去年の今頃は、「ズーム」という言葉はスピードに関係する言葉でしかありませんでした。しかし、パンデミックにより、ビデオ会議プラットフォーム Zoom は、企業秘密について話し合うビジネスパーソン、患者の機密情報について話し合う医師やメンタルヘルスの専門家、学校の勉強を続ける子供たち、そして残りの私たちにとって、一日の細部に至るまですべてを共有する日常の必需品となっています。日常生活から家族の機密事項まで。 発表されたばかりのFTCの苦情によるとZoomは、プラットフォーム上の通信のセキュリティについて消費者に誤解を与え、同社がSafariブラウザに組み込まれているセキュリティ機能を侵害した際に特定のユーザーを危険にさらす、欺瞞的で不当な行為に関与したとされている。提案された和解案では、Zoomはセキュリティ上の約束を遵守し、将来的に消費者の情報を保護するために設計された包括的なプログラムを導入することが求められる。
Zoom を数回使用するだけで、名前、電子メール アドレス、おおよその場所、クレジット カード番号、出席者の ID、チャットを含むサービスの使用中に収集される大量の情報など、同社が収集する幅広いデータが理解できるようになります。 、メッセージ、ファイル、およびZoomのクラウドストレージに保存された録画された会議。通信のセキュリティに対する消費者の懸念を明らかに認識しており、Zoom はウェブサイトなどで、「セキュリティを真剣に考え」、「プライバシーとセキュリティを最優先に据え」、「お客様の保護に全力で取り組んでいる」と主張しました。プライバシー。”
Zoom は、サイト、アプリ、セキュリティ ガイド、および潜在的な顧客との直接コミュニケーションにおいて、すべての会議に対する「エンドツーエンドの AES 256 ビット暗号化」を大々的に宣伝しました。エンドツーエンドの暗号化は、送信者と受信者だけがコンテンツを読み取れるようにする方法であり、プラットフォーム プロバイダーであっても他の人は読み取れません。 AES 256 ビット暗号化は非常に強力なレベルの暗号化であるため、「TOP SECRET」メッセージを保護するために使用できます。 2015 年の Zoom ブログ投稿によると、「Zoom は AES 256 暗号化を使用している」ため、「ハッカーが絶望的に文字化けした送信以外の情報を取得することは不可能になっています。」 。 。 。同社はまた、「すべての会議データとインスタント メッセージのエンドツーエンドの AES 256 ビット暗号化」により、このプラットフォームが遠隔医療ビデオ会議の強化されたセキュリティ ニーズに適していることを医療提供者に表明しました。
同社はそう主張したが、FTCはZoomの成果ははるかに少なかったとしている。実際、Zoom はほとんどの Zoom 会議にエンドツーエンドの暗号化を提供していませんでした。これは、Zoom のサーバー (中国にあるサーバーも含む) が、Zoom が顧客の会議のコンテンツにアクセスできるようにする暗号キーを保持していたためです。さらに、FTCは、Zoomが提供した暗号化レベルが低く、保護が不十分だったため、同社の「256ビット暗号化」という主張は虚偽または誤解を招くものであったと述べている。
有料の顧客に対して、Zoom は、会議の終了後すぐに録画した会議を Zoom の安全なクラウドに保存するオプションも提供しました。しかし、FTCによると、録画はZoomのサーバーに暗号化されずに最大60日間保存され、その後Zoomの安全なクラウドストレージに転送され、暗号化されて保存されたという。
FTC はまた、Mac ユーザーに対して、Zoom がインストールしたソフトウェア (ZoomOpener と呼ばれる) が特定のプライバシーとセキュリティ上の懸念を引き起こしたと主張しています。 Mac 所有者はぜひ読んでください。 苦情 詳細は後述しますが、概要は次のとおりです。マルウェアや悪意のある攻撃者から防御するために、Apple は Safari ブラウザを更新し、Web サイトまたはリンクが外部アプリを起動しようとしたときにユーザーにダイアログ ボックスの操作を要求しました。そのため、消費者が Zoom ミーティングへの招待リンクを受け取った場合、「OK」をクリックして Zoom アプリを開いてミーティングに参加する必要がありました。ただし、このダイアログ ボックスを回避するために、Zoom は 2018 年 7 月に ZoomOpener ソフトウェアを使用して Mac 用アプリを更新しました。同社はアップデートの目的は「軽微なバグ修正」を解決することだと主張したが、FTCはZoomが別のことを念頭に置いていたと述べている。実際、Zoom の「修正」は Apple の Safari ブラウザの保護機能を回避しました。その結果、消費者は、Zoom のデフォルトのビデオ設定を変更しない限り、カメラも自動的にアクティブになり、Zoom ミーティングに自動的に参加できます。
重要なのは、Zoom はユーザーを保護するための相殺措置を講じておらず、FTC は Zoom の裏での策略が Mac ユーザーを危険にさらしていると主張している。たとえば、ダメ人間は、実際には Zoom への招待を偽装したフィッシングメールを送信する可能性があります。消費者がリンクをクリックすると、許可なく Zoom ミーティングが開かれ、見知らぬ人がウェブカメラを通じて覗き見したり、コンピューターにマルウェアをインストールしたりする可能性があります。ユーザーがZoomアプリを削除したとしても、ZoomOpenerはそれに付随する脆弱性とともに残りました。さらに、Zoom はユーザーの許可や知識なしに Zoom アプリを再インストールする可能性があります。 Apple は 2019 年にユーザーのコンピュータから ZoomOpener Web サーバーを削除しました。
の 提案された行政苦情 Zoomは、エンドツーエンド暗号化に関する欺瞞的な主張、提供する暗号化レベルに関する虚偽の約束、および録画された会議用の安全なクラウドストレージに関する誤解を招く表現を行うことにより、FTC法に違反したと主張している。さらに、FTCは、ZoomによるZoomOpenerのインストールがサードパーティのプライバシーおよびセキュリティ保護手段を不当に回避し、Zoomが欺瞞的にZoomOpenerに関する完全な情報を消費者に提供しなかったと非難している。
の 和解案 Zoom がプライバシーおよびセキュリティ関連のさまざまな虚偽表示を行うことを禁止します。また、Zoom には、リリース前のすべての新しいソフトウェアのセキュリティ レビュー、脆弱性管理プログラム、全従業員を対象とした定期的なセキュリティ トレーニング、開発者とエンジニアを対象とした専門トレーニングなどを含む広範な情報セキュリティ プログラムを導入することも求められています。 、資格のある第三者による独立したプログラム評価が 180 日以内に行われ、その後は 20 年間隔年で行われます。和解案が連邦公報に掲載されると、FTCは30日間パブリックコメントを受け付けることになる。
Zoomは訴状で異議を申し立てられた慣行のほとんどを中止したが、今後のコンプライアンスに最も効果的な手段は、適格な第三者によって評価され、FTCによって監視され、法廷で執行可能な包括的なセキュリティの刷新である。毎日Zoomを利用してビジネスをしたり、医療を受けたり、子供の教育を受けたり、家族と連絡を取ったりしている何億人もの消費者は、企業が個人情報を保護するための措置を講じることを期待する権利があります。
ビデオ会議プラットフォームの使用に関する詳細情報をお探しですか? 「ビデオ会議: ビジネスのためのプライバシーに関する 10 のヒント」を参照してください。
