【Zoom】セキュリティの問題をわかりやすく解説・データが中国に漏れる可能性について

Web会議にZoomを使いたいのだけど、セキュリティの問題が心配だ！

中国にWeb会議のデータが漏れる可能性がある、というのは本当か？

…という疑問について、この記事では2020年4月時点でわかっている情報をわかりやすくまとめています。

　

ということでこんにちは、20代怠け者(@20sInvest)です。

テレワークの必要性が増している現在、Web会議のシステムとして「Zoom」の利用者が世界各国で急増しています。

この記事を読んでいる方は、個人や企業として、このZoomを導入するかどうかを検討している方も多いはずです。

しかし現在、Zoomはセキュリティ上の問題が多く指摘されています。

　

ここを懸念しているご担当者の方も多いはずです。

　

この記事では、「Zoom」というシステムと、その企業「Zoom社」についてのセキュリティ上の懸念点をまとめました。

このZoom社は米国・シリコンバレー発の企業ですが、中国の影響もかなり受けており、プログラムの脆弱性という問題だけでは片付けられないセキュリティ上の懸念点があります。

Zoom社と中国、そして中国共産党(政府)との関わりなどについて、公表されている事実やデータなどをまとめました。

ご参考までに、それではどうぞ。

　

【概要】ざっくりまとめ

さて、セキュリティ問題の概要だけ知りたいよ、という方のために、ざっくりと要点をまとめました。

　

こうした懸念点があるため、台湾やアメリカなどでは会議データの漏洩リスクがあるため、Zoomの利用を禁止・制限するなどの措置が取られています。

特に、政府機関や官公庁、国防上に大きく関わる企業などでの利用は非常に危険であり、

可能性が捨てきれない以上は、セキュリティを懸念するのであればZoom以外の代替サービスを利用するほうが万全だと言えます。

　

【懸念点①】Zoomのセキュリティ問題

Ink Drop / Shutterstock.com

Zoomを利用する上での懸念点とされるのは、大きく分けてこの２つです。

①プログラムの脆弱性

Zoomのアプリには、脆弱性が数多く指摘されています。

そのうちの１つに、インストールしているWindowsのログイン認証情報を不正に収集し、ハッカーがリモートアクセス出来る可能性があるという脆弱性です。

具体的には「4.6.9以前のバージョン」でこの脆弱性が確認されており、これ以前のバージョンを利用している場合、Windowsログインに関する情報が漏洩する危険性があります。

現在の最新バージョンは「4.6.10」で、この問題は修正されています。

(このバージョンは、2020年４月７日にリリースされたばかりです。)

　

しかし、これ以外にも脆弱性をまだ抱えているとされています。

最新バージョンにアップデートすることで既知の問題は解消されますが、またその他の脆弱性が発見される可能性があります。

(もちろん、これはどんなプログラムやツールでも起きる可能性があることです。　ただし、Zoomは急激に利用者が増えたことと、他のプログラムと比べても深刻な脆弱性が多いと指摘されています。)

②Web会議のデータや認証情報が中国のサーバに送られる問題

また、カナダの研究機関「Citizen Lab」によると、4月3日にセキュリティに関する重要な指摘がされています。

Web会議サービス「Zoom」を運営する米Zoom Video Communicationsの創業者でCEOのエリック・ユアン氏は4月3日（現地時間）、一部の北米でのWeb会議が、本来接続するはずのない中国のデータセンターを経由した可能性があることを認め、この問題を修正したと語った。

　

本来、Zoomは「エンドツーエンドの暗号化」を行っていると公式サイトには記載されています。

この「エンドツーエンドの暗号化」とは、データをやりとりする本人同士、つまり会議の主催者と参加者でのみデータにアクセスすることができ、外部の第三者はアクセスできない、という意味があります。

これは、データの解読に使われる暗号化キーというものを主催者・参加者のみが持つことになるため、この暗号化キーが外部に漏れることがなければ、データが解読されることもない、ということです。

実際にこの方式が確実に守られているのであれば、セキュリティとしてはしっかり担保されていると考えて良いでしょう。

　

