ニュースレター登録

オールドメディアが伝えない海外のニュース

「ビデオ会議アプリZoomはマルウェアである」とプリンストン大学教授が指摘:Googleは会社のラップトップにZoomをインストールすることを禁止。台湾政府、ドイツ政府もZoomを利用禁止。株主はZoomに対する訴訟を起こす。

2020年4月8日
「ビデオ会議アプリZoomはマルウェアである」とプリンストン大学教授が指摘:Googleは会社のラップトップにZoomをインストールすることを禁止。台湾政府、ドイツ政府もZoomを利用禁止へ

Zoomの創業者&CEO、エリック・S・ユアン氏(Screenshot via Zoom.us)

Web会議アプリZoomは、世界各地で自宅待機命令が出されているため、リモートで会議を行ったり遠隔授業を受ける人たちの間で急速に人気が出ている。先週4月3日、そのアプリが密かにユーザ・データをチャイナに送信していることを突き止めたと、トロント大学の研究所に勤務する2名の研究者が報告書を発表、上昇していた同社の株価が急落していた。

https://twitter.com/BFidr/status/1246199431533387777?s=20

この調査報告書は、トロント大学内にあるCitizen Labで勤務する研究者、ビル・マルザック氏とジョン・スコット=レイルトン氏が執筆した。(調査報告書はここで公開されている。)

この調査報告書によると、Zoomのアプリはユーザ・データを密かにチャイナに送信しており、その中には暗号化キーが含まれる場合もあるという。この暗号化キーがあれば、ユーザの会話にロックがかけられていても覗き見ることができる。

ちょうどこの調査報告書が発表される前の週、Zoomのアプリには会議の途中、いたずら好きの何者かに突然侵入されるという「Zoom-bombing(ズーム爆弾)」が頻発し、社会的に広く問題となっていたため、Zoomは同アプリが抱えるプライバシーと安全性に関する様々な欠陥について謝罪を行なっていた

こうしたニュースが報じられる中、4月8日、Googleは社員に対して会社のラップトップ上でZoomをインストールして利用することを禁止したと米国のBuzzfeedが報じた。理由は、Zoomのソフトウェアにセキュリティ・リスクがあるためであると、社員に送信されたメールには記されているという。ただし、社員たちへは引き続きモバイル端末上とブラウザー・ベースのZoomは使うことを許可していると、Googleの広報担当者は語っている

Googleには自社開発したビデオ通話アプリHangがあるにもかかわらず、社員たちが競合企業のアプリを会社のラップトップにインストールして使うことを許可していた理由については不明である。

いずれにしても、今後、Zoomを会社のラップトップにインストールして利用することを禁止したGoogleの判断に続く企業が現れることが予想される。

今週火曜、台湾政府もZoomのアプリを政府内で利用することを禁止する発表を行った。またその翌日、ドイツ政府もZoomの利用を一部禁止したと報じられている

しかし、Zoomのアプリについては昨年から問題があることが指摘されていた。例えば、インターネット・セキュリティー企業のEasyDNSは、2019年7月8日、Zoomアプリのインストーラーが、ミニWebサーバをユーザのコンピュータにインストールしていることを突き止め発表していた。たとえユーザがZoomのアプリを削除(アンインストール)しても、この密かにインストールされたマルウェアは残り続け、そのコンピュータは脆弱性にさらされ続けることになる。EasyDNSは、最大400万台のマック・コンピュータのカメラがZoomによりハッキングを受けており、そのため外部からのリモート・アクセスを受けるリスクにさらされていると発表していた。この指摘を受けて、AppleはZoomが自らこの問題を修正する前に、緊急のアップデートを行う措置を行なっていた

EasyDNSは、さらに先週、Zoomがユーザに関するテレメトリ(遠隔情報収集=Telemetry)データーをFacebookに送信している指摘している。これはユーザがFacebookにアカウントを持っていなくても行われているという。

