Zoomの何が悪いのか
分からん(無知)
コロナ問題が大きくなるにつれて相対的に需要が増加しているZoomですが最近セキュリティ問題が騒がれているようです。今回はそのZoomについて調べました。
Zoomとは
Zoomはアメリカに本拠地をおくZoom Video Communications が提供するビデオチャットツールです。有名なSkypeと比較してZoomのコンセプトは"Web会議"です。
つまり、複数の大人数で通話することを想定したツールでありビジネス企業ではどんどん需要を伸ばしています。
Zoomでは以下のように各人数を画面内に表示し円滑なビデオ通話機能を提供するようです。
Zoomの特長
Zoomの特長は以下の通りです。
- 接続安定性(最大50人まで利用可能)
- アカウント作成不要で利用可能※会議開催者はアカウントが必要
- 事前準備はURLをクリックするだけでOK
- モバイルアプリあり
- 録画録音機能は有料だが提供されている(Skypeにはない)
- パソコンだけでなく、スマホ・タブレットでも画面共有可能
- ホワイトボードを表示し、全員が共有可能(Skypeにはない)
- ブレークアウトルーム(グールを少人数に分けられる。)
などなど、ビジネス上で必要とされる「会議」において必要な機能などが多数提供されていることや導入・参加の容易さから導入する企業が増えています。
Zoomのここが問題
1. 脆弱性
IPA(情報処理推進機構)のトップページにもある通り、2020年4月3日にZoomの脆弱性対策についての掲示がされています。
ZoomのWindowsクライアントでは、UNC(Universal Naming Convention)パス処理に関する脆弱性が発見されています。
UNCはWindows上の\フォルダ名\ファイル名などの表記法を指します。
悪意のあるユーザの用意したハイパーリンクをクリックすることで認証情報など窃盗・起動などあらゆる危険が起こりえるとのことです。
ともかく最新版にアップデートしましょう。
2. 暗号化
Zoomではエンドツーエンドの暗号化(暗号化を使用する利用者のみがカギを持つことでサービス管理者・プロバイダなどが盗聴できないようにする仕組み)を導入していると謳っていたが実際には違う暗号化であったというもの
Zoomのビデオ通信などはZoom社の暗号カギをもとにZoom社側で復号されるため我々がZoomで会話した内容がZoom社に筒抜けになっている可能性がある。何それ怖い。
3. データ経由
Zoom自体はアメリカの会社ですが、下図の通り中国のデータセンターを経由して処理している部分があります。これの一番の問題は、中国当局が情報開示を要求してきたときZoom側に拒否権がなく中国が自由に情報を参照できてしまうというもの。
今年からコロナにかかわる需要拡大に伴って増設した際に誤って選択されてしまった
とのことだがどこまで本当なのか。。。実は中国とずぶずぶの関係だったり、、、
https://www.itmedia.co.jp/news/articles/2004/05/news010.html から引用
4. Zoom爆弾
英語ではZoom Bombingのこの言葉ですが、要は何かしらの方法で知りえたZoom部屋に突撃して荒らしまわる行為を指します。
記事の中では、会議中にポルノ系の画像を画面共有してくる、暴言を吐き散らすなどおよそ道徳的でない行為に及ぶ方が多いようです。
パスワードを設定するなどである程度リスクは緩和できますが現時点で確実な方法はありません。
Zoomはやめるべきか
今すぐやめましょう!ということにはなりませんが取り扱いはよく考えるべきです。
セキュリティについていろいろ問題があるといわれていますが、使いやすさとセキュリティはトレードオフです。
便利であることには変わりないので、以下に気を付けて利用するようにしましょう。
- 最新版に常にアップデートすること
- Zoom爆弾の被害に合いにくくなるようパスワードを設定する。
- 重要度・機密度が高い会議では利用しない
など
ともかく、扱うツールのメリット・デメリットをよく理解した上で正しく使いましょう。
