IT小僧の時事放談

Zoomの危険性 使用禁止する企業、組織が増えている理由

ZOOM Cloud Meetings

新型コロナウィルスの影響でリモートワークという状況になっている企業が増えている。

そこで使われ始めたのが、Zoom というサービス
要はリモート会議のサービスで他のサービスより使い勝手がよく安価ということで飛びついたわけですが、そこには大きな罠があった。

今回のIT小僧の時事放談は、
Zoomの危険性 使用禁止する企業、組織が増えている理由

と題して、世界中でZoom禁止の方向になっていますが、5.0以降でセキュリティが大きくアップされました。

小難しい話をわかりやすく解説しながらブログにまとめました。

最後まで読んでいただけたら幸いです。

最新情報 2020年8月3日
中国大陸の顧客への新製品やアップグレード製品の直接販売停止

Zoom 最新バージョン
2020年8月4日にバージョン 5.2.0(Windows版他)がリリースされました。
Microsoft SharePointやOutlookなど Microsoft社のシステムとの連携を強化したところが注目されます。

スポンサーリンク

目次

Zoom

新型コロナウィルスの影響で外出禁止や自主隔離などが広がるなか、企業や学校、組織は、コミュニケーションを取る方法としてZoomというものが注目された。

なにしろ、無料で100人までのグループビデオチャットに対応できるという最大の利点がある。

無料、コスト0 これは、みんなつかうわけだ。

Zoomのロゴ

https://zoom.us/jp-jp/meetings.html

使用禁止

Zoomは今日までにFacebookアカウントを持たないユーザーもデータをFacebookに送られてしまう、オンライン会議のキーが中国・北京のサーバーを経由していた問題、またエンドツーエンド暗号化の「認識違い」やZoombombing(ズームボミング、Zoom爆撃)攻撃など、様々なセキュリティとプライバシーに関する問題が噴出し、株主からの訴訟も提起されていた。

米国

ニューヨーク市、ネバダ州やロサンゼルス(LA)の一部学校でセキュリティ問題を理由にズーム使用を禁止

[9日 ロイター] - 米上院は議員らに対し、ビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ(ZM.O)が提供するアプリ「ズーム」を使用しないよう通達した。

米電気自動車メーカー、テスラ(TSLA.O)のイーロン・マスク最高経営責任者(CEO)が率いる米宇宙ベンチャー「スペースX」も「ズーム」の使用を禁じている。

米カリフォルニア州バークレーの高校でも、パスワードで保護されているはずの会話にわいせつ画像が割り込んだ事例を受け、「ズーム」使用を停止

アルファベット(Alphabet)傘下のグーグル(Google)は8日、ズーム・ビデオ・コ ミュニケーションズ(Zoom Video Communications)の動画会議アプリケーションをグーグル社員のラップトップで使うことを禁止した。先日に発覚したセキュリティーおよびプライバシーの問題がその理由。

台湾政府

公共機関におけるズームの使用を全面的に禁止

ドイツ

外務省といった公的機関は、禁止

シンガポール

[シンガポール 10日 ロイター] - シンガポール教育省は10日、教員にビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ(ZM.O)が提供するアプリ「ズーム」の使用を停止するよう指示した。新型コロナウイルス感染拡大を受けてオンライン授業を実施するなかで「極めて重大な事案」が発生したという。

その他、多くの公共機関でZoomを禁止しているところが多い。

Zoomアカウントが、売られていた

2020年4月15日 直接は、Zoom側の問題ではなかったのですが、こんなニュースが、流れてきた。

何十万ものZoomアカウントがダークWebとハッカーフォーラムで無料配布または販売されていると報じられています。
コンピュータヘルプサイトのBleepingComputerは上記の報告とともに、サイバーセキュリティ企業Cybleが約53万ものZoomアカウント情報を1ペンス(約132円)未満で購入できたと伝えています。

購入したアカウントには被害者のメールアドレス、パスワード、パーソナル会議のURLおよびホストキーなどが含まれており、一部は正規のアカウントだと確認されたとのことです。

Engadget

セキュリティが甘かった時の情報だと思います。
もし、念の為、パスワードの変更をしておいたほうが良いかも知れません。

Zoom

ここで大きな問題は、Zoomで使用していたパスワードが他のサイトで使われていないか?
ということだと思います。

なにが問題なのか?

これまで出てきた問題点

1.Zoomの暗号化は強固でない

「エンド・ツー・エンドの暗号化」をサポートしていると主張していたが実際にはサポートしていなかった。

エンドツーエンドの暗号化とは、参加者と参加者の間での暗号化のことでセキュリティは守られていたわけですが、参加者とサーバーとの間でのみ暗号化sれていただけで、サーバー上では暗号化されていなかった。

つまり、Zoomの管理者などが会議の中身にアクセスできる可能性があり、説明と実際の動きが合っていないとの指摘があった。

また、暗号化に使用しているAES(Advanced Encryption Standard)の鍵長は256ビットだとズームは説明していたが、実は128ビットだった。

2.暗号鍵をサーバーが中国にあった。

暗号鍵をサーバーが作成して仕様者に配布される仕組みになっていますが、暗号鍵を作成しているサーバーの5つが中国に設置されていた。

これは、何を意味するかと言うと

鍵を持っているサーバーが中国にある場合、中国政府当局が要求すれば、ビデオ会議の内容が中国政府当局に筒抜けされる(可能性が高い)

これは、中国の法律で決まっていることなので防ぎようがない。

Zoom側では、現在ではこの問題は解消していると発表している。

有料課金に限り、使用するサーバーを選択できる機能が追加された。
また、無料使用でも指定しない限り中国のサーバを使用しないとされている。

3.アプリの問題

Mac版クライアントソフトにも管理者権限を奪われるなどの脆弱性が見つかった。

2020年4月、ZoomのWindows版クライアントソフトに危険な脆弱性が見つかったとして情報処理推進機構(IPA)が注意喚起をした。
細工が施されたリンクをクリックするだけで認証情報を盗まれる恐れがある。

すでに修正版がでているので問題は解消されている。

スポンサーリンク

ばれるまでやっていた?

Zoomで問題なのは、

指摘されたから直しました。

という企業の姿勢だと思います。

Facebookに情報を流していた。
一部の暗号鍵のサーバーが中国にあった。

などというのは、

最初から組み込まれてきた仕様や設定なので知りませんでは言い訳にならない。

セキュリティの問題が指摘されるまで、情報を集めまくったことは、否定できません。

以前 Simeji – 日本語文字入力&きせかえ・顔文字キーボード.が、無料で配布されていたことがありました。
開発元は、Baidu Japan Inc.(Baidu は、中国検索エンジン大手である百度)

入力した情報(ユーザーID、パスワードを含む)が、中国に送られているのではという疑惑があったのですが、当初否定していました。
結局、中国のサーバーに送られたことが発覚して

ばれるまでやっていた

と言われても仕方がないのです。

Baidu は、2019年にユーザーデータを断りなく中国に送信したり広告詐欺を行っていたため、米国ではアカウントを停止されました。

リスクと利便性

Zoomは、Skypeや他の会議システムと違って、それぞれがアカウントを登録していない状態でも会議ができるような仕組みになっていて簡単に使えて無料でも十分に使えるサービスです。

一方、利便性を追求するためには、ハードルを下げる必要性があるためセキュリティが下がるのは、仕方がないという一面があるのは事実

利便性とセキュリティを同時に実現するのはかなり難しい。

企業ではどうするか?

問題点が指摘されたときに

「やっていないのにやっていた嘘を言っていた」

ということでZoomは信頼性を失った。

このことで株主から損害賠償の訴えが起こるとかで騒がれている。

また、ZoomのCEOが、Eric Yuan氏が、中国系であるというのも
米国 vs 中国 という状況での影響もあるかも知れない。

IT小僧は、特に米国 vs 中国という図式が大きいと考えている。

重要なファイルの取り扱いがあったり、機密事項の打ち合わせなどは、別の会議システムを使うことをオススメします。

使うなとは言いませんが、危険性があるということを念頭においておいたほうがよいわけです。

きちんとすれば大丈夫?

FBIは、Zoomのハッキング対策として、以下の4点にたいして注意勧告をしている。

  1. 会議や教室を「公開」しない。Zoomでの会議を「非公開」にするには、会議参加者にパスワードを発行する、ホストが会議への参加者を管理できる「待機室」を設定するという2つの方法がある。
  2. ソーシャルメディアの投稿で、会議や教室へのリンクを共有せず、特定の人に直接リンクを提供する。
  3.  画面共有オプションを管理。Zoomでの画面共有を「ホストのみ」に変更する。
  4.  2020年1月、Zoomはソフトウェアを更新したので、更新したバージョンを使う。この新しいバージョンではデフォルトに会議のパスワードを追加し、参加する会議をランダムにスキャンする機能を無効化した。

また、公的機関のZoomに対する注意点をまとめるといかの点に注意を促している。

  • 必ず最新版のZoomアプリを利用
  • 会議のIDやURLは参加者以外の目に触れないよう厳重に管理する(SNSなどへの投稿は絶対にNG)
  • 会議には、必ずパスワードを設定
  • 待機室の機能を使い、会議の主催者が承認したユーザーのみが参加できるようにする。
  • 承認したユーザーのみで会議を始めたら、途中で不正ユーザーが参加しないよう必ず会議をロックする。
  • 画面共有機能をホストのみが利用できるよう設定
  • 会議中に機密情報について話したり画面共有することは避ける。
  • ファイル転送機能を無効にする。

最低限守れば、ある程度セキュリティが守られると思います。
企業として使用するにはリスク承知で使うのは問題ないでしょう。

と言いつつも以下に該当する組織の場合、Zoomを使わないことをオススメします。

  • スパイ活動を心配する政府
  • サイバー犯罪や産業スパイを懸念する企業
  • センシティブな患者情報を扱う医療関係者
  • デリケートな話題に取り組んでいる活動家や弁護士、ジャーナリスト

一方
友人との連絡、Zoomで飲み会、公開の場で開催されるイベントや講義は、問題ないでしょう。

つまり、居酒屋で話すようなことなら、お手軽でオススメします。

信用を回復するために

Zoomでは、度重なる脆弱性の問題を解決するためにセキュリティ間衣rんで実績があるLuta Securityと提携したと発表

セキュリティ問題やプライバシー問題が相次いで発覚しているWeb会議サービス「Zoom」は2020年4月15日、脆弱(ぜいじゃく)性発見を目的としたバグバウンティプログラムの改善を目指し、この分野で実績のあるLuta Securityと提携したと発表した。同サービスについては、新たな未解決の脆弱性が売りに出されているという報道もある。

ITmediaより

Luta Securityは、脆弱性開示プログラムとバグ報奨金のエキスパートアーキテクチャの専門グループである。

最新バージョン

2020年8月4日バージョン 5.2.0  iOS版を除くが公開されました。

今回は、多くの機能追加、修正項目があります。

必ず最新版に更新しましょう。

以下、既存の機能変更は、主にWindows版のもので詳しくは、以下のリンク先で確認してください。

2020年8月4日バージョン 5.2.0 リリース内容(Windows版)

既存の機能変更

  1. ミーティングとウェビナーのパスワードはパスコードに名称変更
    共有してはいけない個々のユーザーパスワードとの混乱のため
  2. 「アノテーターの名前を表示」オプションがデフォルトでオン
    表示コンテンツの共有中に「アノテーターの名前を表示」オプションがデフォルトでオン
  3. @メンションの後に追加されたスペースを削除
    チャット@メンションに入るときに、@メンションの後にスペースが自動的に追加されなくなった。

新機能および拡張機能

  1. ・ビデオフィルター
    カラーグレーディング、前景、フレームフィルターでビデオの外観を変更できるようになった。
    ・ベータ版でPowerPointを仮想背景として共有
    ユーザーは、仮想背景として使用するPowerPointファイルを選択し、左右の矢印を使用してスライド間を移動できます。このオプションは、詳細オプションの[画面の共有]にありますが、ベータ版の扱いなので注意
  2. ・タッチアップマイアピアランスの
    タッチアップマイアピアランス機能を使用して適用した肌の滑らかさを調整できるようになった。
  3. ・ビデオの明るさの調整
    ビデオの明るさを自動またはビデオ設定のスライダーで手動で調整することを選択できるようになった。
  4. 改善された背景ノイズ抑制
    背景ノイズ抑制を低、中、高、または自動背景ノイズ抑制できるようになった。
  5. ・画面共有およびホワイトボードのハードウェアアクセラレーションの設定
    画面共有またはホワイトボードのハードウェアアクセラレーションを個別に有効にできるようになった。
  6. ・追加プロセッサ
    仮想バックグラウンドのサポート仮想バックグラウンドは、Intel i3クアッドコアジェネレーション8以降およびすべてのIntel i4以降でサポートされるようになった。
  7. ・追加のプロセッサ
    AMD Ryzen 5シリーズは、単一のモニターのみが使用されているときに49人の参加者のギャラリービューをサポートするようになった。
    AMD Ryzen 7および9シリーズとIntel i5 4コア第4世代以降は、シングルモニターまたはデュアルモニターに49人の参加者がいるギャラリービューをサポート

会議機能の追加

  1. Microsoft SharePointとのファイル共有
    ミーティング中のチャットを介してSharePointから直接ファイルを共有できるようになった。
  2. 待合室の通知の改善
    ホストは、画面の共有中やズームが最小化/非表示になっているときなど、待合室に入った出席者に関する通知をさらに受け取るようになった。
  3. その他の会議の反応
    拍手や親指を立てる反応に加えて、会議の参加者は、心、驚いた顔、笑った顔、またはパーティーの絵文字で反応できるようになった。

チャット機能の追加

  1. チャネルまたは組織別にメンバー招待
    チャネルおよびグループチャットの管理者は、既存のチャネルを選択し、それらのメンバー全員をそれぞれのチャネルまたはグループチャットに招待することにより、メンバーを追加できるようになり。組織全体をチャネルまたはグループチャットに招待することもできます。
  2. 音声メッセージの録音と送信
    ユーザーは、1対1のチャットまたはチャネルで音声メッセージを録音および送信できるようになった。
  3. チャネルの投稿権限の管理チャネル
    グループチャットの管理者は、投稿権限を管理して、自分のチャネルまたはグループチャットでメッセージを送信できるユーザーを選択できるようになった。
  4. Microsoft SharePoint File Storage Integration
    Microsoft SharePointからファイルをアップロードまたはダウンロードできるようになった。
  5. チャネル通知のミュート
    ユーザーはチャネルまたはグループチャット通知をミュートできるようになった。
    すべてのプッシュ通知と、チャネルまたはグループチャット名の横にある赤いアイコンがクライアントのヘッダーの[チャット]タブ、およびズームアプリで削除されます彼らのドックで。ユーザーはチャンネル名にカーソルを合わせ、下向き矢印をクリックしてこの設定を見つけることができます。
  6. @メンションの姓のみをサポート
    ユーザーが@メンションのバックスペースを押してユーザーの姓を削除する場合、@メンション機能を引き続きサポートします。

一般的な機能

  1. 会議スケジュール
    会議をスケジュールするときのセキュリティセクション アクセスを容易にするために、新しい会議をスケジュールするときは、セキュリティセクションの下にパスコードと待合室の設定が表示されます。
  2. スクリーンリーダーアラート
    ユーザーはスクリーンリーダーアラートを有効にして、スクリーンリーダーにアナウンスする通知を選択できるようになった。
  3. ビデオとコンテンツの共有の向上ビデオとコンテンツの共有
    へのアップグレードにより、ビデオの品質が向上し、帯域幅とCPU使用率が減少し、テキストの明瞭さが向上
  4. マルチページホワイトボード
    マルチページホワイトボードの保存会議の出席者は、マルチページホワイトボードを単一のPDFまたは複数のPNGとして保存できます。
  5. ズームプレゼンスをOutlookに同期
    ユーザーのズームプレゼンスをOutlookに同期、ユーザーが会議中、ビジー状態、または会議中のいずれであっても共有できます。
    ステータスにはOutlookアイコンが使用されますが、文言はズームに表示されるものと一致します。ユーザーはOutlookで自分のステータスを手動で上書きできます。
  6. Outlookのデフォルトの通信オプションとしてズームを設定する
    ユーザーは、ズームをOutlookのデフォルトの通信オプションとして設定できるため、ユーザーはワンクリックでズームを介して連絡先に会ったり、チャットしたり、連絡先に電話をかけたりできます。

解決された問題

  1. ユーザーのサブセットに対して新しい会議をスケジュールするときに誤った日付が表示されていた問題を修正
  2. ユーザーがオーディオ変更の複数の通知を同時に受け取った問題を修正
  3. ユーザーが[フルスクリーンビデオクリップの共有を最適化]オプションを選択したときにズームウィンドウが共有されていた問題を修正
  4. マイナーなバグ修正

OSごとのバージョン

Windows

2020年8月4日バージョン  5.2.0(42619.0804)

macOS

2020年8月5日バージョン5.2.0(42634.0805)

マイナーなバグ修正のみで今後リリースされる予定

Linux

2020年8月4日バージョン  5.2.440215.0803

Windows版とほぼ同等の機能追加内容です。
詳しくは、上記のリンクを参照してください。

iOS

今後のリリースの詳細は、利用可能になり次第掲載

現在のバージョン 2020年7月10日バージョン5.1.2(28642.0705)

Windows版とほぼ同等の機能追加内容です。
ただし、2020年8月バージョンは、未定となっています。

Android

2020年8月4日バージョン  5.2.0(42588.0803)

Windows版とほぼ同等の機能追加内容です。

Zoom最新情報

中国大陸の顧客への新製品やアップグレード製品の直接販売停止 2020年8月3日

オンライン・ミーティングアプリ、Zoom(ズーム)社は3日、中国大陸の顧客への新製品やアップグレード製品の直接販売を23日から停止すると発表した。今後、中国のユーザーにはズームのパートナーを通して、ビデオ会議サービスのみ提供するという。

また、米国上院議員の超党派グループは、「TikTokとZoomに対して調査要求」の書簡を司法省に提出した。

これらを受けて 中国市場からの撤退への準備と言われています。
要は、「米国政府から睨まれたくない」というメッセージと推測できます。

在宅勤務用のビデオ会議端末を発売 2020年7月15日

【シリコンバレー=佐藤浩実】ビデオ会議サービス「Zoom」を手掛ける米ズーム・ビデオ・コミュニケーションズは15日、家庭で使うビデオ会議用端末の販売に乗り出すと発表した。まず協業先と開発した27インチのカメラ付きモニターを8月に米国で発売する。新型コロナウイルスの影響で在宅勤務が長期化しており、専用端末の需要を見込めると判断した。

映像機器などを扱う米DTENと組み、ビデオ会議での利用を主眼とする端末を設計した。第1弾はタッチパネル式の27インチモニターで、3つのカメラと8つのマイクを内蔵する。一般的なパソコンを使うよりも「会議への没入感と生産性を高められる」(ズーム)としている。

ズームは家でのビデオ会議に特化した端末(写真左)を8月に発売する=同社提供
写真左

米国での販売価格は599ドル(約6万4千円)で、2020年末までには日本でも発売する。ズームは企業向けには従来も協業先のビデオ会議端末を販売してきたが、家庭用の機器を扱うのは初めて。「ズーム・フォー・ホーム」と名付けて、今後も在宅勤務や遠隔学習用の機器の品ぞろえを広げるという。
日本経済新聞より

Zoomを使っている人は、そもそもパソコン、スマートフォン、タブレットを使っているわけで、わざわざ専用機器の需要があるかどうかは、不明

パソコン、スマートフォン、タブレットなど使えない層に販路があるのだろうか?
599ドル(約6万4千円)あれば、iPadが買える価格ではあるが・・・

期限までに透明性レポートを公開せず 2020年7月3日

ビデオ会議大手のZoomは以前、政府からの要求件数を6月30日までに公開すると言っていた(Internet Archive)。しかしその期限は過ぎ、情報開示の新たな期日も示さなかった。

Zoomは先月、米国拠点の2つのアカウントと香港の活動家の1つのアカウントを中国政府の要求を受けて一時停止したことを認めた後に、同社初の透明性レポートを公開すると述べた。アカウント一時停止の対象となった中国拠点ではなかったユーザーは、天安門事件を記念してZoomで会議を開いた。このイベントは中国本土で秘密のうちに検閲を受けていた。

同社はその際「サービスを展開するその地域の該当法律を守らなければならない」と述べたが、あとに中国本土外のユーザーに影響を及ぼす中国政府からの要求を認めないようにするためにポリシーを変更する、とした。

Zoomの広報担当はコメントしなかった。

TechCrunch
https://jp.techcrunch.com/2020/07/03/2020-07-01-zoom-transparency-report-deadline/

またしても、約束を守らず、情報開示をしなかった。
中国政府の顔色を伺っていると疑われても仕方がない状況である。

無料ユーザーを含む全ユーザーにエンドツーエンド(E2E)暗号化を行う 2020年6月17日

米国時間6月17日
無料ユーザーを含む全ユーザーにエンドツーエンド(E2E)暗号化を行うと発表しました。

ただし、無料ユーザーがE2E暗号化を利用するためには、認証のために一定の「個人情報」を差し出す必要がある(ショートメッセージを受信できる電話番号など)

Zoomはこれを「乱用の予防と対応のため」に必要なチェックだと言っている。

アメリカの人権団体のアカウントを中国の要請により一時停止 2020年6月12日

5月31日 天安門事件から31年となるのに合わせてZoomで当時の状況を伝えるイベントを開催
イベントには250人以上が参加、録画された動画は中国などで4000回以上再生されていました。

主催者は、1989年に中国の北京で起きた天安門事件に民主化を求める運動に参加した周鋒鎖(米国在住)が設立した人権団体

このアカウントが、5月7日にアカウント停止となりました。

周鋒鎖氏は、10日、ツイッターでアカウントが復旧したことを明らかにしたうえで、

「Zoomからいかなる回答も得られていない。アカウントがなぜ停止されたのか知りたい」
というコメントしている。

Zoomの広報は、
「複数の国から参加する会議では参加者はそれぞれの国の法律に従うことが求められる」
と言っている。

では、中国在住の人が、会議に参加していたのでしょうか?
中国のインターネットでのアクセスは、すべて監視されていることを考えれば、参加することのリスクを考えればないだろう。

言論の自由の擁護団体「ペン・アメリカ(PEN America)」は、中国政府は同国本土以外のズーム利用者を検閲するべきではないと訴えています。

これに対して

[11日 ロイター] - ビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズは11日、中国政府にユーザーの情報や会議の内容を提供していないと表明した。

ならば、なぜ アカウントを停止にしたのか?

Zoomは、中国の企業ではなく、中国人系米国人が立ち上げた米国企業です。

この事件に2020年6月12日 AFPより続報がありました。

【6月12日 AFP】(更新)米ビデオ会議サービス「ズーム(Zoom)」は11日夜、中国の天安門(Tiananmen)事件に関するビデオ会議を閉鎖し参加していた米国や香港の人権活動家らのアカウントを停止したことについて、中国政府からの要求に応じた措置だったと明らかにした

ズームの声明によると、1989年6月4日に中国が学生らの民主化運動を武力鎮圧した天安門事件を追悼する4つのビデオ会議について、「中国政府が、中国国内で違法とされている活動だと通告してきた。会議の閉鎖と主催アカウントの停止を要求された」という。

これらのビデオ会議には中国本土在住のユーザーも参加していたが、「特定の参加者を会議から除外したり、特定の国からの会議参加を阻止したり」する機能は現在ズームには備わっていないため、「ビデオ会議4つのうち3つを閉鎖し、それらに関与していた主催者アカウントを停止する決断に至った」と説明している。
(c)AFP

中国からの圧力でアカウントを停止したということが明らかになった。

ロイターでは、米議会が、Zoom社に対して説明を求めている。

[上海 12日 ロイター] - 米議会の複数の議員は、ビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ<ZM.O>に対して、同社と中国の関係や顧客データの取り扱いについて説明を求めた。

同社に対しては、米国と香港を拠点にする活動家3人が、中国天安門事件に関連したビデオ会議をズームで開こうとしたところ、一時的にアカウントが使えなくなったと主張していることから、批判が高まっている。

ズームは11日、中国政府から5月と6月初旬にこの天安門事件に関連したイベントについて対処するよう要請されたと明らかにした。

「われわれはユーザー情報や会議の内容についての情報を中国政府に提供していない」と主張し、「第三者が認識されないままズームの会議にアクセスすることもできない」と説明した。

フェイスブックやツイッターなど多くの欧米企業と異なり、ズームのサービスは中国では阻止されていない。

さらに

ズームはこの対応について、「不十分だった」と釈明。「中国本土以外のユーザーに影響を与えるべきではなかった」と述べた。停止された3アカウントは復活しており、今後は特定の国からの参加者をブロック・排除できるツールを開発するとしている。
(c)AFP

前日には、

「中国政府にユーザーの情報や会議の内容を提供していない」
と関係がないようなコメントをしていたのですが、

結局
「中国政府からの要求に応じた措置だった」

という結論でした。

結局、米国企業であっても中国の言うことを聴かざる得なかったZoomという企業体質があきらかになったと思われても仕方がない。

Zoomは、無料版と有料版でセキュリティ仕様が違います。 2020年6月2日

Zoomは、有料ユーザーへの音声およびビデオ通話の完全な暗号化を提供していますが、無料でプラットフォームを使用する人々に同じ暗号化機能を提供する予定はないと発表

CEO Eric Yuan

無料版は、なぜ(有料版と同じ)暗号化機能を提供しないのか?

FBIやその他の法執行当局と協力して、プラットフォームを違法に使用している個人を特定できるようにするため。
とコメント

無料ユーザーが暗号化されているわけではなく AES 256 GCM暗号化は、すべてのZoomユーザーに対して有効なので暗号化されていないわけではない。

有料版に搭載されている「エンドツーエンドの暗号化」は、無料版には搭載されていない。

また有料化は、「中国のサーバーを経由して接続されるのを好まないユーザーのため」ルーティングを制御ができる。
無料版は、指定できないので、どこを経由するか指定できません。

2020年5月30日から、Zoom 5.0以上しか動作しなくなります。

4月27日に一般公開されたZoom 5.0は、5月30日に、AES 256bit GCM暗号化が有効となる予定です。
それ以降は5.0以上のクライアントでなければZoomを利用できなくなるので要注意です。

中国の個人ユーザが同社のプラットフォームで会議を主催を停止 2020年5月18日

中国の個人ユーザが同社のプラットフォームで会議を主催することを一時停止
中国の代理店の一つが今月この変更を発表

Zoom は5月1日以降、中国の無料ユーザによる会議の開催を停止した。
事実上、個人でサービスを購入することはできなくなっている。
Shanghai Donghan Telecommunications(上海東涵通訊)

原因は、22日に開幕する 全国人民代表大会(全人代、国会に相当) のためとも言われている。

暗号化技術の米社買収 2020年5月7日

[7日 ロイター] - ビデオ会議システムの米ズーム・ビデオ・コミュニケーションズ(ZM.O)は7日、以前から問題が指摘されていた同社サービスのセキュリティを強化するため、暗号化技術を手掛ける米新興企業のキーベースを買収した。また、ユーザーのプライバシー保護でニューヨーク州司法長官と合意した。

同社は、ビデオ会議の主催者の権限を拡大し、ユーザーがより安全に会議に参加できるなツールの開発を計画中だと説明した。

ロイター

Zoom社のブログでも掲載されています。
Zoom Acquires Keybase and Announces Goal of Developing the Most Broadly Used Enterprise End-to-End Encryption Offering

Keybase社は、2014年設立で「エンド・ツー・エンド」と呼ぶ暗号化を施したチャットサービスを展開しています。
目的は、Keybaseの「エンド・ツー・エンド」の暗号化技術です。

クラウド環境をオラクルに変更 2020年4月29日

【シリコンバレー=佐藤浩実】ビデオ会議サービス「Zoom」を運営する米ズーム・ビデオ・コミュニケーションズは28日、米オラクルからクラウド基盤の提供を受けると発表した。新型コロナウイルス感染を防ぐための「在宅」が長期化するなかで、3億人の利用に応えられるようにする。米IT(情報技術)大手との新たな提携で、利用者の安心感を高める狙いもありそうだ。
日本経済新聞

簡単に言えば、これまでAmazon Web Services(アマゾン ウェブ サービス、AWS)を使っていたが、Oracle Cloud Infrastructure(オラクルクラウド、QCI)に変えますよ
という話です。

クラウドのシェアは、AmazonとMicrosoftの2強とそれに続く、Googleと中国のAlibabaで3/4を占めていて、オラクル社のシエアは、数%という状況です。

記事では、「利用者の安心感」に言及していますが、クラウドを変えたからと言って使用者からは、あまり変わらないと言えます。

Oracleからすると、Zoomというネームバリューが欲しかっただろうし、Zoomとすれば、コストダウンになるかも知れない。
そしてZoomの最大のアピールポイントとして、Oracle社のクラウドは、中国に拠点がない ということをアピールしたい意味もあるだろう。

Zoom 5.0 公開 2020年4月26日 

Zoom 5.0公開

主な改善点は以下の通り

  • ホストが参加者による自分の名前変更を不可能にする機能
  • 教育期間向けプランで画像共有はデフォルトでホストのみに
  • ホストがミーティングのパスワードの複雑さを設定できる機能
  • 有料プランの「クラウド記録」のパスワード設定がデフォルトになり、管理者がパスワードの複雑さを設定できるように
  • 大規模組織ユーザー向けに、複数のアカウント間で連絡先をリンクして、会議、チャット、電話連絡先を簡単、安全に検索して見つけられる機能
  • 有料プランの管理者向けにダッシュボードで接続先データセンターを確認する機能
  • チャット通知で内容のスニペット表示
  • 非PMI(パーソナル)ミーティングへの11桁のID追加
  • ミーティングIDの表示を参加者メニューに移動(参加者がうっかりIDを公開しないように
  • ルーティングを制御する機能を導入(中国のサーバーを経由して接続されるのを好まないユーザーのため)
    ただし、有料版のみ

ITメディアより抜粋

有料版「Zoom」では、ルーティングを制御する機能を導入
ルーティングを制御する機能を導入(有料アカウントのみ)

最新バージョン
2020年4月28日 日本語バージョンバージョン5.0.0 (23168.0427)

暗号化の問題解決は、5月30日?
AES 256-bit GCM暗号化がシステム全体で標準化されるのは5月30日と情報が出ています。(確認中)

まとめ

Zoomに関しては、脆弱性を塞ぐために迅速に動いています。

「これまでにZoomがセキュリティとプライヴァシー保護が最も徹底したサーヴィスであると考えられたことなどありません。確かに重大な脆弱性を抱えてきましたが、ほかに選択肢がほとんどない場合が多いでのす」
セキュリティ研究者のケン・ホワイト

会議の内容が、外部に漏れてもかまわなければ、問題ないと思います。

それ以外は、企業の経営者層や社内のエンジニアがどのように判断するかで決まってきます。
最終的には、コストとセキュリティの天秤が判断材料になると思います。

ただし、最新ニュースで取り上げたように、中国との関わり合いが表に出てきました。

IT小僧が、もし企業のシステム担当だったら、
Microsoft 365(Office 365)が導入されている前提で言えば

Microsoft Teams を使うことを進言します。

Microsoft Store (マイクロソフトストア)

スポンサーリンク

-IT小僧の時事放談
-,

Copyright© IT小僧の時事放談 , 2020 All Rights Reserved Powered by AFFINGER5.