大人気zoomはセキュリティとプライバシーが問題という話

急にテレワークの需要が増え、ビデオ会議アプリが活用されるようになりました。
zoom, discord, teams, web-ex, Skype...
その中でもzoomは大人気で、ユーザーが20倍に増えたとのこと。
https://finance.yahoo.com/news/zoom-users-surge-from-10-m-to-200-m-as-world-works-from-home-110022110.html

一方で、zoomのツールとしてのセキュリティー、プライバシーが問題となっています。
それをニュース記事をベースにまとめます。


問題1 Facebookに端末情報を送信していた(プライバシー問題)
Facebookはプライバシーを無視して情報を集める会社として有名ですが、
zoomアプリはFacebookに対してデータを送信し続ける作りになっていたとのこと。
しかもFacebookのアカウントを持っていない人でもです。これはひどい。
しかしなぜFacebook？ということですが、これはzoomのiOSクライアントでFacebook SDKを使っていたからのようです。
https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/
逆に言うと、このSDK使っているアプリは全部プライバシー的にだめなのでは...


問題2 通信が暗号化されていない(プライバシー、セキュリティ問題)
zoomは通信が暗号化されているとしていますが、実際はされていないようです。
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
この問題は未解決です。


問題3 誰でも会議に入れてしまう(セキュリティ問題)
これをzoombombingというようですが、会議IDを知っていれば誰でも会議に入れてしまうわけです。
今後は参加のためのパスワードも入力するようになります。
https://techcrunch.com/2020/04/03/zoom-waiting-rooms-default/


問題4 中国の証明局の証明書を使っている(セキュリティ問題)
アメリカは嫌がるでしょうね。
https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
この問題は未解決です。


問題5 数々の脆弱性(セキュリティ問題)
人気になったことにより、セキュリティ研究者の注目の的になっており、
日々いろいろな脆弱性が発見されています。
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
この問題は日々解決中、といったところでしょうか。


問題6 macOS用アプリの脆弱な作りにより、appleが阻止した(セキュリティ問題)
zoomのmacOSアプリが、裏でhttpサーバーを立てる、といったトンデモな作りになっていたことから、
昨年appleが怒りのセキュリティアップデートでそれを無効化しています。
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/


ではなぜ、こんなに問題がある、しかも比較的新しいソフトウェアが注目されるようになったのでしょうか。
理由はよく言われるように以下2つです
・音声、動画の品質が高くて安定している
・アカウントを持っていない人でも会議に参加できる
これではないでしょうか。
とくに前者は、抜き出て優秀なようです。

こんな状況の中、あの懐かしいskypeが、アプリやアカウントがなくても使えるなったそうです。
https://9to5mac.com/2020/04/03/skype-ditches-account-download-requirements-now-link-based-free-calls/
ベストなツール、というのは簡単には決められないので、
いろいろなツールをうまく使い分けて、この困難な状況を乗り越えていきましょう。