まずは、「Zoom」で問題になった以下の3つに関してもう一度、現在の状況を見てみます。
1.部外者が会議に乱入して迷惑行為を行う「Zoom Bombing」問題
2.「Zoom」の暗号化に関わる問題
3.「Zoom」アプリなどに報告されている脆弱性やプライバシーの問題
「Zoom Bombing」の問題
部外者が会議に乱入して迷惑行為を行う「Zoom Bombing(Zoom爆弾)」の問題に関しては、最近では被害の発生はあまり聞かなくなりました。
「Zoom Bombing」は、アメリカの中高生を中心とする若者の悪ふざけ的な行為が大半でしたが、FBIや司法省が警告を発したことや、実際に10代の若者から複数の逮捕者が出たことが抑止となっていると考えられます。
また、会議のURLを公開しないことや待機室を有効にするなどの対策が浸透してきたことも被害が減少してきた要因でしょう。
新型コロナウイルスによる外出制限により、一般のコンシューマー向けにも「Zoom」の人気が急速に高まったため、「Zoom」での被害が相次ぎ、「Zoom Bombing」というネーミングまでされましたが、会議のURL(もしくは会議のIDとパスワード)をWebサイトやSNSなどに公開してしまった場合に部外者が会議に参加してくる可能性があるのは他のWeb会議システムでも同様です。
たとえば、「Microsoft Teams」や「Cisco WebEx Meetings」でも会議のURL(もしくは会議のIDとパスワード)があれば、アカウント登録する必要なくゲストとして会議に参加できます。そのため、URLなどが公開されていた場合は部外者が会議に参加してくる可能性があります。「Google Meet」ではGoogleアカウントが必須ですがGoogleアカウントは実名でなくても作成可能なため乱入を行おうとする者にとって大きな障壁とはなりません。
「Zoom」には前編で紹介したように、
・会議にパスワードを設定する
・待機室を有効にして主催者が承認したユーザーのみが会議に参加可能とする
・サインインしたユーザーやメールアドレスが特定のドメインのユーザーのみ参加可能とする
などの会議前に行う設定や
・参加者全員がそろったら会議をロックする
・主催者のみが画面共有できるようにする
・参加者をミュートしたり、ビデオをオフにしたりする
・会議を妨害する参加者を削除(強制退室)する
などの会議中に行う制御により部外者が会議に参加することを防いだり、(許可した)参加者が会議を邪魔することを防いだりする機能が用意されています。それらの推奨設定を行っていればほぼ問題は起きないでしょうし、たとえ問題が起きたとしても排除することは可能でしょう。
暗号化に関わる問題
暗号化の問題に関しても現在は指摘された問題はすべて解消しています。
4月27日には、「AES-256-GCM」(鍵長256bit、GCMモード)をサポートした「Zoom 5.0」がリリースされ、5月30日以降は「Zoom 5.0」以上でないと会議に参加できないようになりました。よって、現在は指摘された「ECBモード」などの弱い方式は使われなくなっています。
データのルーティングの問題については、現在は中国のデータセンターには接続されないようになっています。また、ダッシュボードから現在接続しているデータセンターの地域を確認できるようになった他、有償ユーザーは、接続するデータセンターの地域を選択することが可能となりました。

接続しているデータセンターを確認できるようになった
エンドツーエンド暗号化に関しては、暗号技術を専門とする企業「KeyBase」を買収し、2020年7月末から限定されたベータテストを開始しています。なお、無料ユーザーがエンドツーエンド暗号化を利用する場合は、テキストメッセージ(SMS)で電話番号を確認する必要があるとしています。
エンドツーエンド暗号化は「Microsoft Teams」や「Skype」、「Google Meet」も現時点では提供していません。現時点で正式にエンドツーエンド暗号化をサポートしている企業向けのWeb会議システムが必要な場合は、「Cisco WebEx Meetings」を選択する必要があります。(FaceTimeやWhatsAppもエンドツーエンド暗号化に対応していますが、FaceTimeが使えるのはAppleのデバイスのみで最大32人までです。また、WhatsAppのビデオ会議では最大8人までしかサポートしていません。)ただし、どの製品もエンドツーエンド暗号化を有効化した場合には、クラウドでの録画や自動字幕起こし、電話回線からの参加など、クラウドでデータを復号する必要がある機能は利用できなくなります。
脆弱性やプライバシーの問題
2020年3月頃までの「Zoom」はセキュリティやプライバシーよりも利用者の利便性を優先する企業という印象がありましたが、4月1日に、今後90日間は新機能の開発を凍結してセキュリティやプライバシーの問題解決に集中すると発表を行って以降、「Zoom」はセキュリティやプライバシーの問題に非常に迅速に対応を行うようになり、ほとんどの問題が報告から数日以内に修正されています。
よって、最新版の「Zoom」クライアントを使用していれば、報告されている問題はすべて修正されています。(クラウド側で対処が必要な脆弱性についてはクラウド側で修正されるため利用者は特に何かをする必要はありません)
脆弱性が度々報告されているWeb会議システムは「Zoom」だけではありません。たとえば「Cisco WebEx Meeting」に関しても今年1月に認証されていないリモート参加者が、パスワードで保護された会議にパスワードを入力することなく参加できる脆弱性が報告された他、危険度の高い脆弱性が複数報告されています。
また、「Microsoft Teams」に関しても、今年4月に、細工を施したGIF画像を閲覧するだけで情報を抜き取られ、アカウントが乗っ取られる可能性のある脆弱性が報告されるなど危険度の高い脆弱性が報告されています。
Web会議システムに限らず、OSやブラウザ、アプリケーションなど、どのソフトウェアにも脆弱性が発見されることは避けられません。よって、どのサービスを使うにしても常に最新版のソフトウェアを使用することがセキュリティ対策の基本となります。