NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

 「Zoom」にはさまざまな脆弱性やプライバシーの問題が報告されています。特に「Zoom」の人気が高まった3月以降にセキュリティ研究者やジャーナリストがセキュリティやプライバシーの問題をこぞって調査しはじめたため、多くの問題が報告されました。

 前回の「Zoom」のセキュリティ(前編)何が問題だったのか?では、「Zoom」に明らかになった様々なセキュリティ問題のうち「部外者が会議に乱入して迷惑行為を行う『Zoom Bombing』問題」、「『Zoom』の暗号化に関わる問題」について解説を行いました。

 今回は、「『Zoom』アプリなどに報告されている脆弱性やプライバシーの問題」について解説します。なかには「Zoom」とは直接関係のないものまで「Zoom」と結び付けられて報じられてしまったものもありました。

Webサーバーを無断でインストール

MacのアプリがWebサーバーをローカルにインストールし、常時起動させていた

 Mac版の「Zoom」アプリをインストールするとWebサーバーがローカルにインストールされ、常時起動されている問題が2019年7月に明らかになりました。

 Webサーバーがユーザーに代わってアクセスを承認することで、会議の度に毎回ユーザーが「Zoom」アプリの起動を承認することを回避するためのものでしたが、悪用も可能で、細工されたWebサイトに誘導してアクセスさせることで、ユーザーを会議に参加させることができ、更にユーザーの許可なくウェブカメラを起動させることができました。

 このローカルのWebサーバーは、「Zoom」をアンインストールしても動作し続けていたため、最終的にはAppleがMacOSのセキュリティ機能「Malware Removal Tool」で「Zoom」がインストールしたWebサーバーを削除することになりました。

 

iOSアプリが「Facebook」に利用者の情報を無断で送信していた

 「Zoom」のiOSアプリが、「Facebook」に利用者の分析データを無断で送信していることが、3月26日にMotherboardの記事により明らかになりました。

 「Zoom」のiOSアプリには「Facebookでログイン」する機能があり、この機能を実現するために「Facebook SDK」(ソフトウェア開発キット)を使用していました。この「Facebook SDK」は、利用者のOSのバージョン、タイムゾーン、言語設定、機種のモデル、広告IDなどの情報を「Facebook」に送信していましたが、これらの情報を送信していることは、「Zoom」のプライバシーポリシーなどには記載されていませんでした。

 「Facebook」への情報送信は、「Facebookでログイン」機能を使用していない場合や、「Facebook」アカウントを持っていない場合でも行われていたということです。「Zoom」は、3月27日にブログを更新し、「Facebook」に送信されていた情報の内容を明らかにするとともに、「Facebook SDK」を削除したバージョンへのアップデートを呼びかけました。

 なお、この件に関し、「Zoom」が利用者の同意を得ずに情報の送信をしていたのは、カリフォルニア州のデータ保護法に違反するとして集団訴訟に発展しています。

 

「LinkedIn Sales Navigator」機能による不適切なデータ開示

 「Zoom」の「LinkedIn Sales Navigator」機能が不適切なデータ開示をしていることが4月2日にNew York Timesにより報じられました。

 「Zoom」の「LinkedIn Sales Navigator」という有料の機能を有効にすると、会議の主催者は参加者の「LinkedIn」プロファイル(名前、居住地、勤務先、役職など)を表示させることができました。しかし、この時に参加者にプロファイルを表示することの許可を求めたり、通知をしたりすることはありませんでした。

 また、参加者がニックネームで会議に参加した場合でも、メールアドレスなどからマッチングして「LinkedIn」に登録してある本名でのプロファイルを表示していました。

 「Zoom」は「LinkedIn Sales Navigator」機能による不適切なデータ開示があったことを認め、この機能を削除したと4月1日のブログで公表しています。

 

「アテンション・トラッキング」機能のプライバシー問題

 「アテンション・トラッキング」は、「Zoom」の会議で画面共有をしている時に、「Zoom」のクライアントがバックグラウンドに30秒以上隠れていると、会議の主催者の参加者パネルの参加者名の横にインジケーター(時計マーク)が表示される機能です。

 オンライン授業などで、先生が授業に集中していない生徒がいないかを知るには良い機能かもしれませんが、別のアプリでメモを取ったり、わからない用語などを調べたりしていても通知が行われるため、授業をサボっていると誤解される可能性があります。また、プライバシーの侵害の可能性もあると話題になりました。

 なお、視線をトラッキングしているとの一部の日本語記事がありましたが、これはウインドウへのフォーカスの「Focus」を「眼の焦点」と誤訳したものと思われます。実際には視線のトラッキングは行われていません。

 「Zoom」は4月2日に「アテンション・トラッキング」の機能を削除しました。

SHARE

関連記事

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

テレワークで成果を出す鍵は、コミュニケーション環境にあり

2020.03.11

テレワーク導入の“壁”を解決第2回

テレワークで成果を出す鍵は、コミュニケーション環境にあり

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは