ビデオ会議サービス Zoom は、急成長を遂げる中で、主に無料サービスに頼る一般消費者や学校ユーザーから、前例のない厳しい監視に直面している。4月初旬、TidBITS は私が作成した、Zoom のセキュリティ、プライバシー、暗号化に関するあらゆる欠陥、設計ミス、そして判断ミスを網羅したリストを公開した(2020年4月3日の記事「Zoom のセキュリティとプライバシーに関するこれまでの欠陥すべて、そして自分自身を守るためにできること」参照)。
この記事の執筆・編集中にも、Zoomはあらゆる懸念事項に同時並行で対処する一方で、新たな脆弱性や問題が次々と発生しました。その後も同社は総力を挙げて対策に取り組み続けましたが、緊急の対応を先送りしたため、最終的にペースを落としました。現在解決済みの問題、新たに明らかになった情報、そしてZoomのロードマップの最新情報について見ていきましょう。
強化された安全管理
同社の最大の問題は有害なインターネット文化に起因するものでしたが、同社とそのユーザーはその渦中に巻き込まれました。「ズーム爆撃」という言葉は、荒らしや偏見を持つ人々が会議に乱入し、ポルノを流したり、反ユダヤ的な発言を投稿したり、人種差別的な言葉を叫んだりするなど、容認できない行為を指す言葉として定着しました。
同様のことは他のシステムでも起きています。私の子供たちが通う公立学校はMicrosoft Teamsを標準システムとしており、先週、ある教師が「Teamsbombing」とも言えるようなメールを送ってきました。しかし、Zoomはこれまでで最も急成長を遂げているにもかかわらず、明らかに安全対策が最も脆弱でした。
Zoomは、公開会議と非公開会議の両方において、主催者が望ましくない参加者や参加者の不適切な行動を回避できるよう、一連のベストプラクティスを公開していました。しかし、これは不十分であることが判明し、2020年4月4日、主催者と参加者の負担は増えましたが、サービス利用の安全性を一変させる一連の対策を開始しました。2020年4月8日、ZoomのCEOであるエリック・ユアン氏はNPRに対し、「使いやすさとプライバシーとセキュリティの両立という点では、たとえ複数回のクリックを犠牲にしても、プライバシーとセキュリティの方が重要です」と述べました。
これらの変更の一部は前回の記事にも記載しましたが、ほとんどは新しいものです。具体的には以下のとおりです。
- パスワードの必須化:すべての無料アカウント、無料アップグレードされた教育機関向けアカウント、およびシングルホスト有料アカウントでパスワードが必須になりました。パスワードは自動生成され、変更は可能ですが削除はできません。これにより、ミーティングIDは取得しているもののパスワードを取得していないユーザーのアクセスがブロックされるほか、ランダムに生成されたミーティングIDを利用してパスワード不要のセッションに接続しようとするボットによるアクセスも防止されます。
- 会議 ID が非表示:ソーシャル メディアなどに投稿されたスクリーン キャプチャに会議 ID が表示されないようにするため、Zoom アプリのタイトル バーに会議 ID が表示されなくなりました。
- 待機室の有効化:待機室機能は、以前は無効になっていたアカウントも含め、すべてのアカウントでデフォルトで有効になりました。待機室は、会議への参加を試みる参加者を待機状態にします。主催者は参加者の参加を許可する必要があります。これは煩雑な機能ですが、環境によって不要な場合は、会議ごとまたは主催者ごとにデフォルトの設定を上書きできます。
- セキュリティ設定の集中化: Zoom アプリの新しいセキュリティ ボタンでは、参加者をチャットから締め出したり、参加者が画面を共有できないようにするなど、すべてのプライバシーと安全性の設定が集中化されます。
新しいセキュリティ ボタンにより、ホストの安全オプションが一元管理されます。 - 会議のロック:主催者は「セキュリティ」ボタンをクリックすることで、いつでも会議をロックし、新しい参加者が待機室に追加されたり、直接参加したりできないようにすることができます。もう一度クリックすると、会議のロックが解除されます。
- 名前変更防止:主催者は、参加者が会議に参加または参加リクエストをする際に表示される名前の変更を禁止できます。一部の参加者(望ましくない訪問者や、面白がって名前を変えた未成年者など)が、会議中に侮辱的または暴言的な名前に変更していました。
あまり知られていない荒らし対策として、ZoomのWebアプリ(主要ブラウザで利用可能)を使用するユーザーにZoomアカウントへのサインインを必須とする変更が行われました。報告によると、悪意のある参加者がWebアプリにスクリプトを仕込み、毎回新しい名前で会議に再参加できるようにする可能性があります。主催者は、全員にZoomアカウントへのサインインを求めるのが望ましくない場合、この要件を無効にすることができます。しかし、オンラインに移行した依存症支援グループなど、特定のグループ内で定期的に開催される会議の場合、この変更は不正行為の抑止に役立つ可能性があります。
