「Zoom爆撃」で性的画像が垂れ流しに！　需要急増、インフラ化したZoomの“ピンチはチャンス”理論

　新型コロナウイルスの感染拡大に伴って、昼間はリモートワークでオンライン会議に参加、夜はオンライン飲み会を開く…そんなライフスタイルの方も増えているのではないだろうか。こうしたなかで、利用者が爆増しているのが米国のズーム・ビデオ・コミュニケーションズが提供するWeb会議サービス「Zoom」だ。

　もはや“インフラ”のような側面さえあるZoomだが、セキュリティ対策や個人情報保護の上では数々の問題が指摘されている。たとえば、香川大学では4月17日、Zoomを用いた新入生向けのオンラインガイダンス中に、何者かがシステムに不正侵入。約200人の学生の前で、性的な画像が垂れ流されるという珍事が起こってしまった。そう、いま世界的に問題となっている「Zoom爆撃」だ。

「今年の3月18日にアメリカ発のテクノロジーメディア『TechCrunch』で、会議に招かれていない第三者が迷惑行為を働く『ZoomBombing（Zoom爆撃）』について取り上げた記事が掲載されて以降、様々な媒体でZoomが抱える問題を指摘する記事が相次いでいます」。こう語るのは、クラウドセキュリティアナリストの大元隆志氏だ。

「3月26日には、ZoomのiOSアプリからFacebookに情報の送信が行われていると指摘されました。また、3月31日にはエンドツーエンドの暗号化という、データの送信者と受信者の端末以外はアクセスできない方式の採用を喧伝していたにも関わらず、実際には異なっていたことが発覚しています。4月に入ってからも、Windows版のクライアントでUNCリンクに関する脆弱性について指摘を受けていますから、Zoomはわずか2週間ほどでセキュリティ上の不備が立て続けに明らかになってしまったのです」（大元氏）

　セキュリティ面の懸念から、米企業のgoogleやSpaceXが、Zoomの業務利用を禁止する動きも見られている。

　しかし、Zoomが抱える問題が次々と顕在化する背景にあるのは、ほかの要因もあるようなのだ。

「Zoomは2011年に設立されたスタートアップで、2019年までは緩やかながらも順調に成長を続けており、2019年末には有料会員数が1000万人に到達していました。しかし、新型コロナウイルスの世界的な影響もあって2020年に需要が一気に高まり、4月には1日のうちにZoomを利用するユーザー数が3億人にまで急増しています。
　このように注目度が高まっているZoomのネームバリューを利用して名を上げようと、世界中のセキュリティ専門家が脆弱性を診断して指摘している状況なのです」（大元氏）

　Zoomはいま、ユーザー増のチャンスであると同時に、大ピンチを迎えているともいえそうだ。とはいえZoomとしても、新型コロナウイルスという“黒船”による急激な需要増は想定外でもあり、いささか気の毒なようにも感じられるが……。

「Zoomの利用者が急増した背景のひとつに、自粛によって受業の提供が出来なくなった教育関係者向けに、Zoomが『三者以上が参加する場合は40分まで』という無料利用枠の制限を期間限定でなくしたことがあります。結果、教育機関での利用が急拡大しました。
　もしZoomがなければ、教育を再開することは出来なかった学校も多いでしょう。しかし、日本の教育機関の一部では、とくに調べもせずに『Zoomにはセキュリティの問題がある』として、いまだに最先端のITを取り入れることに躊躇し、学業再開が出来ていない学校もあるようです。
　一方で、東京大学などは、Zoomのセキュリティ問題を自ら把握・評価して問題ないと判断したうえで、Zoomを用いたオンライン講義を行っています。オンライン化に適応する学校と消極的な学校とではすでに差がつきつつありますが、こうした状態が続けば、来年度以降の生徒や学生の確保に苦労し、経営が苦しくなる学校も出てくるのではないでしょうか」(大元氏)

我々も見習うべき!?　Zoomのスピーディなセキュリティ対応

　そんな状況でも、Zoomは浮上した問題には迅速に対処し、着実にセキュリティレベルを向上させているという。

「Zoom爆撃の危険性について指摘された2日後の3月20日、Zoomは公式のブログに防衛策について記述しています。Facebookへの情報送信については、指摘の翌日に内容の修正を公式ブログで発表し、その翌々日にプライバシーポリシーを更新。エンドツーエンドの暗号化をしていなかった事実に関しては翌日に謝罪し、UNCリンクの脆弱性についても、問題を修正したクライアントのリリースを翌日に行ったのです。

　そして、Zoomは4月1日に今後90日間セキュリティの強化に努めるという宣言を出しており、その言葉通りセキュリティ設定状態の視認性の強化など、数々の新機能を実装している最中です。ですから今後もこの調子でセキュリティ対策を進めていけば、安全性と利便性を両立させたサービスに成長する可能性もあると私は考えています」（大元氏）

　急激な知名度増とともにマイナスの印象も広まってしまったZoomだが、一方でその迅速な対応を評価する声も少なくない。むしろ、ピンチはチャンスとばかりに誠実さや柔軟さでチャンスを掴み取ろうとするZoomの姿勢には、厳しい情勢を生き抜くうえで学び得るものも多いかもしれない。

大元 隆志（おおもと・たかし）

クラウドセキュリティアナリスト、国士舘大学経営学部非常勤講師。14年間の通信業界で の設計、提案、企画の経験を活かし、クラウドセキュリティのコンサルティングを担当し ている。著書に『ソーシャルメディア リテラシー』、『ビッグデータ・アナリティクス時 代の日本企業の挑戦』などがある。CISA（公認情報システム監査人）などの資格を所有。

（文＝ダン・アオキ［A4studio］）