Web会議にZoomを使いたいのだけど、セキュリティの問題が心配だ!

中国にWeb会議のデータが漏れる可能性がある、というのは本当か?

…という疑問について、この記事では2020年4月時点でわかっている情報をわかりやすくまとめています。

 

ということでこんにちは、20代怠け者(@20sInvest)です。

テレワークの必要性が増している現在、Web会議のシステムとして「Zoom」の利用者が世界各国で急増しています。

この記事を読んでいる方は、個人や企業として、このZoomを導入するかどうかを検討している方も多いはずです。

しかし現在、Zoomはセキュリティ上の問題が多く指摘されています。

 

Web会議という非常に重要なデータが、セキュリティ上の問題で漏れる可能性があるツールを使ってよいのかどうか?

ここを懸念しているご担当者の方も多いはずです。

 

この記事では、「Zoom」というシステムと、その企業「Zoom社」についてのセキュリティ上の懸念点をまとめました。

このZoom社は米国・シリコンバレー発の企業ですが、中国の影響もかなり受けており、プログラムの脆弱性という問題だけでは片付けられないセキュリティ上の懸念点があります。

Zoom社と中国、そして中国共産党(政府)との関わりなどについて、公表されている事実やデータなどをまとめました。

ご参考までに、それではどうぞ。

 

【2020/06/11 追記】Zoomが中国に関する人権団体のアカウントを停止した報道
天安門事件に関する会議を開催していた人権団体のアカウントを、Zoomが停止していたことが報道されました。

停止された理由は明らかにされていませんが、これもまた中国政府による監視の1つであるとも考えられます。

【概要】ざっくりまとめ

さて、セキュリティ問題の概要だけ知りたいよ、という方のために、ざっくりと要点をまとめました。

  • プログラムに多くの脆弱性を抱えており、Windowsログイン情報などが抜き取られる可能性がある
    (既知の問題は最新バージョンで解消済み)
  • 2020年2月に、本来経由するはずのない中国のサーバを経由した問題が報告される
  • Zoom社は中国にも拠点があり、中国共産党はこの会社のデータを検閲する権利(法律)がある
  • 中国に拠点がある以上「中国にWeb会議のデータが漏れる可能性」は常にある
  • セキュリティを懸念するなら、代替サービスやツールを利用したほうが(現在は)確実に安全

 

こうした懸念点があるため、台湾やアメリカなどでは会議データの漏洩リスクがあるため、Zoomの利用を禁止・制限するなどの措置が取られています。

特に、政府機関や官公庁、国防上に大きく関わる企業などでの利用は非常に危険であり、

可能性が捨てきれない以上は、セキュリティを懸念するのであればZoom以外の代替サービスを利用するほうが万全だと言えます。

 

☑ Zoom社の構造上、セキュリティの問題は完全には捨てきれない

【懸念点①】Zoomのセキュリティ問題


Ink Drop / Shutterstock.com

Zoomを利用する上での懸念点とされるのは、大きく分けてこの2つです。

  1. プログラムの脆弱性によるセキュリティ上の問題
  2. Web会議のデータや認証情報が中国のサーバに送られる問題

①プログラムの脆弱性

Zoomのアプリには、脆弱性が数多く指摘されています。

そのうちの1つに、インストールしているWindowsのログイン認証情報を不正に収集し、ハッカーがリモートアクセス出来る可能性があるという脆弱性です。

具体的には「4.6.9以前のバージョン」でこの脆弱性が確認されており、これ以前のバージョンを利用している場合、Windowsログインに関する情報が漏洩する危険性があります。

現在の最新バージョンは「4.6.10」で、この問題は修正されています。

(このバージョンは、2020年4月7日にリリースされたばかりです。)

 

しかし、これ以外にも脆弱性をまだ抱えているとされています。

最新バージョンにアップデートすることで既知の問題は解消されますが、またその他の脆弱性が発見される可能性があります。

(もちろん、これはどんなプログラムやツールでも起きる可能性があることです。 ただし、Zoomは急激に利用者が増えたことと、他のプログラムと比べても深刻な脆弱性が多いと指摘されています。)

IPAによるZoomの脆弱性についての記事はこちら

②Web会議のデータや認証情報が中国のサーバに送られる問題

また、カナダの研究機関「Citizen Lab」によると、4月3日にセキュリティに関する重要な指摘がされています。

Web会議サービス「Zoom」を運営する米Zoom Video Communicationsの創業者でCEOのエリック・ユアン氏は4月3日(現地時間)、一部の北米でのWeb会議が、本来接続するはずのない中国のデータセンターを経由した可能性があることを認め、この問題を修正したと語った。

 

本来、Zoomは「エンドツーエンドの暗号化」を行っていると公式サイトには記載されています。

この「エンドツーエンドの暗号化」とは、データをやりとりする本人同士、つまり会議の主催者と参加者でのみデータにアクセスすることができ、外部の第三者はアクセスできない、という意味があります。

これは、データの解読に使われる暗号化キーというものを主催者・参加者のみが持つことになるため、この暗号化キーが外部に漏れることがなければ、データが解読されることもない、ということです。

実際にこの方式が確実に守られているのであれば、セキュリティとしてはしっかり担保されていると考えて良いでしょう。

 

しかし実際には以下の通り、Zoomでの一部の会議が中国国内にあるデータセンターを経由して認証が行われており、その中国のデータセンターで生成された暗号化キーが使われていたという調査結果が出ています。

こうなると、中国国内のサーバにはWeb会議データの解読可能な暗号化キーが残されているということになります。

中国政府・中国共産党がこの暗号化キーを提出するようZoomに命令した場合、この暗号化キーは中国に渡されることになり、結果的に中国にWeb会議でのデータが渡る可能性が出てきます。

(以下の図の真ん中の「MEETING KEY」というのが暗号化キーです。 この暗号化キーは、中国・北京のデータセンターに今も保存されていると考えられます。)

 

Zoom社はこの指摘について釈明をしており「この問題は修正済みです」という声明をブログにて発表しています。

 

  また、Zoomでは「エンドツーエンドの暗号化」と表現していますが、実際には「通信相手はZoomのサーバである」という回答をしている、という記事もあります。(英語)

これはあたかもWeb会議の参加者同士でのエンドツーエンド通信を行っているかのように見せる、誤解を招く表現だ、と記事では指摘しています。

Zoom isn’t actually end-to-end encrypted - The Verge

【懸念点②】Zoom社と中国の関係性

Zoom社は米国企業ですが、中国にも拠点があります。

(従業員700名ほどが中国で勤務)

中国に拠点がある企業は、中国共産党がデータ開示を命令した場合、母体が米国企業であってもその命令にしたがう必要があります。

そうなると、Zoom社に保存されている個人情報やWeb会議の情報、そして暗号化キーなどなどすべてが中国共産党に渡る可能性が、常にあるということです。

中国共産党が命令すれば、Web会議データはすべて中国の手に渡ると考えておいた方がいいでしょう。

 

これはZoom社に限らず、中国に拠点を持つすべての企業に言えることです。

中国は「すべての企業のデータを検閲している・できる」状態であるため、中国で活動する企業はデータを握られている状態なのです。

かつて、Googleがこうした検閲に反対して、中国から撤退したことは非常に有名です。

 

  現に、台湾政府は公務での会議にZoomの利用を禁止しました。

アメリカ・FBIも、Web会議にZoomを使うことを控えることを呼びかけており、実際に教育機関などでZoomの利用が禁止されています。

 

ファーウェイの5G禁止と同様、こうした動きは日本を含め、他の国にも広がっていく可能性もあります。

特に日本はアメリカのセキュリティ方針に従う傾向があるため、同じように公務や公共機関での利用が禁止されるということも、あるかもしれません。

【懸念点③】Zoom社のCEOは中国系アメリカ人

また、Zoom社のCEOであるエリック・ユアン氏は中国生まれのアメリカ人であるという点も、懸念点かもしれません。

中国・泰安市生まれの50歳男性で、1990年代にアメリカに移住し、アメリカ人に国籍を変更しています。

その後、アメリカの通信企業であるシスコシステムズに入社し、シリコンバレーでキャリアを積んできたという経歴の持ち主です。

Wikipedia(英語)

 

「CEOが中国人=怪しい」という短絡的な陰謀論を唱えるわけではありませんが、

事実としてZoom社は中国に現地法人を置き、中国国内のクラウドを使ってサービスを運用しているわけですから、中国共産党がひとたび命令すれば、利用者の機密データが政府に渡る可能性は、いぜん高いと言えます。

 

☑ 物理的にもヒト的にも、中国と関わりの強い企業

 

  中国には「国家網絡安全法」という法律があり、

中国で活動する企業には、サイバーセキュリティと称してあらゆるデータや個人情報を政府に開示する義務があります。

日本語では「中華人民共和国サイバーセキュリティ法」とも呼ばれています。

中華人民共和国サイバーセキュリティ法 - Wikipedia

【備考】なぜ中国系サービスが世界でシェアを伸ばすのか?


Ascannio / Shutterstock.com

ファーウェイやSNSサービスのTikTokもそうですが、一見中国系に見えないWebサービスが、現在世界的に広まりを見せています。

 

なぜ、そうした中国系サービスが世界的に広く使われるようになっているのか、その背景にはこんな理由があります。

  • 中国共産党の国防戦略として、世界各国の機密情報を集めるという方針がある
  • そうした機密情報を手に入れることが出来るサービスを展開している企業を、中国共産党が金銭的に支援
  • 国の金銭的支援の得ているので、自由市場で競争している企業には出来ない有利な営業ができる
    (サービスや商品を他の企業よりも安く設定する、など)
  • そうして、有利なサービスを提供して世界各国でユーザを集める
  • そのサービス内で、個人情報・機密情報を吸い上げて中国共産党へ送信
  • 企業は儲かり、政府は情報を得られるというWIN-WIN関係

 

要するに、国が戦略的に資金を与えてくれるのでサービスを低価格で提供できるため、他国の正当なサービスよりも有利に営業ができ、それによってユーザを増やし、世界各国の機密情報を得るという図式というわけですね。

これは中国の国家戦略のレベルで行われています。

ITやインフラの世界では、その業界のスタンダードを一度握ってしまえば、それを覆すことは簡単ではありません。

中国はこうしたITやインフラで世界的優位に立つために、自国の(従順な)企業を対象に巨額の資金援助や優遇を行うなどして、あらゆるジャンルでのシステムやソフトウェアの企業を世界に発信しています。

そうして、国防上有利に立つための情報を世界中から集めることを国家戦略としているわけですね。

【まとめ】セキュリティ上の懸念はやはり残る

ということで、冒頭の概要まとめを再度掲載しておきます。

  • プログラムに多くの脆弱性を抱えており、Windowsログイン情報などが抜き取られる可能性がある
    (既知の問題は最新バージョンで解消済み)
  • 2020年2月に、本来経由するはずのない中国のサーバを経由した問題が報告される
  • Zoom社は中国にも拠点があり、中国共産党はこの会社のデータを検閲する権利(法律)がある
  • 中国に拠点がある以上「中国にWeb会議のデータが漏れる可能性」は常にある
  • セキュリティを懸念するなら、代替サービスやツールを利用したほうが(現在は)確実に安全

 

こうしたセキュリティ上の懸念点を抑えた上で、Zoomを使う・使わない…ということを判断いただければ! と思います。

当ブログ・TipstourではZoomの登録方法や利用方法などを解説していますので、利用される際は、こちらも合わせてご覧くださいませ。

Zoomの使い方・記事一覧はこちら

 

【参考】Zoomの代わりになるWeb会議システム

ちなみに、Web会議システムの代替サービスとしては、

などがあります。

 

以上、ご参考までに!

それでは!

 

【参考記事】無料版・有料版アカウントの機能の違いについて、こちらの記事にまとめています