結局、Zoomは使っても大丈夫なのか？：セキュリティの不備が次々発覚（1/2 ページ）

[吉村哲樹，ITmedia]

　新型コロナウイルスの感染拡大防止のため、政府や自治体がテレワークの実施要請を出し、既に多くの企業が在宅勤務体制に移行している。これに伴い、Web会議を通じてリモートで打ち合わせや会議を行うワークスタイルが少しずつ市民権を得つつある。

　こうした潮流に乗って一気に知名度を上げたのが、米Zoom Video Communications（Zoom社）が提供するWeb会議サービス「Zoom」だ。直観的に使いこなせる利便性の高さが評判を呼び、テレワークのニーズが高まった2020年3月以降、急速にユーザー数を伸ばしている。19年12月時点でZoomのユーザー数は1日当たり1000万人程度だったのが、20年3月時点では約2億人にまで増加した。

　今やZoomはWeb会議の代名詞のように使われている。しかしここに来て、飛ぶ鳥を落とす勢いだったZoomに逆風が吹き始めている。ユーザー数の急増に伴い、セキュリティやプライバシー上の問題が次々と持ち上がってきたのだ。

米Zoom Video Communicationsが提供するWeb会議サービス「Zoom」＝同社の公式サイトより

急速な成長から一転、逆風が吹き始めたZoom

　真っ先に話題になったのが、「Zoom Bombing」（Zoom爆撃）と呼ばれる問題だ。Zoomが使いやすい理由の1つに、会議室のIDやURLさえ分かっていれば、事前にアカウントを作成・登録することなく誰でも簡単に利用できる点がある。しかしこれは裏を返すと、本来は会議に招待されていない第三者であっても、会議室のIDやURLさえ分かれば無断で会議に参加できてしまうことを意味する。

　事実、米国ではZoomを使った学校のオンライン授業に見知らぬ人物が乱入し、暴言を吐いたり不適切な画像を映し出したりする事件が起こっており、FBIが警告を発する事態にまで発展している。こうした事態を重く見たニューヨーク市では、オンライン授業でのZoomの使用を禁止する通達を出している。

セキュリティ対策やプライバシー保護上の不備が次々に発覚

　これ以外にも20年3月以降、Zoomのセキュリティ対策やプライバシー保護上の不備に対する指摘が相次いでいる。3月26日には、ZoomのiOS版アプリが利用者の承諾を得ずにユーザーデータをFacebookに送信していることが発覚し、米国では集団代表訴訟にまで問題が発展。Zoom社はこの事実を認め、問題を解消したアプリを既に提供している。

　3月31日には、通信データの暗号化に関する問題も指摘された。これまでZoomは、会議内容が参加者以外の第三者に絶対に漏れないよう、通信データの「エンドツーエンドの暗号化」を行っているとうたってきた。しかし実際には、Zoomの管理サーバ上では理論上データの暗号化を解いて中身を参照できる状態になっていた。このこと自体は必ずしもセキュリティ対策上の“不備”とはいえないかもしれないが、虚偽のマーケティングメッセージを発信していたとして各方面から批判を受けた（この点についてもZoom社は事実を認め、謝罪している）。

　さらに4月1日、今度はWindows版アプリでセキュリティ上の脆弱性が発覚した。Zoomのアプリには、参加者同士で文字情報をやりとりできるチャット機能が付いているが、ここに不正なURLを埋め込むことで、クリックしたユーザーの認証情報を窃取できたり、不正プログラムを起動できたりすることが判明したのだ。この脆弱性についてもZoom社は即座に修正を行い、最新バージョンのアプリでは既に対処がなされている。

　このように次々と不備が発覚する事態を受け、Zoom社のエリック・ユアンCEOは4月1日、ユーザーに対してあらためて謝罪するとともに、今後90日間は予定していた新機能の開発プロジェクトを凍結し、プライバシー問題への対応に専念すると発表した。