Yahoo!ニュース

Zoomのセキュリティ強化が続く。90日後には使い勝手の良さとセキュリティが両立する可能性も。

大元隆志CISOアドバイザー
Zoomがセキュリティ対策強化を継続している。

 Zoomは世界中のセキュリティ専門家から脆弱性を指摘されていたが、4月に入り既に3回のバージョンアップを実施。世界中のセキュリティ専門家による脆弱性診断により急速にセキュリティが強化されている。

■急成長の中でセキュリティが指摘されたZoom

 2011年に設立されたZoom。Zoomが所属する会議ソリューションの中では後発のスタートアップであったが、その使い易さから市場に受け入れられ、ガートナーのマジック・ クアドラント2019年の会議ソリューション部門リーダに位置づけられるまでに成長した。順調に会員数を伸ばし2019年末には有料会員数が1000万人に到達。

 2020年に入り新型コロナウィルスによる世界的な経済自粛によりオンライン・ビデオ会議ソリューションニーズが急増。2020年3月には有料/無料会員含めて一日2億人が利用するサービスへと急激な需要増に対応しなければならない状況に陥った。そして、市場でZoomに関する関心が急増し、セキュリテイに関する指摘報道が急増することになった。

■セキュリテイ問題発生後のZoomの取り組み

 2019年3月以降、Zoomは様々なセキュリテイ対策に取り組んでいる。これまでの主なセキュリティに関する指摘と、Zoomの対策を見てみよう。

 ・3月18日、Techcrunchに"Beware of ZoomBombing:screensharing filth to video calls"と題した記事が投稿され、これ以降様々な媒体で"ZoomBombing"が取り上げられた。Google Trendsでも3月19日以降ZoomBombingという検索ワードが増加していることがわかる。

zoombombingの検索数の推移。3月19日から検索されるようになり4月3日にピークを迎えた。出典:Google Trends
zoombombingの検索数の推移。3月19日から検索されるようになり4月3日にピークを迎えた。出典:Google Trends

 ・3月20日、Zoomは、同社ブログにて「How to Keep Uninvited Guests Out of Your Zoom Event」という記事を公開。ZoomBombingから会議を守る設定のベストプラクティスを公開。

 ・3月26日、マザーボードのJoseph Coxが"Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account"という記事を投稿し、Zoom iOSアプリがFacebookに分析情報を送信していると警告した。

 ・3月27日、Zoomは、同社ブログにて「Zoom’s Use of Facebook’s SDK in iOS Client」という記事を公開。マザーボードの指摘は「Login with Facebook」機能を有効にするためにiOSアプリにてFacebook SDKを利用したところ、Facebook SDKによってマザーボードの指摘にあるような情報をFacebookに送信していることを確認し、同社iOSアプリからFacebook SDKを削除したと発表。

 ・3月29日、Zoomは、プライバシーポリシーを更新。以下の宣言を行った。

  - Zoomはユーザーのデータを販売しません。

  - Zoomは過去にユーザーデータを販売したことがなく、今後ユーザーデータを販売する予定はありません。

  - Zoomは会議やその内容を監視しません。

  - Zoomは、GDPRやCCPAを含め、Zoomが事業を展開する管轄区域で適用されるすべてのプライバシー法、規則、規制に準拠しています。

出典:Zoom’s Privacy Policy

 ・3月31日、The Intercept_が「ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING」という記事を掲載し、Zoomがエンドツーエンドの暗号化と謳っているが、実際にはエンドツーエンドの暗号化になっていないと指摘。

 ・4月1日、Zoomは同社ブログにて、「The Facts Around Zoom and Encryption for Meetings/Webinars」と題した記事を投稿し、エンドツーエンドの暗号化では無かった事実を認め謝罪した。しかし、エンドツーエンドの暗号化では無かったもののZoomクライアントとクラウド間の通信経路は暗号化されており、Zoom社が復号化出来るリスクは有るがSaaSの暗号化レベルとしては一般的な安全性であることも分かった。

 また、今後90日間エンジニアリソースをセキュリティ向上に充てるため機能追加等の計画は一旦凍結し、セキュリティ対策に集中すると宣言した。

 ・4月1日、TwitterにてHacker Fantasticが、ZoomにUNCリンクを悪用出来る脆弱性があることを指摘。

  

 ・4月2日、ZoomはZoomクライアント4.6.9をリリース。UNCリンクに関する脆弱性を修正した。

 ・4月7日、ZoomはZoomクライアント4.6.10をリリース。会議主催者用機能としてセキュリティアイコンを追加。Zoomのセキュリティ設定状態をひと目で確認出来るようになり、会議のロック、待合室の有効化などがここから設定出来るようになった。

 ・4月8日、Zoomは、セキュリティ強化の取り組みの施策の1つとして、外部からFacebookの最高セキュリティ責任者も務めていた実績のあるAlex Stamos氏がアドバイザーとしてZoomに参加したと発表

 ・4月12日、ZoomはZoomクライアント4.6.11をリリース。会議を設定する時に設定するパスワードに、パスワード要件を満たすことが求められるようになった。

 ・4月13日、Zoomはデータルーティングの制御計画を発表。4月18日以降、転送中のデータに関して、Zoomの有料アカウントのアカウント所有者は、アカウント、グループ、またはユーザーレベルで次のことが可能になると発表した。

  - 特定のデータセンター地域をオプトアウトする

  - 特定のデータセンター地域にオプトインする

    ※現在、Zoomのデータセンターは、米国、カナダ、ヨーロッパ、インド、オーストラリア、中国、ラテンアメリカ、日本/香港の地域にグループ化されている。

  本機能が実装されれば、通信内容が中国を経由する等の懸念に対応出来るようになる。なお、無料ユーザアカウントはアカウントがプロビジョニングされているデフォルトのリージョン内のデータセンターに固定されるという。

■世界のセキュリティ専門家が脆弱性診断をしている状態に

 新型コロナウィルスによる人の動きの変化によって世界中から利用者が殺到し注目度の高いZoom。名前を売りたいセキュリティ研究者達が競ってZoomの脆弱性を探している。Zoomにとっても今はビジネスを伸ばす絶好の機会でもあり発見された脆弱性は即座に対応している。まさに、世界中のセキュリティ研究者がZoomの脆弱性診断を実施し、それをZoomが改善し、結果としてZoomのセキュリテイレベルが急速に向上する状態になっている。

 使い勝手の良さで人気を博してきたZoomだが、エンタープライズ向けに定評のある他サービスと比較すればセキュリティ面に不安を感じるという指摘のあったZoom。Zoomのセキュリティ強化期間である90日経過後にはセキュリティ面と使い勝手の良さを両立するプラットフォームに成長する可能性が出てきた。

 「ピンチをチャンスに変えることが出来るか?」90日後のZoomの状況に注目だ。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事