Zoomがブラウザに保存されたCookieをアンインストール時に操作していることが判明

オンラインビデオ会議サービスのZoomが、Windowsクライアントのアンインストール時にブラウザのCookieを読み書きしていると、サイバーセキュリティ企業のThreatSpikeが報告しました。書き込んだCookieの有効期間は10年に設定されており、EUにおいてインターネット上のプライバシーを規律する(PDF)ePrivacy指令に反していると指摘されています。

ThreatSpike Blog: Zoom still don't understand GDPR
https://www.threatspike.com/blog/zoom_cookies.html

新型コロナウイルスの感染拡大に伴うオンラインビデオ会議サービスの需要増により、Zoomは2021会計年度第1四半期において対前年比で大幅な増収を達成。その一方で、Zoomはセキュリティやプライバシーに関するさまざまな問題を抱えており、GoogleやSpaceXは社内でのZoom使用を禁止する対策を講じています。

セキュリティ＆プライバシー関連の問題が相次ぐオンラインビデオ会議アプリの「Zoom」 - GIGAZINE

ThreatSpikeはWindows向けZoomクライアントがアンインストール時にGoogle ChromeのCookieにアクセスしていることを検知したため、Zoomクライアントがアンインストール時に行う操作について調査を実施したとのこと。ThreatSpikeはまず、Windows上のChromeに保存されたCookieを消去した上で、Zoomのクライアントをインストール。ChromeからZoomのホームページである「https://zoom.us/」を含んだいくつかのウェブサイトにアクセスして、それぞれのCookieを受け入れる作業を行いました。

その後、Zoomのクライアントをアンインストールしその動作を観察すると、Chromeに保存されたCookieの内容が読み込まれていることが判明。ZoomクライアントはZoomのウェブサイトが保存したCookieだけでなく、他のウェブサイトのCookieまで読み込んでいたとのこと。ThreatSpikeはこうしたZoomクライアントの挙動について「Zoomのウェブサイトが保存したCookieを見つけるための検索操作」と結論付けています。

さらに、ZoomクライアントはCookieの読み込みだけでなく、書き込みまで行っていたことも明らかに。書き込まれたいくつかのCookieの中でも、特に「zm_everlogin_type」という名前のCookieは有効期限が10年に設定されていました。「everlogin」という名称から、ThreatSpikeはCookieの用途を「ユーザーがZoomにログインしたことがあるかどうか」を判別するためのものだと推測すると同時に、Zoomのアンインストールを行うユーザーに対して「ログインの有無」に関する情報を10年間も保持させるのは、Cookieの保存期間を12カ月までと定めるePrivacy指令に反していると指摘しています。

インターネット上のユーザー活動を追跡すること自体は問題ではありませんが、ePrivacy指令やEU一般データ保護規則(GDPR)を尊重し、インターネット上で公正な体験を提供することは企業の責任だとThreatSpikeは語っています。