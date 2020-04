コロナで儲かっているのはベゾスとエリック・ユアン(袁征)だけ。

そんな逆行高の波に乗り1日利用2000万人から2億人に爆増中のZoomに、セキュリティの脆弱性が次々と見つかって対応に大わらわ。セッションが荒らされる被害にFBIが警戒を呼び掛けています。

Zoomは、シスコのWebExからスピンアウトした会社です。ユアンCEOはビル・ゲイツに憧れて中国から渡米を決意し、ビザを8回却下されて9度目の正直でシリコンバレーに渡り、当時まだ社員10人だったWebExに就職。 800人の国際企業に育てた後に部下40人を引き連れて2011年に独立しました。

もともと法人カスタマーが主なターゲットですので、今のように、社会全体が外出禁止になって授業も教会もイベントも集会も家族会議もZoomになるなんて夢にも思わなかったんでしょう。

This morning I chaired the first ever digital Cabinet. Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp

今やコロナ療養中のジョンソン英首相の閣僚会議もZoom

でも現実にそれが起こってしまって、セキュリティの専門家からは毎日のようにセキュリティ上の脆弱性が報告されて、なんだか最近は針のむしろ状態になっているんですね。

編注:本稿では、2020年4月5日夜までの情報をまとめています。

まず今大きな社会問題になっているのがこれ。ビデオ会議やネット授業の最中に招かれざる客が乱入して、野次を飛ばしたり、ポルノを流したりする荒らし行為、俗にいう 「Zoombombing(Zoom荒らし)」 です。

PCMagには、実行犯が一部始終を録画してYouTubeやTikTok、Twitterで自慢して回る様子が克明に報じられているんですけど、学校に不満を抱く学生が、授業の日時とIDをネットの掲示板に書き込んで、マニアに荒らしを呼びかけるのが流行ってるみたいなんですね。苦情の嵐を受けて、FBIが3月30日、予防手順を公開し、被害情報をインターネット犯罪苦情窓口に寄せるよう注意を呼びかけました。

続いて出てきたのが、セッションにアクセスすると本人の許可なく端末情報がFacebookに送られる問題。これはMotherboardの26日のスクープ。27日には解決しました。

サイトでもセキュリティ白書でもFAQでも「エンド・ツー・エンド(E2E)の暗号化」を謳っているんですが、これも嘘であることがThe Interceptの調べでわかり、Zoomも認めています。

受け手と送り手の間が暗号化されていない、となると、Zoomから見られてしまうんじゃ…と心配になりますが、Zoom側は「傍受、保存はしない」と言ってます。技術的な問題でFaceTimeのようなE2Eには至っていない、というのが大方の見方です。表記の修正が待たれます。

Zoomではセッション中に同じ法人ドメインの同僚がいると「会社の連絡先」に自動的に登録されます。gmail.com、yahoo.com、hotmail.comなんかの無料ドメインの個人アドレスで入ると登録されないんですが、オランダのマイナーな無料ドメイン( xs4all.nl、dds.nl、quicknet.nl)で入ると誤作動してしまう不具合も見つかっています。法人ドメインと誤って認識されてしまうのか、ご覧のように、同僚でもなんでもない人たちのメールアドレスと写真、電話番号まで1000人規模でどっと登録されるんです。

@zoom_us I just had a look at the free for private use version of Zoom and registered with my private email. I now got 1000 names, email addresses and even pictures of people in the company Directory. Is this intentional? #GDPRpic.twitter.com/bw5xZIGtSE