注: このストーリーは数年間更新されていません。
そこで、セキュリティ専門家は、ビジネス用ビデオ会議アプリ Zoom が、Mac ユーザーのプライバシーとセキュリティを侵害する可能性のある一連の悪質な行為を行っていることに気付きました。
私の推測では、Zoomの原罪は企業文化に起因していると言えるでしょう。要求の厳しい顧客(ITマネージャー)と、特に技術に精通していない顧客(個々のビジネスユーザー)が集まる、非常に競争の激しい業界での競争に重点が置かれているのです。ユーザーにとってよりスムーズなビデオ会議運営を誇る他社にビジネスを奪われるのではないかという強い懸念があるのでしょう。
そしてAppleが登場し、Safariにセキュリティ機能を導入しました。ウェブブラウザ上のリンクが外部アプリを開こうとすると、確認のクリックが必須となるのです。Zoomは、ユーザーを電話会議に誘導するためにウェブリンクを頻繁に配布していましたが、このセキュリティ対策は顧客の安全を守るためのものではなく、プラットフォーム所有者による摩擦の増加だと捉えていました。
Zoom の対応は、秘密のローカル Web サーバーを構築することでした。これにより、Zoom はハイパーリンクを書き換えて、アプリではなく Web サーバーに接続できるようになりました。そのため、Web サーバーは Safari のセキュリティを回避し、2 回目のクリックなしでアプリを起動できるようになりました。
私はZoomを使っている。なぜなら、ZoomはSkypeよりも優れた製品だからだ。1 自分がやっている大規模パネルでのポッドキャスト配信にはZoomが適しているからだ。しかし、今回の問題は私を躊躇させる。それは、今回の出来事の具体的な詳細が理由ではない。むしろ、Zoomという企業にとっての優先順位が何を意味するのかを示唆しているからだ。プラットフォームの所有者が、ウェブリンクから承認クリックなしで他のアプリを開かないようにすると決めた場合(これはかなり賢明なセキュリティ対策である)、企業の対応は、潜在的なセキュリティホールとなる隠しサーバーを目に見えない形で設置することで、そのクリックをバイパスすることではない。
おそらくZoomは昨日Appleの誰かから電話を受け、Safariのクリック確認機能は本来使われるべきものであり、それを迂回するのは良くないという指示を受けたのでしょう。ZoomアプリはApp Storeには掲載されていないため、AppleによるZoomへのコントロールは限定的ですが…Appleにはマルウェア対策機能が組み込まれており、それを活用することは可能です。そして将来、AppleはmacOSで特定のアプリの特定のバージョンをデフォルトで無効化する権限を持つことになります。サードパーティのソフトウェア開発者は、Macのプラットフォームセキュリティ機能を回避し、自社のビジネスに大きなリスクを負っています。
いずれにせよ、Zoomはローカルウェブサーバーを削除し、アンインストール機能を追加し、ユーザーがビデオをデフォルトでオフにする設定を恒久的に行えるようにするアップデートをリリースしました。(セキュリティ研究者からの警告を受けてから数ヶ月かけてこれらの問題に対処する必要がありましたが、Zoomはそれを実行しませんでした。かなり大きな企業文化の変革なしに、彼らが将来正しい選択をするとは考えにくいです。)
アップデートの詳細は、Zoomの素晴らしいブログ記事で読むことができます。この記事の執筆時点で4回も更新されています。最初の返信は、記事の下部にある傲慢な肩をすくめるようなもので、セキュリティ研究者を愚かなおせっかい者と描写しようとしています。そこからスクロールしていくと、Zoom社内で、彼らの対応が期待に応えられていないことに気づき始めている様子が分かります。
[更新:誰かが「マルウェア対策が組み込まれている」と言及しましたか? TechCrunch によると、Apple は Zoom の非表示 Web サーバーをすべてのバージョンで停止したため、最新バージョンにアップデートしていないユーザーでも、そのサーバーがバックグラウンドで実行されなくなります。]
- Zoomは通話中の各参加者の音声トラックを自動で録音できますが、Skypeにはまだそれができません。この機能のおかげで、今年に入ってすでに4回も助けられました。この機能を備えたクロスプラットフォームツールで、大規模なグループに対応できるものはほとんどありません。それでも、引き続き探してみるつもりです。↩
このような記事がお気に召しましたら、ぜひSix Colorsの購読者になって私たちを応援してください。購読者は、限定ポッドキャスト、メンバー限定記事、そして特別なコミュニティにアクセスできます。