2020年04月03日

Zoomのビデオ会議アプリはセキュリティの弱いソフト

Zoomのビデオ会議アプリはセキュリティの弱いソフトである。各自の責任で利用しよう。非常にやばい企業のアプリである。

【事件】
安全に他者とのつながりを感じようと、多くの人たちがZoomのビデオ通話を利用している中、世界は新しいタイプのトローリング(荒らし)に悩まされている。どうしようもない嫌な連中が、Zoomの画面共有機能を使って、暴力的なものから衝撃的なポルノまで含む、最低の動画をインターネットから投入して、他の参加者をうんざりさせているのだ。
例えばこれは米国時間3月17日のWFH Happy Hourで起こったことである。WFH Happy Hourとは、VergeのレポーターであるCasey Newton(ケーシー・ニュートン)氏と、投資家のHunter Walk(ハンター・ウォーク)氏が主催する人気の公開Zoom会議だ。突然、数十人の参加者たちが不穏な画像で攻撃されたのだ。荒らしが通話に登場してとんでもない性的ビデオをスクリーンで共有したのだ。攻撃をブロックしようとしても、加害者はただ新しい名前に変更するだけで通話に再参加し、よりうんざりさせる画像を投入してくるため、なかなか防ぐことができなかった。会議ホストは、攻撃者を撃退できるまで視聴者を攻撃に晒しておくことを良しとせず、会議を打ち切った。




【原因】
The InterceptはZoomのビデオ通話は、同社の主張とは異なり、エンドツーエンド(終端間)暗号化が行われていないと報じた。
そしてMotherboardは、Zoomが「少なくとも数千人の」をメールアドレスを漏洩したと報じ、その理由を個人のアドレスが自社の所有物のように扱われていたためだと指摘している。
以上は、2019年にその運営状態や誤解を招くマーケティングに対して集中砲火の後始末に明け暮れた会社のごく最近の事例だ。
Apple(アップル)は、ZoomがユーザーのMacに秘密のウェブサーバーをインストールしていたのを公表しなかったことを1人のセキュリティー研究者が発見した。その後、数百万台のMacの安全を守るためにアップデートをプッシュ配信せざるを得なかった。そこにサーバーがあったのはユーザーがアンインストールした際にZoomが削除しなかったためだった。問題を発見した研究者であるJonathan Leitschuh(ジョナサン・レイチュア)氏は、ウェブサーバーが存在するということは、あらゆる悪意あるウェブサイトがZoomのインストールされたMacのウェブカムをユーザーの承諾なしに起動できることを意味していると語っている。レイチュア氏はバグ報奨金の受け取りを拒否した。なぜならZoomはレイチュア氏に対して守秘義務契約書への署名を要求し、同氏がバグの詳細を公表できなくなるためだったからだ。
Zoomは、ユーザーのZoomの利用習慣に関するデータを密かにFacebookに送っていた。そのユーザーがFacebookアカウントを持っていなくてもだ。Motherboardによると、ZoomのiOSアプリは、ユーザーがアプリを開いた際、デバイスのモデル名、通信会社名などをFacebookに知らせていた。Zoomは指摘を受けてそのコードを削除したが、時すでに遅く、集団訴訟やニューヨーク州検事総長の捜査を免れることはなかった。さらにZoomはシステムの「参加者追跡機能」を巡って再び炎上した。同機能を有効にすると、会議のホストは参加者が通話中にZoomのメインウィンドウを離れたかどうかをチェックすることができる。あるセキュリティー研究者は、Zoomが「いかがわしい」テクニックを使ってユーザーの介入なくMacアプリをインストールしていたことを発見した。「macOSマルウェアが使っているのと同じトリックだ」と研究者は言う。

TechCrunchが報じたのは、Zoomのビデオ通話にアプリをダウンロードせずに参加することが実は可能であるという事実だ。 しかし、Zoomは「陰湿な手口」によって、ブラウザーのみでは容易にビデオ通話を開始できないようにしている。

Zoomは警察当局から受けた要求に関する透明性の欠如を問題視されている。プライバシー権利団体のAccess NowはZoomに対して警察から要求を受けた回数の公開を求めた。Amazon(アマゾン)、Google(グーグル)、Microsoft(マイクロソフト)をはじめとする多くの大手テック企業が半年に一度報告しているのと同じように。

そしてZoomBombing(ズームボミング/ズーム爆弾)が起きた。「トロール(荒らし)」が、オープンで保護されておらずデフォルト設定の脆弱なビデオ会議に侵入し、画面共有を乗っ取りポルノや露骨な画像を送りつける行為だ。今週FBIは、トロールがビデオ通話をジャックできないように設定を変更するようユーザーに警告した。

そしてZoomは、やっとプライバシーポリシーを強化した。 ユーザーの会議に関する情報(ビデオ、文字起こし、共有されたメモなど)を広告のために収集できるようになっていたことへの批判を受けたためだ。

【windows 利用者は注意】
Zoomがサービス内で利用しているURLをハイパーリンクに変換する方法が問題という。URLだけでなくUNC(Universal Naming Convention、「C:\Users\Public」のようにドライブの位置を指定するパス)もハイパーリンクに変換する。不注意なユーザーがたとえばパブリックグループに投稿されたおもしろそうな名称のハイパーリンクをクリックすれば、Windowsがリモートファイルにアクセスしようとする過程でPCのユーザー名とパスワードのハッシュがリモート先から見えるようになるので、悪意ある攻撃者がこのハッシュを入手してユーザーのPCや参加するネットワークに侵入しようとする可能性がある。
 さらに、警告は表示されるものの、UNCを悪用して実行可能ファイルを起動することも可能という。
 セキュリティ専門家は、この脆弱性を修正するにはUNCをハイパーリンクに変換できないようにする必要があると指摘する。
 本稿執筆現在、Zoomからはこの件についての発表はまだない。

注意して使おう。

博多はつ花のボランティア修理担当が社長のブログをお借りして、発言させていただきました。
接待用高級お弁当の博多 はつ花 の商品はちょっと高級な、無農薬、無人工甘味料、無添加物を食材に使っています。配送には、冷凍車を用いております。お渡し後は、早めにお召し上がりのほど、お願い申し上げます。

ランチタイム、歓送迎会のお弁当のご予約、受付中。ご予約日は翌日以降でございます。
完全予約制高級仕出し弁当専門店
弊社のお弁当は、大切な方と一緒に頂くプレゼント用のお弁当です。上棟式、法事、喜寿、米寿、白寿、敬老会、大相撲九州場所、博多座観劇、セミナー、ブランド品ご商談会などでお使い頂いております。


にほんブログ村 地域生活(街) 九州ブログ 福岡(市)・博多情報へ