■ 最近報告されているZoomの脆弱性まとめ

  • 4月1日、(スノーデンが勤務していたことでも有名な)国家安全保障局の元職員であるハッカーが、(まだ存在を知られていない)「ゼロデイ脆弱性」を2件発表した。この脆弱性を利用すれば、ハッカーがZoomの利用セッション中にローカル・アクセスでき、Zoomのソフトウェアを乗っ取ってマルウェアをインストールすることが可能となる。
  • 4月2日、Krebs on Securityは、イタズラ者がパスワードで保護されていない他人のZoomルームに勝手に侵入し会議を妨害するという「Zoom-bombing(ズーム爆弾)」現象が急速に広がっていることについて報告を行い、その中でZoomのパスワードに問題があると指摘している。
  • Zoomの脆弱性が広く知れ渡ることにより、ユーザの会話の内容がハッカーによって録画され、それがTikTok上で公開されるという事態が発生している。(TikTokも、中華のスパイウェアであるとRedditのCEOは非難している。)
  • Zoomのユーザが会議のセッションごとに作成するビデオ・ファイルの名前の付け方に一定の法則性がある場合、そうした見破られやすいファイル名をつけたフォルダに入れられた動画は容易に暴かれウェブ上からのアクセスを許してしまうことが判明
  • (冒頭で紹介した)トロント大学の研究所Citizen Labの研究者2名は、Zoomのクライアント・アプリに対してリバース・エンジニアリングを行い、一般的ではない独自の暗号化スキームが利用されていることを発見。しかもその暗号化技術はかなり質が悪いことを発見している。
  • プリンストン大学コンピュータ・サイエンス学科のアルビンド・ナラヤナン教授は、「Zoomはマルウェアである」と指摘している

ナラヤナン教授のツイート:

【訳】これを単純に言おう:Zoomはマルウェアである。

(引用部分)ZoomのMacOSインストーラーが、どのようにユーザがクリックしなくても勝手にインストールするかについて考えたことがあるだろうか?彼らはプレインストール・スクリプトを利用(悪用)していることが判明した。もし現在のユーザがアドミン・グループに入っているのであれば、バンドルされている7zipを使ってアプリをマニュアルで開封し、そしてそれをアプリケーションにインストールするべき。(ルート化は不要)

こうした事態を受けて、ニューヨーク州、コネチカット州、フロリダ州という少なくとも3人の州法務長官がZoomにおけるプライバシー保護対策(むしろ悪意ある個人情報の収集と漏洩)について捜査を開始すると発表した。また、州政府だけではなく、連邦政府もZoomのプライバシー保護対策を問題視しており、大統領候補にもなったエイミー・クロブッシャー上院議員を筆頭に、民主党の議員たちが今週4月7日(火曜)、米連邦取引委員会(FTC)に対してZoomを調査するよう要請している

そして翌4月8日(水曜)、株主はZoomが詐欺行為を行ったとして同社に対して訴訟を起こしている

窮地に追い込まれているZoomは、4月8日(水曜)、元Facebookのセキュリティ責任者で、現在はスタンフォード大学の非常勤教授であるアレックス・スタモス氏をアドバイザーとして採用した

スタモス氏は、同日、Medium.comに「Zoomのセキュリティと安全性について対応している」と題する投稿を行っている。

【追加情報(4月11日)】

Zoomのエリック・S・ユアン社長が「ダメージ・コントロール」に奔走している。失ってしまった顧客の信頼を取り戻すために、Zoomのユアン社長は金融系ケーブルチャンネルCNBCに出演し、人気ホストのジム・クレイマー氏からの質問に答えている。(上の動画がそのときの番組。)

その中で、クレイマー氏は、「シスコのラウターはチャイナにデータを送信しない。これは(Zoomとは)大きな違いだ。多くの個人や法人の利用者たちは通信をチャイナ経由で行いたくはない。(利用規約などのページに)チェック・ボックスを設定し、チャイニーズのサーバが私たちの情報にアクセスすることはないと(約束)することはできますか?」と質問している。

この質問に対して、ユアン社長は、「ミス・コンフィギュレーションが原因で、非常に稀なケースにおいて情報がチャイナのサーバを経由していた」と答え、情報がチャイナのサーバに送られていたのは「ミスステップ(間違い)だ」と説明した。

クレイマー氏は、「ミスステップ、そうですね」と応じ、この話題についてそれ以上の追求は行っていない。

ユアン社長の英語は非常に外国語の訛りが強い。

https://twitter.com/BFidr/status/1253851860512972802?s=20

BonaFidrをフォロー

執筆者

編集部

See author's posts

テレグラムでBonaFidrをフォロー

関連記事

Tags:

コメントを残す

error: コンテンツは保護されています。