問題は「意図的な脆弱性」かもしれません。私がもっとも注目したのは、macOS版Zoomの挙動です。私自身もmacOSでZoomを利用しているため、会議のホストから送られてきたURLをクリックしたところ、クライアントアプリを入れるように指示がありました。当時は「通常のアプリをインストールするときとは何となく挙動が違うな」と違和感を持ったのですが、その正体はユーザーがインストールを直接「許可」しなくても、アプリケーションのインストールが始まる仕組みになっていたことで、これがまさに大きな問題でした。
Zoomは、macOS版アプリのインストールにおいて「Web会議参加までのクリック数を減らすための」手法を利用したとしています。しかし、その手法はいわゆるマルウェアが利用するような、ある意味でユーザーをだますようなものにも見えます。そのため、多くのセキュリティ専門家がこの手法を強く非難しています。
これは実装上の不備で埋め込まれた脆弱性でもなく、設計上漏れてしまった脆弱性でもありません。いわば、ユーザーをだますために“意図的に作られた”脆弱性です。基本的に全てのアプリには脆弱性が残ってしまう可能性があるため、ベンダーも私たちもそれが発見され次第、修正プログラムを作り、それを適用する必要があります。しかし、最後に挙げたような挙動は、ベンダー自体がさまざまな理由を付け、利用者に対して本来使うべきではない手法をとった脆弱性です。こういった手法を採るベンダーを、私は信頼したいとは思えません。
とはいえ、私の立場では「Zoomを使うWeb会議なら参加しません」などと発言できるわけもなく、どうやってこの状況と付き合うべきかということも並行して考えなくてはなりません。実は、Zoomアプリをインストールせずとも、Zoom会議にはWebブラウザから参加可能です。Web会議参加のためのURLをクリックすると、しばらくして「ブラウザから参加してください」というメッセージと一緒にリンクが表示されますので、こちらからWeb会議へ参加するのが良いかもしれません。ただし、ブラウザ版を使ったとしても、先に説明した経路の問題など、設計仕様上の問題はクリアされないというリスクはあります。
より大きな注意点は、今回のようなZoomの各種セキュリティリスクの現状を、組織のシステム管理部門がしっかり把握できているかということです。組織によっては、Zoomがいまだ「シャドーIT」扱いされているケースも多いのではないでしょうか。システム管理部門はなるべく早く現状を把握し、Zoomの使用を許可するか、それとも条件を付けるかなどを含めてしっかり対策を打つべきでしょう。その際には、既にメールサービスとして導入しているOffice 365の「Microsoft Teams」をはじめ、Gmail、G Suiteと一緒に利用可能な「Google Hangout」など、代替として使えるアプリと比較検討すべきかもしれません。
セキュリティに気を付けているつもりの私も、ほんの少しの違和感はあったものの、Mac版Zoomのインストールから実行までやりきってしまったので説得力はないと思いますが、自分で判断できないからこそ、他のセキュリティ専門家がどのような検証をしているのかをしっかり追う必要があるでしょう。
とりわけ今回のように、新しくて便利なソリューションを提供するベンダーを「どう信頼するか」というのは、とても難しい問題だと思います。ならば、新しいベンダーのソリューションよりも、あえて既にメールサービスやオフィスアプリなどを導入している「一度信頼したベンダー」が提供するソリューションの方が、今の組織では利用しやすいのかもしれません。ただし、その一度信頼したベンダーにも、今後同様に脆弱性のニュースは出てくる可能性はあります。しっかりと情報を追い続けることの大切さは、どのベンダーについても変わりませんね。
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。
Copyright © ITmedia, Inc. All Rights Reserved.