NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

 「Zoom」にはさまざまな脆弱性やプライバシーの問題が報告されています。特に「Zoom」の人気が高まった3月以降にセキュリティ研究者やジャーナリストがセキュリティやプライバシーの問題をこぞって調査しはじめたため、多くの問題が報告されました。

 前回の「Zoom」のセキュリティ(前編)何が問題だったのか?では、「Zoom」に明らかになった様々なセキュリティ問題のうち「部外者が会議に乱入して迷惑行為を行う『Zoom Bombing』問題」、「『Zoom』の暗号化に関わる問題」について解説を行いました。

 今回は、「『Zoom』アプリなどに報告されている脆弱性やプライバシーの問題」について解説します。なかには「Zoom」とは直接関係のないものまで「Zoom」と結び付けられて報じられてしまったものもありました。

Webサーバーを無断でインストール

MacのアプリがWebサーバーをローカルにインストールし、常時起動させていた

 Mac版の「Zoom」アプリをインストールするとWebサーバーがローカルにインストールされ、常時起動されている問題が2019年7月に明らかになりました。

 Webサーバーがユーザーに代わってアクセスを承認することで、会議の度に毎回ユーザーが「Zoom」アプリの起動を承認することを回避するためのものでしたが、悪用も可能で、細工されたWebサイトに誘導してアクセスさせることで、ユーザーを会議に参加させることができ、更にユーザーの許可なくウェブカメラを起動させることができました。

 このローカルのWebサーバーは、「Zoom」をアンインストールしても動作し続けていたため、最終的にはAppleがMacOSのセキュリティ機能「Malware Removal Tool」で「Zoom」がインストールしたWebサーバーを削除することになりました。

 

iOSアプリが「Facebook」に利用者の情報を無断で送信していた

 「Zoom」のiOSアプリが、「Facebook」に利用者の分析データを無断で送信していることが、3月26日にMotherboardの記事により明らかになりました。

 「Zoom」のiOSアプリには「Facebookでログイン」する機能があり、この機能を実現するために「Facebook SDK」(ソフトウェア開発キット)を使用していました。この「Facebook SDK」は、利用者のOSのバージョン、タイムゾーン、言語設定、機種のモデル、広告IDなどの情報を「Facebook」に送信していましたが、これらの情報を送信していることは、「Zoom」のプライバシーポリシーなどには記載されていませんでした。

 「Facebook」への情報送信は、「Facebookでログイン」機能を使用していない場合や、「Facebook」アカウントを持っていない場合でも行われていたということです。「Zoom」は、3月27日にブログを更新し、「Facebook」に送信されていた情報の内容を明らかにするとともに、「Facebook SDK」を削除したバージョンへのアップデートを呼びかけました。

 なお、この件に関し、「Zoom」が利用者の同意を得ずに情報の送信をしていたのは、カリフォルニア州のデータ保護法に違反するとして集団訴訟に発展しています。

 

「LinkedIn Sales Navigator」機能による不適切なデータ開示

 「Zoom」の「LinkedIn Sales Navigator」機能が不適切なデータ開示をしていることが4月2日にNew York Timesにより報じられました。

 「Zoom」の「LinkedIn Sales Navigator」という有料の機能を有効にすると、会議の主催者は参加者の「LinkedIn」プロファイル(名前、居住地、勤務先、役職など)を表示させることができました。しかし、この時に参加者にプロファイルを表示することの許可を求めたり、通知をしたりすることはありませんでした。

 また、参加者がニックネームで会議に参加した場合でも、メールアドレスなどからマッチングして「LinkedIn」に登録してある本名でのプロファイルを表示していました。

 「Zoom」は「LinkedIn Sales Navigator」機能による不適切なデータ開示があったことを認め、この機能を削除したと4月1日のブログで公表しています。

 

「アテンション・トラッキング」機能のプライバシー問題

 「アテンション・トラッキング」は、「Zoom」の会議で画面共有をしている時に、「Zoom」のクライアントがバックグラウンドに30秒以上隠れていると、会議の主催者の参加者パネルの参加者名の横にインジケーター(時計マーク)が表示される機能です。

 オンライン授業などで、先生が授業に集中していない生徒がいないかを知るには良い機能かもしれませんが、別のアプリでメモを取ったり、わからない用語などを調べたりしていても通知が行われるため、授業をサボっていると誤解される可能性があります。また、プライバシーの侵害の可能性もあると話題になりました。

 なお、視線をトラッキングしているとの一部の日本語記事がありましたが、これはウインドウへのフォーカスの「Focus」を「眼の焦点」と誤訳したものと思われます。実際には視線のトラッキングは行われていません。

 「Zoom」は4月2日に「アテンション・トラッキング」の機能を削除しました。

SHARE

関連記事

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

2020.11.18

ニューノーマル時代のネットワーク技術革新第3回

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

2020.11.11

働き方改革&生産性向上のカギはどこにある?第29回

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

2020.10.02

「教育」をデジタルで変える第1回

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

コロナ禍で不可逆的に変化するマーケティングイベント

2020.10.01

IT&ビジネス最新ニュース第60回

コロナ禍で不可逆的に変化するマーケティングイベント