NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

中国政府の要請に従いアカウントを停止

天安門事件に関する会議を主催したアカウントを中国政府の要請で停止

 天安門事件を振り返る「Zoom」でのイベントを開催した主催者のアカウントがイベント終了後に停止されたことを6月10日にWebメディアのAxiosが報じました。その翌日の6月11日に「Zoom」はこのアカウント停止が中国政府の要請に基づくものであることを明らかにしました。

 イベントを主催したのは、天安門事件の学生リーダーの一人で、現在は米国の市民権を持つ周鋒鎖氏が代表を務める「人道主義中国」です。5月31日に開催された天安門事件から31周年を記念する「Zoom」での会議には世界各国から250人以上が参加し、同時ストリーミングされた「YouTube Live」は約4,000人が視聴しました。しかし、イベントの約1週間後の6月7日に主催者の「Zoom」アカウントが何の説明もなく停止されたとのことでした。

 「Zoom」の説明によると、アカウントの停止は、中国政府から違法行為であるとの通知を受けたためということです。「人道主義中国」のイベントを含め対象となった4つの会議のメタデータ(IPアドレスなど)を確認したところ3つに関しては中国本土からの多数の参加者が確認されたためアカウントの停止を行ったそうですが、残りの1つに関しては、中国本土からの参加者は確認されなかったため、停止は行わなかったとのことです。なお、停止されたアカウントは6月10日時点で既に復活しています。

 「Zoom」には特定の国からの参加者をブロックする機能がないため、中国政府の要請に従うために3つの会議を終了し、会議に関連する米国のアカウント2つと香港特別行政区のアカウント1つを停止したとしています。

 「Zoom」はこの件に関し、現地の法律を遵守するために必要な措置のみに限定すべきであり、中国本土以外のユーザーに影響を与えるべきではなかったと謝罪を行っています。

 その上で、今後の取組として、中国政府からの要請が中国本土外の誰にも影響を与えない様にすること、今後数日以内に地理情報に基づいて参加者レベルでブロックすることを可能とするシステムを開発することを表明しています。

 なお、中国政府が会議を盗聴していたのではないかとの情報がSNS上で拡散されていましたが、イベントが開催されることは事前に周鋒鎖氏のSNSなどで告知されていましたし、「Zoom」会議や「YouTube Live」のURLは公開されていたため、盗聴などをしなくても誰でも会議を視聴することが可能でした。また、「YouTube Live」はライブ後にアーカイブが公開されており今でも視聴することが可能です。

 中国本土で事業を展開している米企業が中国政府の要請に従ったために批判を受けるのは「Zoom」だけではありません。たとえばAppleも2019年10月に香港デモを大きく報じていたニュースアプリ「QUARTZ」や香港デモの参加者が警察の動きを共有するのに使用していた地図アプリ「HKmap.live」を香港のApp Storeから削除し批判を受けました。

 Microsoftも2019年1月に今回「Zoom」のアカウントを停止された周鋒鎖氏の「LinkedIn」への中国国内からのアクセスをブロックし批判を受けました。また、ウィリアム・バー米司法長官は2020年7月に「米IT企業は中国政府の意向に協力することにあまりに前向きだ」と批判する演説を行っています。

 

報告された脆弱性は迅速に対応が行われている

 「Zoom」は4月1日に、今後90日間は新機能の開発を凍結してセキュリティやプライバシーの問題解決に集中すると発表を行いました。

 上記で行った個々の問題の解説の通り、ほとんどの問題が報告されてから数日以内に修正されており、迅速な対応は評価されるべきものと思います。

 また、バグバウンティプログラム(脆弱性の報告者に対し報奨金を支払う制度)の強化や、外部の複数の企業によるホワイトボックス侵入テスト(対象のシステム構成などを把握した上での侵入テスト)の実施などにより、脆弱性の特定と解決を積極的に行うとしています。

 前回と今回の2回に渡り、「Zoom」にどのようなセキュリティの問題があったのかの解説をおこないました。次回は、「Zoom」を使っても大丈夫かについて考えてみます。

SHARE

関連記事

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

2020.11.18

ニューノーマル時代のネットワーク技術革新第3回

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

2020.11.11

働き方改革&生産性向上のカギはどこにある?第29回

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

2020.10.02

「教育」をデジタルで変える第1回

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

コロナ禍で不可逆的に変化するマーケティングイベント

2020.10.01

IT&ビジネス最新ニュース第60回

コロナ禍で不可逆的に変化するマーケティングイベント