NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

中国政府の要請に従いアカウントを停止

天安門事件に関する会議を主催したアカウントを中国政府の要請で停止

 天安門事件を振り返る「Zoom」でのイベントを開催した主催者のアカウントがイベント終了後に停止されたことを6月10日にWebメディアのAxiosが報じました。その翌日の6月11日に「Zoom」はこのアカウント停止が中国政府の要請に基づくものであることを明らかにしました。

 イベントを主催したのは、天安門事件の学生リーダーの一人で、現在は米国の市民権を持つ周鋒鎖氏が代表を務める「人道主義中国」です。5月31日に開催された天安門事件から31周年を記念する「Zoom」での会議には世界各国から250人以上が参加し、同時ストリーミングされた「YouTube Live」は約4,000人が視聴しました。しかし、イベントの約1週間後の6月7日に主催者の「Zoom」アカウントが何の説明もなく停止されたとのことでした。

 「Zoom」の説明によると、アカウントの停止は、中国政府から違法行為であるとの通知を受けたためということです。「人道主義中国」のイベントを含め対象となった4つの会議のメタデータ(IPアドレスなど)を確認したところ3つに関しては中国本土からの多数の参加者が確認されたためアカウントの停止を行ったそうですが、残りの1つに関しては、中国本土からの参加者は確認されなかったため、停止は行わなかったとのことです。なお、停止されたアカウントは6月10日時点で既に復活しています。

 「Zoom」には特定の国からの参加者をブロックする機能がないため、中国政府の要請に従うために3つの会議を終了し、会議に関連する米国のアカウント2つと香港特別行政区のアカウント1つを停止したとしています。

 「Zoom」はこの件に関し、現地の法律を遵守するために必要な措置のみに限定すべきであり、中国本土以外のユーザーに影響を与えるべきではなかったと謝罪を行っています。

 その上で、今後の取組として、中国政府からの要請が中国本土外の誰にも影響を与えない様にすること、今後数日以内に地理情報に基づいて参加者レベルでブロックすることを可能とするシステムを開発することを表明しています。

 なお、中国政府が会議を盗聴していたのではないかとの情報がSNS上で拡散されていましたが、イベントが開催されることは事前に周鋒鎖氏のSNSなどで告知されていましたし、「Zoom」会議や「YouTube Live」のURLは公開されていたため、盗聴などをしなくても誰でも会議を視聴することが可能でした。また、「YouTube Live」はライブ後にアーカイブが公開されており今でも視聴することが可能です。

 中国本土で事業を展開している米企業が中国政府の要請に従ったために批判を受けるのは「Zoom」だけではありません。たとえばAppleも2019年10月に香港デモを大きく報じていたニュースアプリ「QUARTZ」や香港デモの参加者が警察の動きを共有するのに使用していた地図アプリ「HKmap.live」を香港のApp Storeから削除し批判を受けました。

 Microsoftも2019年1月に今回「Zoom」のアカウントを停止された周鋒鎖氏の「LinkedIn」への中国国内からのアクセスをブロックし批判を受けました。また、ウィリアム・バー米司法長官は2020年7月に「米IT企業は中国政府の意向に協力することにあまりに前向きだ」と批判する演説を行っています。

 

報告された脆弱性は迅速に対応が行われている

 「Zoom」は4月1日に、今後90日間は新機能の開発を凍結してセキュリティやプライバシーの問題解決に集中すると発表を行いました。

 上記で行った個々の問題の解説の通り、ほとんどの問題が報告されてから数日以内に修正されており、迅速な対応は評価されるべきものと思います。

 また、バグバウンティプログラム(脆弱性の報告者に対し報奨金を支払う制度)の強化や、外部の複数の企業によるホワイトボックス侵入テスト(対象のシステム構成などを把握した上での侵入テスト)の実施などにより、脆弱性の特定と解決を積極的に行うとしています。

 前回と今回の2回に渡り、「Zoom」にどのようなセキュリティの問題があったのかの解説をおこないました。次回は、「Zoom」を使っても大丈夫かについて考えてみます。

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

2021.02.24

ニューノーマル時代のコミュニケーション変革第3回

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

トランスコスモスが導入した“リモートワーク用の雑談ツール”とは?

2021.01.08

ニューノーマル時代のコミュニケーション変革第2回

トランスコスモスが導入した“リモートワーク用の雑談ツール”とは?

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」