〔アングル〕ズーム爆弾の脅威、ビデオ会議アプリの賢い選択法

ビデオ会議アプリの利用が急増している。新型コロナウイルス危機で何百万人もが家に封じ込められているためだ。写真はイラストレーション。４月１２日、ボスニア・ヘルツェゴヴィナのサラエボで撮影（２０２０年　ロイター/Dado Ruvic）

［２０日　ロイター］ - ビデオ会議アプリの利用が急増している。新型コロナウイルス危機で何百万人もが家に封じ込められているためだ。これは同時に、セキュリティーやプライバシーの問題、さらには新語の「ズーム爆弾」、つまり招待されていないユーザーがビデオ会議に乱入してぶちこわしにする行為を巡って、疑問符を突き付けている。

ビデオ会議アプリは「ハウスパーティー」や「グーグル・ハングアウト」 あるいは「ズーム」 のような学童や一般ユーザー向けの、アクセスが簡単なタイプから、シスコシステムズ のビジネス向けの「ウェブエックス」、マイクロソフトの「チームズ」、あるいは「ブルージーンズ」に至るまで多様だ。いずれのアプリの値打ちも利益も急増している。

どのビデオ会議アプリを選ぶべきか、そのリスクは何かをまとめた。

＜問題点＞

ハウスパーティーでは３月末ごろ、ユーザーがインストールを解除する動きが始まった。ダウンロード後に携帯端末上の他のアプリがハッキングされたとの苦情がソーシャルメディア上で頻発するようになったためだ。

同社は中傷キャンペーンだとして苦情の内容を否定し、証拠を示せば１００万ドルの賞金を出すとした。

ズームは、たった３カ月弱で１日当たりのユーザーが１０００万人から２億人に急増した。しかし、招待されていない見知らぬユーザーが招待制の非公開の会議に押し入る妨害行為「ズーム爆弾」が多発している。

こうした問題の多くが示唆しているのは、ズームが世界的なロックダウン（封鎖）で人気になっただけでなく、単なるビジネス会議ツールを超えて世界的なビデオチャットのたまり場として利用されるようになったという事実だ。

フェイスブックの元最高セキュリティー責任者で、今はズームの社外コンサルタントを務めるアレックス・スタモス氏は「ズームは今では見ず知らずの人をビデオチャットに誘い込むような使われ方になっている。これは大きな変化だ」と語る。

こうした変化はさらに大きな問題に膨れ上がることになった。セキュリティー研究者らがズームに潜むコードのバグ問題、フェイスブック とのユーザーデータ共有、徹底した暗号化の欠如、一部データの中国経由での転送などの課題を発見していったからだ。

スタモス氏は、ズームの変化は、同社がプライバシーやセキュリティーについての考え方を改めねばらなくなったことを意味すると指摘した。

＜脅威は本物か＞

セキュリティー問題の専門家はビデオ会議アプリについて、暮らしの上でのやりとりや一般消費者に向けたサービスと、大企業や銀行向けに、やりとりの守秘を意図したサービスを区別している。

専門家によると、ズーム爆撃の多くは、ビデオ会議の主催者がチャットへの参加にパスワード入力を求めるとか、招待を狭いグループにとどめるといった単純な対策を取っていれば防ぐことができたはずだ。

ズームは問題発生後、ソフトウエアを更新。主催者が外部の会議参加を拒否したり、参加者ができることを制限したり、参加者を会議の場から外すことができるようにした。さらに、特定のチャットの参加者には事前承認手続きをするよう主催者に助言。フェイスブックのデータアクセス権限は解除した。

サイバーセキュリティー専門家のダニエル・カスバート氏は「こうした欠陥が深刻なのは間違いない。しかし、珍しいことでも特別なことでもない」と指摘。ズームはすぐに行動して問題を解決したとし、「こうした対応は異例で、称賛されるべきだ」と評価する。

一方、企業の顧客からすると、暗号化の問題とともに、だれが会議記録を補完するのか、誰が会話を聞けたりするのかという点は、より重要だ。企業情報を守り、あるいは顧客に対するプライバシー守秘義務を順守する必要があるからだ。

ズームはセキュリティー対処のために業界トップの人材を起用した。既に、ユーザーが中国経由のデータ転送を回避できるような仕組みも構築した。しかしチャットは最初から最後まで暗号化されているとの当初の説明が、顧客を誤解させた点は認めざるを得なかった。

専門家は、いくつもの企業や政府機関がこの１カ月にズームアプリの禁止に踏み切ったのも、そうした理由によるとみている。

ソフトウエア会社Ｊａｍｆのセキュリティー専門家、パトリック・ワードル氏は「普通のユーザーが家族と日常的なことを話す分には、ズームでもたぶん構わない。でも私としては、もっと経験豊富な企業が開発したプラットフォームを使い続けることを勧める」と話した。

＜暗号化にばらつき＞

会議アプリの一部企業は、全面暗号化サービスをオプションとして提供するが、その場合も、会議の会話データの保存といった、いくつかの機能はサポートの対象外だ。

シスコは、ウェブエックスでのやりとりは暗号化されているとしている。同社のジョナサン・デービッドソン上級副社長は「我々は会議の内容を取りに行ったりしないし、広告会社にデータを売ったりはしない。安全なコミュニケーションのための適切なツールだからだ」と話した。ウェブエックスの３月の利用者数は３億２４００万人。

マイクロソフトのチームズはユーザー数が現在４４００万人、ブルージーンズの法人顧客は１万５０００社。両社ともオプションで暗号化サービスを提供する。

大手銀行が支援するメッセージングサービス会社、シンフォニー・コミュニケーションのデービッド・ガールＣＥＯによると、同社は今夏の早い時期に、完全な暗号化機能を備えたビデオ会議プラットフォームを立ち上げる計画だ。