Zoomの人気は、コロナウイルスの人気もあって急上昇。2019年12月には、ユーザー数1000万人と報告された。2020年4月には、その数は3億人にまで増加しました。この年、株価は500％以上上昇した。今では、企業や社会的に距離のある友人グループ、さらには家族全員にとって不可欠なアプリとなっています。

しかし、Zoomは安全なのでしょうか？このアプリには、セキュリティやプライバシーに関する懸念の報告が、その隆盛期を通じてずっと潜んでいました。ここでは、Zoomのセキュリティに関する最大の問題点について詳しく見ていきましょう。

1ズームボミング

そう、ズームボムってやつです。写真爆撃のように、自分が疑われていない人**のスナップ写真を見ることです。ズーム爆撃とは、ユーザーが招待されていないズームコールにログオンすることを指します。

しかし、どのようにズーム爆撃が可能なのか？Zoomは、そのプラットフォーム上で各チャットに一意の会議ID番号を使用しています。この番号は9桁から11桁の長さで、会議にアクセスするために使用されます。

しかし、会議のID番号は簡単に推測できた。その結果、いたずら者が通話に参加し、画面共有**などの機能を使って混乱させるのです。よく言えば、迷惑な話です。最悪の場合、あなたのデータを危険にさらす可能性があります。特に、機密のビジネス通話中であればなおさらです。

解決策は簡単で、参加するスケーリングコールごとにパスワードを設定することです。また、zoomでは参加者の活動を停止する方法も導入しているので、偽者をコールから追い出すこともできます。

詳しくは、総合ガイドをご覧ください。

2 安全でないデスクトップアプリケーション

デスクトップでZoomを使用する場合、デスクトップアプリケーションとWebアプリケーションの2つの選択肢があります。常にウェブブラウザ版を使用する必要があります。これは、新しいセキュリティ強化を得るために、デスクトップアプリケーションよりもはるかに速いです。

アップデートはともかく、やはりWeb版の方が安心感がありますね。これは、ブラウザのサンドボックス内に存在するため、パーミッションがはるかに少なく、オペレーティングシステム全体に問題を引き起こす能力が低いことを意味します。

Zoomアプリケーションを使用したい場合は、安全なズーム統合機能を持つSkype for Businessをご検討ください。

III.誤ったエンドツーエンドの暗号化に関する記述

2020年代初頭、Zoomはエンドツーエンドの暗号化を重要な機能として大きくアピールしています。理論的には、あなたとチャット中の他の人々との間のすべての通信は、その人々だけが見ることができ、誰もそれを解読することができないことを意味します。

データは暗号化されますが、それはあなたとZoomサーバーの間だけです。

このため、公衆Wi-Fiネットワーク上の盗聴者や地域のハッカーは通話を見ることができませんが、Zoom社の社員はすべてを見ることができます。そのため、もし**や法執行機関があなたのチャットルームへのアクセスを求めた場合、彼らは簡単にそれを手に入れることができます。

2020年10月下旬、Zoomはようやく真のエンドツーエンドの暗号化を展開したが、全体として口惜しさが残り、Zoomがビジネスとして信頼できないことを示した。

設定」で「エンドツーエンドの暗号化を許可する」を切り替えて、この機能を有効にします。

4 マルウェアがバンドルされたインストーラー

Zoomのインストーラーは広くコピーされ、再配布されています。これらの再配布ソフトの多くは、無防備なユーザーを欺くためにインストーラーをバンドルしています。

その最も有名な例は、2020年4月にZoomのインストーラーから見つかった暗号通貨採掘マルウェアです。インストールされると、ビットコインを採掘するためにCPUとGPUを消費し、マシンで何かをするための自由なエネルギーがほとんどなくなってしまいます。

この欠陥は、ズームのせいではありません。しかし、ハッカーがある瞬間に「ホット」なものを標的にし、それを悪用することができることを示すものである。Zoomのダウンロードは、必ず公式サイトから行ってください。

5 漏えいしたパスワード

パスワードの漏洩」と聞くと、サービス提供者に責任があると思われるかもしれません。しかし、この場合、Zoomは犯人ではありません。

テキサス大学とオクラホマ大学の学術論文によると、Zoom通話をする相手は、理論的にはあなたの腕や肩の動きを見れば、何を入力しているのかがわかるそうです。

もちろん、SkypeやTwitchなど、あらゆる形態の動画配信も攻撃の対象になります。

ハッカーは、あなたの通話を1080pで録音し、コンピュータ・プログラム経由でバックグラウンドに送信するだけでよいのです。頭に対して腕や肩の動きをモニターすることで、どのようなキーストロークを押せばいいのかを的確に教えてくれるのです。

教訓？電話するときは、アカウントにログインしないでください。パスワードの入力が必要な場合は、入力の際に動画配信を一時的に停止してください。袖を通したり、肩を隠したり、10本の指でタッチして入力することも、ハッカーにこの方法を使われることを難しくしています。

6 無限に広がるセキュリティの脆弱性

Zoomには、セキュリティ上の脆弱性が数多く存在します。これらの脆弱性の多くは現在修正されているが、ハッカーに悪用される未発見の脆弱性がどれだけ残っているかという疑問が生じる。

2020年だけでも注目すべきスケーリング上の欠陥やセキュリティ上の脆弱性を紹介します。

• 6月、Talos社は、ハッカーがアニメーションGIFを使ってZoomアプリからマルウェアを強制的にインストールできることを明らかにしました。
• 同月、Talosは、ZoomがZIPファイルの中身をマルウェアとしてスキャンしていないことを知りました。
• 今年5月、トレンドマイクロは、コンピュータにバックドアを開き、その所有者をスパイする可能性のあるZoomインストーラー**を2例発見しました。そのうちのひとつが、ボットネットに関わるものでした。
• C***umer Reportsによると、Zoom社のプライバシーポリシーは、あらゆる種類の疑わしいデータ収集にユーザーをさらすという。 報告書によると、[Zoom]はビデオ会議でデータを収集し、それをデータプロキシや他のソースからの情報と組み合わせて消費者プロファイルを構築し、顔認識システムのトレーニングなどの目的でビデオを使用できる可能性があるという。
• Twitterのユーザーは、Zoomのプライベートチャットが全くプライベートでないことを発見しました。その代わり、会議の終わりに司会者が受け取ったメモに、「私的」な会話が付け加えられました。
• 今年4月、Citizen Labは、Zoomの待合室で行われる会議の出席者が、会議の暗号鍵をハッキングできることを発見しました。
• また、今年4月には、ハッカーがクレデンシャル・パディングと呼ばれる技術を使用し、50万件の盗まれたZoomパスワードがダークウェブ**上にあることがIntsightsによって発見されました。

さらに詳しい情報が必要な場合は、「ズームコールをより安全にする方法」をご覧ください。

ズームオプションは使用した方が良いのでしょうか？

スケーリングセキュリティの問題を考えると、他の方法に切り替えることを検討すべきでしょうか？悲しいかな、そんなに簡単なことではありません。

Googlemeet、Microsoft Team、Webexなどのサービスは、セキュリティの専門家からプライバシーの問題で非難を浴びている。

2つ目は、ビデオ会議アプリケーションとして圧倒的な人気を誇る「Zoom」です。お目当ての人は全員、表彰台に上がっている。FacebookやWhatsAppから離れるのと同じように、別のアプリを使えば、友人や同僚と同じレベルのコミュニケーションを楽しむことはできません。