IT小僧の時事放談

Zoomの危険性 使用禁止する企業、組織が増えている理由

2021年6月8日

目次

過去ニュースまとめ

OracleからAmazonへ

  • アマゾン・ウェブ・サービス(AWS)は11月30日、ズーム(Zoom)から「推奨クラウドプロバイダー」に選ばれたことを明らかにした。
  • ズームは2011年にAWSとの協業を開始。マイクロソフトやオラクルともクラウド契約を結んでいるが、サービスの大部分は自社データセンターに依拠している。ただし、新型コロナの世界的流行が続くなかでビデオ会議の需要が急増、外部のクラウドサービスへの依存度が高まっている。
  • 今年4月、ズームはオラクル(Oracle)と提携し、同社からクラウドインフラの提供を受けることを発表している。

今回新たに推奨プロバイダとして複数年契約を結んだことで、両社の協業関係はより緊密になると思われますが、Oracleとの関係を重視したのに一年も経たないのにAmazonへと乗り換えるのか?

ネタ元は、ビジネス・インサイダーより

「エンドツーエンドの暗号化」をユーザーに虚偽の宣伝 連邦取引委員会と和解?

2020年11月9日(月)

Zoomのセキュリティ問題について調査してきたアメリカの連邦取引委員会(FTC)が、
アメリカの連邦取引委員会(FTC)は、Zoomのセキュリティ問題について調査結果を発表した。
と同時にZoomとの和解案を発表している。

これまでZoomは、当ブログでも指摘してきたように

「オンライン会議の暗号化キーが中国のサーバーに保管されている」

「ユーザーの通信を保護するためにエンドツーエンドの暗号化を提供している」
と宣伝しながら、実際にはエンドツーエンドの暗号化を実装していなかった。

また、Macにおいて「ZoomOpener Web server」というソフトウェアを密かにインストール
これは、ZoomがAppleのセキュリティプロトコルを回避する(Safariがユーザー警告を出させない)のを助けるものだった。
※2019年7月、Mac上でZoomOpener Web serverを削除するアップデートを実施している。

これら数々の問題をアメリカの連邦取引委員会(FTC)は、

「包括的なセキュリティプログラムの確立と実装」
「プライバシーとセキュリティに関する不実表示の禁止」
「ユーザーを保護するための詳細かつ具体的な救済の確立」

という3つの条件をZoomに提示

Zoomが同意したことを発表した。

つまり、これまでの問題を認め、提示された条件を守れば、これ以上問わない。
というわけです。

事実、、Zoomにエンドツーエンドの暗号化の実装は、2020年5月に暗号化技術を開発しているスタートアップのKeybase社を買収し、10月には公式ブログでもエンドツーエンドの暗号化を展開すると発表しました。

Zoom Rolling Out End-to-End Encryption Offering - Zoom Blog
https://blog.zoom.us/zoom-rolling-out-end-to-end-encryption-offering/

と ここまでは、良かったのですが(よくないか・・・)

FTCの過半数は、民主党の委員で構成されていて

「おいおい! それじゃ 影響を受けてきたユーザーに対して何の保証もないのかよ」

と主張 なんだか このまま収まりそうになりません。

Zoom社は、消費者から数多くの訴訟が起こされているのも事実
FTCとの和解は、乗り切れそうだけどユーザーへの補償問題はこれからである。

と予想されている。

情報元:https://gigazine.net/

25社との協業発表

「Zoom」を運営する米ズーム・ビデオ・コミュニケーションズは14日、書類共有の「ドロップボックス」など他社製のアプリと連携しやすくすると発表した。資料を一緒に見ながら議論したり、会議中に投票アプリで採決を取ったりしやすくなる。企業向けのクラウドサービスを扱う新興企業が組み、米マイクロソフトなどに対抗する。

14日に開いた顧客向けの年次イベントで「Zapps(ザップス)」と呼ぶアプリ連携の仕組みを披露した。ズーム上のアイコンを押すだけで、画面を切り替えることなくチャットの「スラック」や仮想ホワイトボードの「ミロ」などを使えるようになる。2020年末までにサービスを始める計画で、まずは約25社との協業を決めた。

日本経済新聞 2020年10月15日 5:28

Zoomの株価 9月1日 41%上昇、時価総額IBM超え

【シリコンバレー=佐藤浩実】米株式市場で1日、ビデオ会議サービス「Zoom」を運営する米ズーム・ビデオ・コミュニケーションズの株価が急騰した。終値は前日比で41%高の457.69ドル。前日の好決算を受けて成長期待が高まったためで、終値ベースの時価総額は1291億ドル(約13兆6800億円)と米IBMを上回った。

日本経済新聞

新型コロナ禍の中で絶好調なZoom 中国との関係を断ち切ることをアピールしているので高感度が上昇しているようです。
ファーウェイあんどの中国企業ではなく、米国企業ということで投資家も好印象をアピールすることに成功

19年に新規株式公開(IPO)した新興企業としても時価総額の首位に立つ。当時、最有力企業として期待されていたライドシェア大手、米ウーバーテクノロジーズの時価総額は601億ドル。1日時点でズームは2.1倍に上り、コロナを経て企業の評価も様変わりした。

日本経済新聞

1日終値ベースの時価総額で、ズームはIBMを上回った=ロイター

 

中国大陸の顧客への新製品やアップグレード製品の直接販売停止 2020年8月3日

オンライン・ミーティングアプリ、Zoom(ズーム)社は3日、中国大陸の顧客への新製品やアップグレード製品の直接販売を23日から停止すると発表した。今後、中国のユーザーにはズームのパートナーを通して、ビデオ会議サービスのみ提供するという。

また、米国上院議員の超党派グループは、「TikTokとZoomに対して調査要求」の書簡を司法省に提出した。

これらを受けて 中国市場からの撤退への準備と言われています。
要は、「米国政府から睨まれたくない」というメッセージと推測できます。

在宅勤務用のビデオ会議端末を発売 2020年7月15日

【シリコンバレー=佐藤浩実】ビデオ会議サービス「Zoom」を手掛ける米ズーム・ビデオ・コミュニケーションズは15日、家庭で使うビデオ会議用端末の販売に乗り出すと発表した。まず協業先と開発した27インチのカメラ付きモニターを8月に米国で発売する。新型コロナウイルスの影響で在宅勤務が長期化しており、専用端末の需要を見込めると判断した。

映像機器などを扱う米DTENと組み、ビデオ会議での利用を主眼とする端末を設計した。第1弾はタッチパネル式の27インチモニターで、3つのカメラと8つのマイクを内蔵する。一般的なパソコンを使うよりも「会議への没入感と生産性を高められる」(ズーム)としている。

ズームは家でのビデオ会議に特化した端末(写真左)を8月に発売する=同社提供
写真左

米国での販売価格は599ドル(約6万4千円)で、2020年末までには日本でも発売する。ズームは企業向けには従来も協業先のビデオ会議端末を販売してきたが、家庭用の機器を扱うのは初めて。「ズーム・フォー・ホーム」と名付けて、今後も在宅勤務や遠隔学習用の機器の品ぞろえを広げるという。
日本経済新聞より

Zoomを使っている人は、そもそもパソコン、スマートフォン、タブレットを使っているわけで、わざわざ専用機器の需要があるかどうかは、不明

パソコン、スマートフォン、タブレットなど使えない層に販路があるのだろうか?
599ドル(約6万4千円)あれば、iPadが買える価格ではあるが・・・

期限までに透明性レポートを公開せず 2020年7月3日

ビデオ会議大手のZoomは以前、政府からの要求件数を6月30日までに公開すると言っていた(Internet Archive)。しかしその期限は過ぎ、情報開示の新たな期日も示さなかった。

Zoomは先月、米国拠点の2つのアカウントと香港の活動家の1つのアカウントを中国政府の要求を受けて一時停止したことを認めた後に、同社初の透明性レポートを公開すると述べた。アカウント一時停止の対象となった中国拠点ではなかったユーザーは、天安門事件を記念してZoomで会議を開いた。このイベントは中国本土で秘密のうちに検閲を受けていた。

同社はその際「サービスを展開するその地域の該当法律を守らなければならない」と述べたが、あとに中国本土外のユーザーに影響を及ぼす中国政府からの要求を認めないようにするためにポリシーを変更する、とした。

Zoomの広報担当はコメントしなかった。

TechCrunch
https://jp.techcrunch.com/2020/07/03/2020-07-01-zoom-transparency-report-deadline/

またしても、約束を守らず、情報開示をしなかった。
中国政府の顔色を伺っていると疑われても仕方がない状況である。

無料ユーザーを含む全ユーザーにエンドツーエンド(E2E)暗号化を行う 2020年6月17日

米国時間6月17日
無料ユーザーを含む全ユーザーにエンドツーエンド(E2E)暗号化を行うと発表しました。

ただし、無料ユーザーがE2E暗号化を利用するためには、認証のために一定の「個人情報」を差し出す必要がある(ショートメッセージを受信できる電話番号など)

Zoomはこれを「乱用の予防と対応のため」に必要なチェックだと言っている。

アメリカの人権団体のアカウントを中国の要請により一時停止 2020年6月12日

5月31日 天安門事件から31年となるのに合わせてZoomで当時の状況を伝えるイベントを開催
イベントには250人以上が参加、録画された動画は中国などで4000回以上再生されていました。

主催者は、1989年に中国の北京で起きた天安門事件に民主化を求める運動に参加した周鋒鎖(米国在住)が設立した人権団体

このアカウントが、5月7日にアカウント停止となりました。

周鋒鎖氏は、10日、ツイッターでアカウントが復旧したことを明らかにしたうえで、

「Zoomからいかなる回答も得られていない。アカウントがなぜ停止されたのか知りたい」
というコメントしている。

Zoomの広報は、
「複数の国から参加する会議では参加者はそれぞれの国の法律に従うことが求められる」
と言っている。

では、中国在住の人が、会議に参加していたのでしょうか?
中国のインターネットでのアクセスは、すべて監視されていることを考えれば、参加することのリスクを考えればないだろう。

言論の自由の擁護団体「ペン・アメリカ(PEN America)」は、中国政府は同国本土以外のズーム利用者を検閲するべきではないと訴えています。

これに対して

[11日 ロイター] - ビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズは11日、中国政府にユーザーの情報や会議の内容を提供していないと表明した。

ならば、なぜ アカウントを停止にしたのか?

Zoomは、中国の企業ではなく、中国人系米国人が立ち上げた米国企業です。

この事件に2020年6月12日 AFPより続報がありました。

【6月12日 AFP】(更新)米ビデオ会議サービス「ズーム(Zoom)」は11日夜、中国の天安門(Tiananmen)事件に関するビデオ会議を閉鎖し参加していた米国や香港の人権活動家らのアカウントを停止したことについて、中国政府からの要求に応じた措置だったと明らかにした

ズームの声明によると、1989年6月4日に中国が学生らの民主化運動を武力鎮圧した天安門事件を追悼する4つのビデオ会議について、「中国政府が、中国国内で違法とされている活動だと通告してきた。会議の閉鎖と主催アカウントの停止を要求された」という。

これらのビデオ会議には中国本土在住のユーザーも参加していたが、「特定の参加者を会議から除外したり、特定の国からの会議参加を阻止したり」する機能は現在ズームには備わっていないため、「ビデオ会議4つのうち3つを閉鎖し、それらに関与していた主催者アカウントを停止する決断に至った」と説明している。
(c)AFP

中国からの圧力でアカウントを停止したということが明らかになった。

ロイターでは、米議会が、Zoom社に対して説明を求めている。

[上海 12日 ロイター] - 米議会の複数の議員は、ビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ<ZM.O>に対して、同社と中国の関係や顧客データの取り扱いについて説明を求めた。

同社に対しては、米国と香港を拠点にする活動家3人が、中国天安門事件に関連したビデオ会議をズームで開こうとしたところ、一時的にアカウントが使えなくなったと主張していることから、批判が高まっている。

ズームは11日、中国政府から5月と6月初旬にこの天安門事件に関連したイベントについて対処するよう要請されたと明らかにした。

「われわれはユーザー情報や会議の内容についての情報を中国政府に提供していない」と主張し、「第三者が認識されないままズームの会議にアクセスすることもできない」と説明した。

フェイスブックやツイッターなど多くの欧米企業と異なり、ズームのサービスは中国では阻止されていない。

さらに

ズームはこの対応について、「不十分だった」と釈明。「中国本土以外のユーザーに影響を与えるべきではなかった」と述べた。停止された3アカウントは復活しており、今後は特定の国からの参加者をブロック・排除できるツールを開発するとしている。
(c)AFP

前日には、

「中国政府にユーザーの情報や会議の内容を提供していない」
と関係がないようなコメントをしていたのですが、

結局
「中国政府からの要求に応じた措置だった」

という結論でした。

結局、米国企業であっても中国の言うことを聴かざる得なかったZoomという企業体質があきらかになったと思われても仕方がない。

Zoomは、無料版と有料版でセキュリティ仕様が違います。 2020年6月2日

Zoomは、有料ユーザーへの音声およびビデオ通話の完全な暗号化を提供していますが、無料でプラットフォームを使用する人々に同じ暗号化機能を提供する予定はないと発表

CEO Eric Yuan

無料版は、なぜ(有料版と同じ)暗号化機能を提供しないのか?

FBIやその他の法執行当局と協力して、プラットフォームを違法に使用している個人を特定できるようにするため。
とコメント

無料ユーザーが暗号化されているわけではなく AES 256 GCM暗号化は、すべてのZoomユーザーに対して有効なので暗号化されていないわけではない。

有料版に搭載されている「エンドツーエンドの暗号化」は、無料版には搭載されていない。

また有料化は、「中国のサーバーを経由して接続されるのを好まないユーザーのため」ルーティングを制御ができる。
無料版は、指定できないので、どこを経由するか指定できません。

2020年5月30日から、Zoom 5.0以上しか動作しなくなります。

4月27日に一般公開されたZoom 5.0は、5月30日に、AES 256bit GCM暗号化が有効となる予定です。
それ以降は5.0以上のクライアントでなければZoomを利用できなくなるので要注意です。

中国の個人ユーザが同社のプラットフォームで会議を主催を停止 2020年5月18日

中国の個人ユーザが同社のプラットフォームで会議を主催することを一時停止
中国の代理店の一つが今月この変更を発表

Zoom は5月1日以降、中国の無料ユーザによる会議の開催を停止した。
事実上、個人でサービスを購入することはできなくなっている。
Shanghai Donghan Telecommunications(上海東涵通訊)

原因は、22日に開幕する 全国人民代表大会(全人代、国会に相当) のためとも言われている。

暗号化技術の米社買収 2020年5月7日

[7日 ロイター] - ビデオ会議システムの米ズーム・ビデオ・コミュニケーションズ(ZM.O)は7日、以前から問題が指摘されていた同社サービスのセキュリティを強化するため、暗号化技術を手掛ける米新興企業のキーベースを買収した。また、ユーザーのプライバシー保護でニューヨーク州司法長官と合意した。

同社は、ビデオ会議の主催者の権限を拡大し、ユーザーがより安全に会議に参加できるなツールの開発を計画中だと説明した。

ロイター

Zoom社のブログでも掲載されています。
Zoom Acquires Keybase and Announces Goal of Developing the Most Broadly Used Enterprise End-to-End Encryption Offering

Keybase社は、2014年設立で「エンド・ツー・エンド」と呼ぶ暗号化を施したチャットサービスを展開しています。
目的は、Keybaseの「エンド・ツー・エンド」の暗号化技術です。

クラウド環境をオラクルに変更 2020年4月29日

【シリコンバレー=佐藤浩実】ビデオ会議サービス「Zoom」を運営する米ズーム・ビデオ・コミュニケーションズは28日、米オラクルからクラウド基盤の提供を受けると発表した。新型コロナウイルス感染を防ぐための「在宅」が長期化するなかで、3億人の利用に応えられるようにする。米IT(情報技術)大手との新たな提携で、利用者の安心感を高める狙いもありそうだ。
日本経済新聞

簡単に言えば、これまでAmazon Web Services(アマゾン ウェブ サービス、AWS)を使っていたが、Oracle Cloud Infrastructure(オラクルクラウド、QCI)に変えますよ
という話です。

クラウドのシェアは、AmazonとMicrosoftの2強とそれに続く、Googleと中国のAlibabaで3/4を占めていて、オラクル社のシエアは、数%という状況です。

記事では、「利用者の安心感」に言及していますが、クラウドを変えたからと言って使用者からは、あまり変わらないと言えます。

Oracleからすると、Zoomというネームバリューが欲しかっただろうし、Zoomとすれば、コストダウンになるかも知れない。
そしてZoomの最大のアピールポイントとして、Oracle社のクラウドは、中国に拠点がない ということをアピールしたい意味もあるだろう。

まとめ

Zoomに関しては、脆弱性を塞ぐために迅速に動いています。

「これまでにZoomがセキュリティとプライヴァシー保護が最も徹底したサーヴィスであると考えられたことなどありません。確かに重大な脆弱性を抱えてきましたが、ほかに選択肢がほとんどない場合が多いでのす」
セキュリティ研究者のケン・ホワイト

会議の内容が、外部に漏れてもかまわなければ、問題ないと思います。

それ以外は、企業の経営者層や社内のエンジニアがどのように判断するかで決まってきます。
最終的には、コストとセキュリティの天秤が判断材料になると思います。

ただし、最新ニュースで取り上げたように、中国との関わり合いが表に出てきました。

IT小僧が、もし企業のシステム担当だったら、
Microsoft 365(Office 365)が導入されている前提で言えば

Microsoft Teams を使うことを進言します。

Microsoft Store (マイクロソフトストア)

広告
現在、各企業で多く活用されている WordPress メンテナンスに困っている企業も多いと思います。

そこで、wp.supportにご相談ください。

スポンサーリンク

-IT小僧の時事放談
-,

Copyright© IT小僧の時事放談 , 2021 All Rights Reserved Powered by AFFINGER5.