Web会議サービス「Zoom」に、PCが乗っ取られ勝手に操作されてしまうほどの脆弱性が存在していたことが明らかになった。この脆弱性はZoomも参加した公式なハッキングコンテストで発見されそのままZoomに報告されたことから、すでにZoomも対応済みで現在までに同様の手口による被害は報告されていないという。しかし、流行語大賞にもノミネートされるほど世界的に利用されるようになったサービスに、思わぬ落とし穴があったことは間違いない。
今回は、コロナ禍で大きくシェアを伸ばした人気サービスに潜む不安の種について考えていきたい。
Zoomに重大な脆弱性があることが明らかに
(Image:DANIEL CONSTANTE / Shutterstock.com) 2020年には“Zoom飲み”という言葉も流行した
今回Zoomの脆弱性が発見されたのは、世界トップクラスの脆弱性発見コミュニティ「Zero Day Initiative」の主催するハッキングコンテスト「Pwn2Own 2021」でのことだった。このコンテストでZoomのセキュリティの脆弱性を発見した参加者には、Zoomから懸賞金が支払われるシステムだ。
その中でZoom Chatの機能に脆弱性が見つかった。その脆弱性が悪意あるハッカーに利用されると、PCのカメラ・マイクのオンオフ操作やスクリーンショットの撮影といった操作が行われたり、ブラウザの閲覧履歴やメール等も確認することができてしまうことがわかった。まさに「PCが乗っ取られる」という状況に陥ってしまうのだ。
しかしこの脆弱性が見つかったのがコンテストだったのが不幸中の幸い。脆弱性の存在はすぐにZoomに報告され、発見者には20万ドルの賞金が贈られたという。またZoomも原因がアプリではなくサーバ側にあったことから即座に対応を行い、現在はこの脆弱性は利用できなくなっている。
(Image:Nopparat Khokthong / Shutterstock.com) LINEも、日本国内でも多くのユーザーを抱える“信頼できる”アプリだった
今回の脆弱性は悪意を持たないホワイトハッカーが発見したからよかったものの、Zoomはこれまでもたびたびセキュリティの不安を露呈している。過去には、Web会議のURLとパスワードを知った第三者が勝手に入り込み不適切な画像や動画を共有する荒らし行為が頻発し“Zoom爆弾”と呼ばれ恐れられたこともある。
ビジネスシーンではそうしたZoomのもつセキュリティ面のリスクが懸念されたこともあってか、2020年10月にoricon MEが発表した満足度調査では、ツールの導入決定権を持っていたり管理を担当する部署のユーザーを対象としたランキングで1位「Microsoft Teams」、2位「Google Meet」に次ぐ3位に甘んじる結果となった。マイクロソフト・グーグルといった世界的なIT企業のほうが信頼に足る、と判断されてしまったと言えるだろう。
2020年11月には、日本でも国会議員と省庁との間でZoomの使用を認められていた。その決断の後でも、今回のような深刻な脆弱性が見つかってしまうのだ。思えば一般市民だけでなく行政の手続きでも取り入れられるようになった「LINE」も、情報管理体制が国外に持ち出されていたことなどが問題視され大きな話題となった。
ZoomにしてもLINEにしても、「みんな使っているし、行政のお墨付きがあるなら大丈夫だろう」と安心できないことがわかる一件となった。今後は周りに流されるだけでなく、自分の使うサービスは自分で決めていくことが必要なのかもしれない。
参照元:Zoom、脆弱性によりPCを乗っ取られる危険があったことを認める【GIZMODO】
※サムネイル画像(Image:Yalcin Sonat / Shutterstock.com)
