こうしたなか、台湾行政院のサイバーセキュリティ部門が、すべての行政機関にZoomを使用するのをやめるよう勧告している。
理由としては“セキュリティやプライバシー上に懸念”があるとのことだが、次々と浮上するZoomの脆弱性を鑑みてのことだろう。
台湾は2019年にサイバーセキュリティ管理法を制定し、国の重要な通信インフラ防衛の目的から、関連機関によるセキュリテリスクのある製品/サービスの利用を禁止している。
・エンドツーエンドの暗号化に未対応
Zoomの脆弱性はBleepingComputerによって報じられ、チャットで特定のリンクをクリックすると、Windows認証情報が盗まれるといういものだった(UNCインジェクション)。こちらについてZoomは早々にパッチを発行して修正している。また、トロント大学のCitizen Labは、Zoomが暗号化キーを中国のサーバーに保存していることを報告。用いられている暗号化方式についてもセキュリティが不十分なことを指摘している。
前者に関してはZoomが公式ブログにて、急速な利用拡大に対応する際のサーバー追加の設定で誤りがあったと説明している。また、後者に関しても暗号化の改善を進めているとのこと。
・手軽なゆえの脆弱性も
また、IDのみでテレビ会議に参加できるとの手軽さ重視の仕様があだになり、第三者によるZoom荒らしが報告されていた。こちらについては、デフォルトでテレビ会議の参加にIDだけでなくパスワードが要求されるように。さらには、テレビ会議中タイトルにIDが表示されなくなるなどの改善が施されている。このように、脆弱性が次々と発覚するZoomは、機密情報を扱うような行政機関や企業向けとは言えないのかもしれない。
ちなみに台湾のサイバーセキュリティ部門は、Zoomの代替としてGoogleやMicrosoftのものを推している。もちろん、これらに関してもデータセキュリティリスクを評価してからそれぞれの機関で採用判断…ということだ。
参照元:Executive Yuan orders agencies to step up video conferencing security/ Executive Yuan