NTTコミュニケーションズ

Bizコンパス

【重要】「Bizコンパス」サイトリニューアルのお知らせ
「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

 「Zoom」にはさまざまな脆弱性やプライバシーの問題が報告されています。特に「Zoom」の人気が高まった3月以降にセキュリティ研究者やジャーナリストがセキュリティやプライバシーの問題をこぞって調査しはじめたため、多くの問題が報告されました。

 前回の「Zoom」のセキュリティ(前編)何が問題だったのか?では、「Zoom」に明らかになった様々なセキュリティ問題のうち「部外者が会議に乱入して迷惑行為を行う『Zoom Bombing』問題」、「『Zoom』の暗号化に関わる問題」について解説を行いました。

 今回は、「『Zoom』アプリなどに報告されている脆弱性やプライバシーの問題」について解説します。なかには「Zoom」とは直接関係のないものまで「Zoom」と結び付けられて報じられてしまったものもありました。

Webサーバーを無断でインストール

MacのアプリがWebサーバーをローカルにインストールし、常時起動させていた

 Mac版の「Zoom」アプリをインストールするとWebサーバーがローカルにインストールされ、常時起動されている問題が2019年7月に明らかになりました。

 Webサーバーがユーザーに代わってアクセスを承認することで、会議の度に毎回ユーザーが「Zoom」アプリの起動を承認することを回避するためのものでしたが、悪用も可能で、細工されたWebサイトに誘導してアクセスさせることで、ユーザーを会議に参加させることができ、更にユーザーの許可なくウェブカメラを起動させることができました。

 このローカルのWebサーバーは、「Zoom」をアンインストールしても動作し続けていたため、最終的にはAppleがMacOSのセキュリティ機能「Malware Removal Tool」で「Zoom」がインストールしたWebサーバーを削除することになりました。

 

iOSアプリが「Facebook」に利用者の情報を無断で送信していた

 「Zoom」のiOSアプリが、「Facebook」に利用者の分析データを無断で送信していることが、3月26日にMotherboardの記事により明らかになりました。

 「Zoom」のiOSアプリには「Facebookでログイン」する機能があり、この機能を実現するために「Facebook SDK」(ソフトウェア開発キット)を使用していました。この「Facebook SDK」は、利用者のOSのバージョン、タイムゾーン、言語設定、機種のモデル、広告IDなどの情報を「Facebook」に送信していましたが、これらの情報を送信していることは、「Zoom」のプライバシーポリシーなどには記載されていませんでした。

 「Facebook」への情報送信は、「Facebookでログイン」機能を使用していない場合や、「Facebook」アカウントを持っていない場合でも行われていたということです。「Zoom」は、3月27日にブログを更新し、「Facebook」に送信されていた情報の内容を明らかにするとともに、「Facebook SDK」を削除したバージョンへのアップデートを呼びかけました。

 なお、この件に関し、「Zoom」が利用者の同意を得ずに情報の送信をしていたのは、カリフォルニア州のデータ保護法に違反するとして集団訴訟に発展しています。

 

「LinkedIn Sales Navigator」機能による不適切なデータ開示

 「Zoom」の「LinkedIn Sales Navigator」機能が不適切なデータ開示をしていることが4月2日にNew York Timesにより報じられました。

 「Zoom」の「LinkedIn Sales Navigator」という有料の機能を有効にすると、会議の主催者は参加者の「LinkedIn」プロファイル(名前、居住地、勤務先、役職など)を表示させることができました。しかし、この時に参加者にプロファイルを表示することの許可を求めたり、通知をしたりすることはありませんでした。

 また、参加者がニックネームで会議に参加した場合でも、メールアドレスなどからマッチングして「LinkedIn」に登録してある本名でのプロファイルを表示していました。

 「Zoom」は「LinkedIn Sales Navigator」機能による不適切なデータ開示があったことを認め、この機能を削除したと4月1日のブログで公表しています。

 

「アテンション・トラッキング」機能のプライバシー問題

 「アテンション・トラッキング」は、「Zoom」の会議で画面共有をしている時に、「Zoom」のクライアントがバックグラウンドに30秒以上隠れていると、会議の主催者の参加者パネルの参加者名の横にインジケーター(時計マーク)が表示される機能です。

 オンライン授業などで、先生が授業に集中していない生徒がいないかを知るには良い機能かもしれませんが、別のアプリでメモを取ったり、わからない用語などを調べたりしていても通知が行われるため、授業をサボっていると誤解される可能性があります。また、プライバシーの侵害の可能性もあると話題になりました。

 なお、視線をトラッキングしているとの一部の日本語記事がありましたが、これはウインドウへのフォーカスの「Focus」を「眼の焦点」と誤訳したものと思われます。実際には視線のトラッキングは行われていません。

 「Zoom」は4月2日に「アテンション・トラッキング」の機能を削除しました。

SHARE

関連記事

どうすればゼロトラストが実現できるのか?SASEを活用した導入術

2021.07.28

セキュリティ対策に求められる新たな視点第26回

どうすればゼロトラストが実現できるのか?SASEを活用した導入術

オンライン研修でも新卒社員は育つ!アイレップが導入したツールとは

2021.07.09

ニューノーマル時代のコミュニケーション変革第4回

オンライン研修でも新卒社員は育つ!アイレップが導入したツールとは

読者アンケートからわかった企業のセキュリティの課題とその対策とは

2021.06.30

セキュリティ対策に求められる新たな視点第25回

読者アンケートからわかった企業のセキュリティの課題とその対策とは

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

日鉄ケミカル&マテリアルは「テレビ会議クラウド化」で場所にとらわれない働き方を推進

2021.05.26

働き方改革&生産性向上のカギはどこにある?第37回

日鉄ケミカル&マテリアルは「テレビ会議クラウド化」で場所にとらわれない働き方を推進

チームは雑談を「聞く」ことで強くなる

2021.05.20

IT&ビジネスコラム第6回

チームは雑談を「聞く」ことで強くなる

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

2021.02.24

ニューノーマル時代のコミュニケーション変革第3回

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある