zoomの脆弱性ときな臭い噂


武漢ウイルス(通称コロ助)の蔓延により、セミナーが軒並み中止や延期になっている。

その一方で、代替手段としてzoomの名前をよく聞くようになった。

自分は2018年に仮想通貨関連のオンラインセミナーで初めて使った。

基本的にはskypeのようなものと思っていただければよいが、セミナーに参加するだけのようなケースであれば、zoomはインストールだけでも大丈夫である。

また、1対多が可能で、多が数百人クラスになっても耐えられるプラットフォームであり、品質は安定しつつ、トラフィックはskypeほど食わないとも言われている

ちなみに自分の会社でも検討されたようだが、価格が高すぎて見送りになったらしい。

プライベートではと言うと、中止になったセミナーがzoom上で開催されるというケースが増えている。

セミナー参加者の立場で使ってみたが、設定は楽だし、画質も音声も結構安定していた。

イギリスでは閣僚のビデオ会議としても使用されているらしい。

ミーティングID付きのスクリーンショットをうっかり公開してしまい、アクセスが殺到したそうな。

これは素晴らしいツールだと思っていたのだが、だいたい利用者が増えてくる=攻撃者の標的になる=脆弱性が見つかるという構図となり、zoomも例にもれず脆弱性が見つかった。

しかも脆弱性以外でも厄介な問題が持ち上がっている。

まずはベタなクライアントの脆弱性。
ま、こちらはパッチを当てれば済むという問題である。

https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html

んで、頭の痛いのがこっち。

どうもZoomの録画が、AWS S3バケットに暗号化されずに乗っていて、特定の命名規則で公開されてるらしい。

https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

IaaS使うのはいいけど、設定誤ってデータが露出してましたーって、2月もあったな。。。

https://blog.b-son.net/2019/08/blog-post_31.html

また、zoom社は本部はアメリカにある米国企業ですが、2015年から米国SECが求める情報公開をしていないとか、Zoomの拠点は北京と認識されている等、米中貿易摩擦の観点か、安全保障の観点かちょっとわかりませんが、きな臭い雰囲気も漂っています。