テレワークで需要増のビデオ会議サービス「Zoom」に複数のセキュリティ問題

クラウドコンピューティングによるビデオ会議サービス「Zoom」を提供するズームコミュニケーションズCEOのユアン氏は2020年4月、同社のサービス「Zoom」に複数のセキュリティ問題が内在していた事実を認め、90日ほど新規サービスの追加を停止し、セキュリティ問題の対処に注力すると発表しました。

Zoomはサービス公開から順調に運営されてきたサービスですが、コロナウイルスの蔓延によるテレワークの需要増に伴い、急激にユーザー数が拡散。これに伴い2020年3月ごろから、会議に不正侵入し人種差別などを繰り広げる「Zoombombing（ビデオ爆撃）」やウィンドウズ版のチャット機能におけるUNCに関する脆弱性を利用したサイバー攻撃の危険性など、従来指摘されなかった複数のセキュリティ問題が表面化しています。

同社が今回決定した90日間の新規サービス停止措置は、こうした問題に対して抜本的な対策を打つことを目的とした施策と見られます。

複数の脆弱性が問題視される

Zoomをめぐる一連の問題では、「Zoombombing（ビデオ爆撃）」「チャット機能の脆弱性」「エンドツーエンドの認識違い」の3点が大きな注目を集めています。

Zoombombing（ビデオ爆撃）

ビデオ爆撃攻撃とは、Zoom会議室におけるミーティングIDの生成方式を悪用したもので、攻撃者は機械的にコードを入力し、侵入したチャットルームでさまざまな荒らし行為を働くというもの。既に米国大学のチャットルームに侵入した攻撃者が、人種差別的・ポルノ的な画像を掲載するなどの事例が発生しました。

チャット機能の脆弱性

チャット機能の脆弱性問題は、Zoomのウィンドウズ版が使用するUNC（Universal Naming Convention）パスに内在する脆弱性を指摘するもので、悪意あるユーザーがチャット欄にURLを掲載することで情報流出の危険性が生じると、一部セキュリティー機関が警鐘が鳴らしました。（現時点では、アプリケーションを最新のバージョンに更新することで対処可能）

エンドツーエンドの認識違い

最後の「エンドツーエンド」は情報通信におけるセキュリティ用語です。Zoomのような通信サービスにおいでやり取りする暗号化情報が、双方が使用している端末以外に読み取られないことを意味していますが、ズームコミュニケーションズは「エンドツーエンド」の仕様を謳いながら、厳密には同社の端末から復号が可能な状態であったため、セキュリティ界隈から指摘を受けています。