しかし実際には以下の通り、Zoomでの一部の会議が中国国内にあるデータセンターを経由して認証が行われており、その中国のデータセンターで生成された暗号化キーが使われていたという調査結果が出ています。

こうなると、中国国内のサーバにはWeb会議データの解読可能な暗号化キーが残されているということになります。

中国政府・中国共産党がこの暗号化キーを提出するようZoomに命令した場合、この暗号化キーは中国に渡されることになり、結果的に中国にWeb会議でのデータが渡る可能性が出てきます。

(以下の図の真ん中の「MEETING KEY」というのが暗号化キーです。　この暗号化キーは、中国・北京のデータセンターに今も保存されていると考えられます。)

　

Zoom社はこの指摘について釈明をしており「この問題は修正済みです」という声明をブログにて発表しています。

　

【懸念点②】Zoom社と中国の関係性

Zoom社は米国企業ですが、中国にも拠点があります。

(従業員700名ほどが中国で勤務)

中国に拠点がある企業は、中国共産党がデータ開示を命令した場合、母体が米国企業であってもその命令にしたがう必要があります。

そうなると、Zoom社に保存されている個人情報やWeb会議の情報、そして暗号化キーなどなどすべてが中国共産党に渡る可能性が、常にあるということです。

中国共産党が命令すれば、Web会議データはすべて中国の手に渡ると考えておいた方がいいでしょう。

　

これはZoom社に限らず、中国に拠点を持つすべての企業に言えることです。

中国は「すべての企業のデータを検閲している・できる」状態であるため、中国で活動する企業はデータを握られている状態なのです。

かつて、Googleがこうした検閲に反対して、中国から撤退したことは非常に有名です。

　

【懸念点③】Zoom社のCEOは中国系アメリカ人

また、Zoom社のCEOであるエリック・ユアン氏は中国生まれのアメリカ人であるという点も、懸念点かもしれません。

中国・泰安市生まれの50歳男性で、1990年代にアメリカに移住し、アメリカ人に国籍を変更しています。

その後、アメリカの通信企業であるシスコシステムズに入社し、シリコンバレーでキャリアを積んできたという経歴の持ち主です。

　

「CEOが中国人＝怪しい」という短絡的な陰謀論を唱えるわけではありませんが、

事実としてZoom社は中国に現地法人を置き、中国国内のクラウドを使ってサービスを運用しているわけですから、中国共産党がひとたび命令すれば、利用者の機密データが政府に渡る可能性は、いぜん高いと言えます。

　

　

【備考】なぜ中国系サービスが世界でシェアを伸ばすのか？

Ascannio / Shutterstock.com

ファーウェイやSNSサービスのTikTokもそうですが、一見中国系に見えないWebサービスが、現在世界的に広まりを見せています。

　

なぜ、そうした中国系サービスが世界的に広く使われるようになっているのか、その背景にはこんな理由があります。

　

要するに、国が戦略的に資金を与えてくれるのでサービスを低価格で提供できるため、他国の正当なサービスよりも有利に営業ができ、それによってユーザを増やし、世界各国の機密情報を得るという図式というわけですね。

これは中国の国家戦略のレベルで行われています。

ITやインフラの世界では、その業界のスタンダードを一度握ってしまえば、それを覆すことは簡単ではありません。

中国はこうしたITやインフラで世界的優位に立つために、自国の(従順な)企業を対象に巨額の資金援助や優遇を行うなどして、あらゆるジャンルでのシステムやソフトウェアの企業を世界に発信しています。

そうして、国防上有利に立つための情報を世界中から集めることを国家戦略としているわけですね。

【まとめ】セキュリティ上の懸念はやはり残る

ということで、冒頭の概要まとめを再度掲載しておきます。

　

こうしたセキュリティ上の懸念点を抑えた上で、Zoomを使う・使わない…ということを判断いただければ！　と思います。

当ブログ・TipstourではZoomの登録方法や利用方法などを解説していますので、利用される際は、こちらも合わせてご覧くださいませ。

　

【参考】Zoomの代わりになるWeb会議システム

ちなみに、Web会議システムの代替サービスとしては、

などがあります。

　

以上、ご参考までに！

それでは！