その他のセキュリティとプライバシーの修正
Zoom は他のセキュリティとプライバシーの問題も修正しました。
- ドメイン連絡先の可視性: Zoomは、メールアドレスに同じドメインを持つすべてのユーザーを同じ組織に属しているとは見なさなくなりました。以前は、特定のメールアドレスを持つユーザーは誰でもアカウント情報を閲覧したり、同じドメインを持つすべてのユーザーを連絡先に追加したりできました(GmailやiCloudなどの一部の主要ISPとメールホストを除く)。この機能は現在、無料プランおよび有料のシングルホストアカウントでは無効になっており、上位プランの有料アカウントでは有効にする必要があります。
- 待合室の脆弱性: Citizen Labは、待合室機能にセキュリティ上の問題を発見しましたが、Zoomに修正の機会を与えるため、2020年4月3日のレポートには記載していませんでした。このバグは、Zoomがサーバーソフトウェアを更新した後の2020年4月8日に公表されました。このバグにより、ある程度の技術的知識を持つ人物は、会議の待合室へのアクセスを制限された状態でも、セッションの暗号化キーとビデオストリームを抽出できる可能性がありました。
- 中国経由のトラフィック:データが移動する経路は、技術的な問題だけでなく、政治、規制、ビジネスの問題でもあります。Citizen Labのレポートによると、Zoomは中国国内の参加者が関与していないトラフィックの一部を中国国内のサーバー経由でルーティングしていました。Zoomは、これは負荷分散のエラーだと説明しましたが、事業の急速な拡大を考えると、それも当然と言えるでしょう。同社は、国外からのデータが中国のサーバーを経由しないように恒久的な変更を加えたと述べています。有料ユーザー向けの新機能は2020年4月18日から開始され、ユーザーは複数の地域からデータが通過する地域を選択できるようになります。無料ユーザーは、契約した地域のデータセンターに固定されます。中国への懸念とは別に、米国外の一部の人々は、国家安全保障局(NSA)やその他の米国諜報機関を信用していません。
Zoomはまた、同社への助言を行う最高情報セキュリティ責任者(CISO)の協議会を設立したことを発表しました。さらに、元Facebookの最高セキュリティ責任者であるアレックス・スタモス氏と有償アドバイザー契約を締結しました。
Facebookはセキュリティとプライバシーの慣行に関して厳しい批判と政府の調査に直面しているが、スタモス氏はプラットフォーム上のロシアによる偽情報の危険性を強調したことで、マーク・ザッカーバーグ氏をはじめとする幹部にとって悩みの種となっていたと報じられている。2018年、スタモス氏は学術研究と有償コンサルティングに従事するために同社を退社した。
継続的な進歩はあなたにとって十分ですか?
Zoomは、ここ数週間の迅速な対応という約束を果たしつつ、バグの修正を続けています。過去のZoomの失態で(控えめに言っても)不安を抱えてきた人々の信頼を取り戻すには、パンデミック中のビデオ会議においてZoomを最も人気のある選択肢の一つに押し上げた高い品質とパフォーマンスを維持しながら、セキュリティとプライバシーの向上、そして透明性の向上という道を歩み続ける必要があります。
一部の人々から見れば、Zoom は過去の過ちから決して立ち直れないのではないかと疑っています。しかし、同社にそれほど強く反対していない人々にとっては、同社は正しいことを言っているし、正しい方向へ向かうべく懸命に努力しているように思えるのです。先日、TidBITS スタッフとの通話で Skype を約 5 分間試したところ、音声が途切れるなどの問題に悩まされました。Zoom に切り替えると、残りの 1 時間の通話中、音声と映像は極めて安定していました。今後も他の選択肢をテストしていくつもりですが、Zoom は高いハードルを設定したようです。
Take Control Booksで Zoom に関する本を執筆中です。 コメント欄で皆様からのヒントやご意見をお待ちしております。また、仕事の突然の変化に悩む方々のために執筆したTake Control of Working from Home Temporarilyの無料コピーをダウンロードしていただければ幸いです。この本には、Take Control の著者、TidBITS 編集者や寄稿者、そしてその他多くの方々から提供された、ビデオ会議に関するヒントが数多く掲載されています。