NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

中国政府の要請に従いアカウントを停止

天安門事件に関する会議を主催したアカウントを中国政府の要請で停止

 天安門事件を振り返る「Zoom」でのイベントを開催した主催者のアカウントがイベント終了後に停止されたことを6月10日にWebメディアのAxiosが報じました。その翌日の6月11日に「Zoom」はこのアカウント停止が中国政府の要請に基づくものであることを明らかにしました。

 イベントを主催したのは、天安門事件の学生リーダーの一人で、現在は米国の市民権を持つ周鋒鎖氏が代表を務める「人道主義中国」です。5月31日に開催された天安門事件から31周年を記念する「Zoom」での会議には世界各国から250人以上が参加し、同時ストリーミングされた「YouTube Live」は約4,000人が視聴しました。しかし、イベントの約1週間後の6月7日に主催者の「Zoom」アカウントが何の説明もなく停止されたとのことでした。

 「Zoom」の説明によると、アカウントの停止は、中国政府から違法行為であるとの通知を受けたためということです。「人道主義中国」のイベントを含め対象となった4つの会議のメタデータ(IPアドレスなど)を確認したところ3つに関しては中国本土からの多数の参加者が確認されたためアカウントの停止を行ったそうですが、残りの1つに関しては、中国本土からの参加者は確認されなかったため、停止は行わなかったとのことです。なお、停止されたアカウントは6月10日時点で既に復活しています。

 「Zoom」には特定の国からの参加者をブロックする機能がないため、中国政府の要請に従うために3つの会議を終了し、会議に関連する米国のアカウント2つと香港特別行政区のアカウント1つを停止したとしています。

 「Zoom」はこの件に関し、現地の法律を遵守するために必要な措置のみに限定すべきであり、中国本土以外のユーザーに影響を与えるべきではなかったと謝罪を行っています。

 その上で、今後の取組として、中国政府からの要請が中国本土外の誰にも影響を与えない様にすること、今後数日以内に地理情報に基づいて参加者レベルでブロックすることを可能とするシステムを開発することを表明しています。

 なお、中国政府が会議を盗聴していたのではないかとの情報がSNS上で拡散されていましたが、イベントが開催されることは事前に周鋒鎖氏のSNSなどで告知されていましたし、「Zoom」会議や「YouTube Live」のURLは公開されていたため、盗聴などをしなくても誰でも会議を視聴することが可能でした。また、「YouTube Live」はライブ後にアーカイブが公開されており今でも視聴することが可能です。

 中国本土で事業を展開している米企業が中国政府の要請に従ったために批判を受けるのは「Zoom」だけではありません。たとえばAppleも2019年10月に香港デモを大きく報じていたニュースアプリ「QUARTZ」や香港デモの参加者が警察の動きを共有するのに使用していた地図アプリ「HKmap.live」を香港のApp Storeから削除し批判を受けました。

 Microsoftも2019年1月に今回「Zoom」のアカウントを停止された周鋒鎖氏の「LinkedIn」への中国国内からのアクセスをブロックし批判を受けました。また、ウィリアム・バー米司法長官は2020年7月に「米IT企業は中国政府の意向に協力することにあまりに前向きだ」と批判する演説を行っています。

 

報告された脆弱性は迅速に対応が行われている

 「Zoom」は4月1日に、今後90日間は新機能の開発を凍結してセキュリティやプライバシーの問題解決に集中すると発表を行いました。

 上記で行った個々の問題の解説の通り、ほとんどの問題が報告されてから数日以内に修正されており、迅速な対応は評価されるべきものと思います。

 また、バグバウンティプログラム(脆弱性の報告者に対し報奨金を支払う制度)の強化や、外部の複数の企業によるホワイトボックス侵入テスト(対象のシステム構成などを把握した上での侵入テスト)の実施などにより、脆弱性の特定と解決を積極的に行うとしています。

 前回と今回の2回に渡り、「Zoom」にどのようなセキュリティの問題があったのかの解説をおこないました。次回は、「Zoom」を使っても大丈夫かについて考えてみます。

SHARE

関連記事

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

テレワークで成果を出す鍵は、コミュニケーション環境にあり

2020.03.11

テレワーク導入の“壁”を解決第2回

テレワークで成果を出す鍵は、コミュニケーション環境にあり

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは