ズームのプライバシーとセキュリティのすべてが間違っている

最近のユーザーデータ侵害の履歴は非常に流行しており、過去数か月でこれまで以上に頻繁に話題になっています。 FacebookからTikTokに至るまで、誰もがセキュリティに抜け穴があり、それが侵害され、何百万ものユーザーが影響を受けています。 最近、 Zoom（ビデオ会議サービス）のプライバシーとセキュリティの欠陥がいくつか発見されましたが、それらは数えきれないほど多くなっています。

ノベルコロナウイルスの流行により、私たち全員が自宅で検疫時間を過ごしているため、 Zoomビデオ会議アプリの使用が必要になっています。 COVID-19のおかげで、自宅での仕事により、Zoomではアクティブユーザーの総数が飛躍的に増加しました。

ズームビデオ会議アプリの欠陥

現在使用しているすべてのアプリは、サイバー攻撃の被害者になる可能性のある立場に置かれています。 セキュリティとプライバシーの欠陥により、ハッカーは抜け穴を突破して機密情報を入手する可能性があります。

Zoomは先週から、多くのエンティティがアプリを禁止するプライバシーとセキュリティの欠陥に関する複数の報告を経験しています。 先月、同社はコロナウイルスのパンデミックによりアクティブユーザーが535％以上増加しました。途中で選択が間違っていたと思います。

ほとんどの人がビデオ会議（自宅で仕事）にZoomを使い始めて以来、今では多くの人が一歩後退しています。

ズーム爆撃の継続的な増加

3月30日、FBIは、ポルノや嫌いな画像や脅迫的な言葉によってビデオ会議が中断される可能性のあるズーム爆撃の事例が増えることについて一般の人々に警告しました。 これは、Zoomのビデオ電話会議機能をハイジャックした事例であり、ユーザーがそれを使用することに不安を感じ始めるレベルにまで浮上しました。

その理由は、ハッカーにとって一杯のお茶である短い数のURLでZoomミーティングにアクセスできるからだと思います。 Zoomは、不要なゲストがビデオイベントを乗っ取るのを防ぐためのガイドラインをリリースしました。

エンドツーエンド暗号化

ユーザーがテキストメッセージ、スナップ、ビデオクリップ、またはその他のモードを介して通信を共有できるようにするすべてのサービスは、エンドツーエンドで暗号化する必要があります。 限目！ エンドツーエンドの暗号化されたメッセージまたはビデオクリップは、送信者と受信者のみが読み取ることができます。 他のすべての人にとって、それは彼らにとって意味をなさない単なるランダムなコード構造です。 Zoomはどこでも、ビデオ会議機能がエンドツーエンドで暗号化されていると述べていますが、実際にはそうではありません。

Zoomは、アプリ、ウェブサイト、セキュリティホワイトペーパーなど、あらゆる場所でビデオ通話は「エンドツーエンドで暗号化されている」と述べていますが、@ theinterceptが質問したところ次のように述べています。

「現在、Zoomビデオ会議でE2E暗号化を有効にすることはできません。」 https://t.co/4e0oPg2tta

—トレバー・ティム（@trevortimm）2020年3月31日

最近、 InterceptによるE2E暗号化について尋ねられたとき、Zoomは「現在、Zoomビデオ会議でE2E暗号化を有効にすることはできません」と述べました。

アプリ内監視によるマイクロマネジメント

雇用主や教師ができる唯一の悪いことは、従業員や学生を細かく管理することです。 その感覚は、誰かがあなたの一日の1秒ごとにあなたを見ているようなもので、ストーカー行為と同じくらい感じます。

同様に、ズームには「注意追跡」と呼ばれる機能があり、アクティブなズームウィンドウから30秒以上離れているユーザーを正確に識別します。

雇用主や教師が従業員/学生を監視することは非常に便利ですが、プライバシーの問題でもあります。

そのため、2020年4月2日より、Zoomアプリから注意追跡機能が削除されました。

ユーザーのデータの商品化

ユーザーの機密データを商品化することは、今日私たちが耳にしている新しいことではありません。 以前の事件では、ソーシャルメディアアプリがデータを収集し、他のエンティティに再販することが提供されていました。 そして驚いたことに、Facebookはこれに直接的または間接的に接続されています。

Facebookアカウントを持っていない場合でも、ZoomがiOSユーザーのデータをFacebookに送信して再販していることが確認されています。 明らかに、同社はこのようなことを否定しますが、ユーザーの1人がZoomに訴訟を起こし、プラットフォーム上で数百万人のユーザーの個人情報を保護できませんでした。

同社は、事件後にプライバシーポリシーを変更しました。これはここで確認できます。

ズームによるその他のセキュリティ上の欠陥

最近発見された上記とは別に、Zoomにはすでに存在する他の欠陥があります。 数か月前、ZoomがユーザーデバイスにWebサーバーを静かにインストールし、ユーザーを許可なく通話に追加できることが発見されました。 そして最新の欠陥は、ハッカーがウェブカメラやマイクを含むユーザーのMacを制御することです。

@zoom_us macOSインストーラーが、[インストール]をクリックしなくてもどのように機能するのか疑問に思ったことはありませんか？ 彼らは（ab）プレインストールスクリプトを使用し、バンドルされた7zipを使用してアプリを手動で解凍し、現在のユーザーが管理者グループに属している場合は/ Applicationsにインストールします（rootは必要ありません）。 pic.twitter.com/qgQ1XdU11M

—フェリックス（@ c1truz_）2020年3月30日

ズーム会議中に個々の人に送信された「プライベート」メッセージは、他のすべての公開メッセージと一緒に会議の終わりのトランスクリプトに表示されます。

友達に言って、命を救ってください。

— Christian Moriarty（@MoriartyCR）2020年4月3日

それで、Zoomがマルウェアであり、ユーザーのセキュリティとプライバシーで絶えず失敗しているという1つのことに同意しましょう。 危険なプラットフォームでユーザーの生活をより豊かにするため、Zoomはセキュリティレイヤーを期待どおりに強力に保つことができません。

ZoomExecutiveの問題と今後の行動計画について

「私たちは、コミュニティの、そして私たち自身のプライバシーとセキュリティの期待を下回っていることを認識しています」とYuan氏は述べ、Zoomは、ソフトウェアをセットアップして実行できる社内ITスタッフを擁する大企業向けに開発されたと説明しました。 Zoomは、「機能のフリーズを効果的に即座に実施し、すべてのエンジニアリングリソースをシフトして、最大の信頼、安全、プライバシーの問題に焦点を当てる」ことになるでしょう。 – Eric S. Yuan （Zoom CEO兼創設者）

まとめ

ズームは、COVID-19の発生により、検疫期間中に最も必要なアプリの1つになりました。 ユーザー数の大幅な増加は、Zoomの収益に確かに役立っています。 しかし、彼らは同じようには戻りませんでした。 継続的な侵害とセキュリティ上の欠陥により、ユーザーのデータを期待どおりに安全に保つことができませんでした。

今のところ、アプリでデータが失われる可能性があるため、Zoomビデオ会議アプリの使用に注意してください。

次を読む：

リモート会議/ビデオ会議に最適なズームの選択肢

ズームで画面を共有する方法

オーディオを使用して録画ズーム会議をスクリーニングする方法