という形式で、ユーザに対して説明を行っている。Yuan氏は、Zoomの現在のセキュリティ設定についてのユーザ指導を拡充すると同時に、セキュリティ問題に取り組む間フィーチャーフリーズすることを公約した。
このような逆風に対して、Zoomは先頃、プライバシとセキュリティを強化する90日間のイニシアティブを発表した。同社は現在、Facebookの元チーフセキュリティオフィサのAlex Stamos氏とのコラボレーションの下で、90日間にわたるプラットフォームの"包括的セキュリティレビュー"を行っていると説明している。同社はStamos氏に対して、"クラス最高のコントロールとプラクティス"の実装の支援を期待している、と述べている。それにも関わらず、台湾政府やGoogle、Nasa、SpaceX、オーストラリア国防省はZoomの使用を全面的に禁止した、とTechRepublicは伝えている。
元NSAのセキュリティ研究者であるPatrick Wardle氏は先日、自身がZoomで発見した、ユーザのコンピュータ上での権限昇格に利用可能な、2つの重大な脆弱性について詳細な説明を行った。Zoomは先頃の4月2日リリースで、これらの問題をいずれも修正している。Wardle氏は、Zoomインストーラが他のマルウェアなど"悪意への加担者(malicious party)"によって利用され、コンピュータに対する権限をより多く提供することになる点をデモしてみせた。さらに、既存のマルウェアに対して"ユーザのWebカメラやマイクへのアクセスを可能にする"という、"ローカルアクセスに関する悪意への加担者"が可能になる脆弱性もデモした。
またShcneier氏は、Webサイトで"エンドツーエンドの暗号化"を使用しているというZoomの主張は、その一般的な意味から誤解を招く恐れがあるという、最近になって発覚した件についても記している。氏の説明によれば、Zoomは単にトランスポート層のセキュリティを提供しているに過ぎず、"自社サーバ上ではすべてが暗号化されてはいない"。現在のZoomのWebサイトでは、"エンドツーエンドの暗号化による安全なミーティング"から、"暗号化による安全なミーティング"に表記が変更されている。
Schneier氏はさらに、トロント大学シチズンラボ(Citizen Lab)の研究者による、Zoomのトランスポート層暗号の強度に関する先日の調査についても言及した。報告書によると、"Zoomは独自の暗号化スキームを運用しており、その強度は著しく低い"という。レポートを著したBill Maczak、John Scott-Railton両氏は、"AES-256"暗号化スキームを使用しているというZoomの主張とは異なり、アプリケーションのビデオストリームでは、実際には単一の"AES-128キー"が"ECBモード"で使用されていることを報告している。両氏はこれを、"プレーンテキスト内のパターンが暗号化中も保持されるため、推奨できない"とした上で、さらに次のように述べている。
私たちの試したAES-128キーは、インターネットトラフィックから傍受したZoomパケットを復号化するのに十分なものでした。これらのキーはZoomサーバによって生成されたものらしく、場合によっては、ミーティング参加者や加入企業がすべて中国以外にいるにも関わらず、中国にあるサーバを経由してミーティング参加者に配布されています。
Zoomは現在、非Facebookメンバを含むユーザのiOSユーザデータをFacebookと共有したことで影響を受けたユーザによる、カリフォルニア州での集団訴訟にも直面しているプライバシに関わるこのニュースは、ZoomのiOSアプリケーションが個人データをFacebookにリークしていたことを、Motherboardが発見したために明らかになった。Zoomの主張としてViceが伝えた情報によると、同社はFacebookのSDKによるデータ収集を意識していなかったため、即座にこれを修正したということだ。自社アプリケーションの挙動に関するこの習熟不足をShcneier氏は強く非難しており、Zoomの"対応は、同社のお粗末なコーディングプラクティス全般について憂慮されるべきものだ"、と述べている。
Vergeは先頃、LinkedInが行った同様のデータプライバシ問題のフィックスについてレポートした。これは、Zoomがユーザ向けにLinkedInのデータを収集していることを明らかにした、New York Timesの報道に対応してリリースされたものだ。匿名IDによるユーザの個人情報がミーティングホストに公開されていたのだ。
"Zoom, Google Hangouts attract phishing and malware hackers: how to protect yourself"と題された記事では、LapTop MagのKimberly Gedeon氏が、covid-19のパンデミックに伴って"zoom"という単語を含むドメインの登録数が急増しているという、Check Point Researchのグラフを紹介している。
フィッシング攻撃を通じてZoomユーザを狙う悪徳業者"パンデミックプロフィッタが増加している"ことが確認できる、とGedeon氏は記している。氏によれば、Zoomユーザが攻撃の中心となっている一方で、Check Pointの研究者たちは、"Google HangoutsやGoogle Classroomなど、人気のある他のカンファレンスプラットフォームを利用する日和見主義者"の存在についても確認している。
TechCrunchは、オーストラリア国防省がZoomの使用を禁じた理由のひとつとして、ある会議中にオーストラリアのコメディアンが行った"zoombombing(ビデオ爆弾)"があったことを伝えている。TechCrunchは他のzoombombingについても伝えており、Vergeの記者間で行ったHappy Hourが、乱入した招かざる画面共有者による"邪魔な画像"で"爆撃"された例を紹介している。Scneier氏は言う。
ZoomのミーティングIDには十分な長さがなく、ミーティングを見ていてランダムに試す者を防止できないことは明らかです。これは今分かったことではありません。Checkpoint Researchが今年の夏にレポートしていたことです。Zoomはやるべきこと --- ミーティングIDをもっと長くするか、あるいは複雑なものにする -- ことをせず、ただパスワードをデフォルトで有効にしただけでした ... 現在ではZoomミーティングを検索する自動ツールまであるのです。
英国のBoris Johnson首相が先日ツイートした写真も、個人的なミーティングIDが偶然に公開されるリスクを明らかなものにしている。このような不注意を防止するため、Zoomがアップデートをプッシュアウトした、とVergeは伝えている。その他のリスクとは違ってzoombombingは、ミーティングをセキュアにするZoomのガイダンスに従えば低減可能である。
Schneier氏が要約したZoomのセキュリティアドバイスは、ミーティングIDの共有を最小限にすること、ミーティングのパスワードを有効にすること、待機ルームを利用すること、の3つだ。さらに氏は、"誰が何の許可を持っているかに注意を払う"よう、ユーザに呼び掛けている。これにGedeon氏が、"Zoomソフトウェアの定期的アップデート"を付け加えている。さらに氏は、"似たようなドメインやインストレーションファイル"にかかわるフィッシング攻撃にも注意するよう、ユーザに呼び掛けている。Schneier氏は言う。
Zoomにはたくさんのオプションがあります。デフォルト値はあまり望ましいものではないため、ミーティングを適切に設定しなければ、あらゆる種類の被害を受ける可能性があります。
Yuan氏は手紙の中で、現在のパンデミックの期間中に、Zoomはそれまでの1,000万ユーザの規模から、"2億以上"の日毎会議へと唐突にスケールした、と記している。氏は警告する。
昨年の12月末時点で、Zoom上で実施される日次ミーティング参加者の最大数は、無償と有償を合わせて約1,000万人でした。今年3月には、有償と無償を合わせて、日次ミーティングの参加者が2億人を越えています。すべてのユーザ — 新旧および大小を問わず — が常に連絡を取り合って運用できるよう、私たちは24時間体制で取り組んでいます。