Zoomは「エンドツーエンドの暗号化」についてユーザーに虚偽の宣伝をしたと連邦取引委員会が主張

新型コロナウイルスのパンデミック中に大きく躍進したビデオ会議ツールのZoomに関しては、さまざまなセキュリティやプライバシー上の問題が指摘されています。Zoomのセキュリティ問題について調査してきたアメリカの連邦取引委員会(FTC)が、2020年11月9日(月)に発表したZoomとの和解案に関連して、「Zoomはエンドツーエンドの暗号化に関してユーザーに虚偽の宣伝を行っていた」と述べました。

FTC Requires Zoom to Enhance its Security Practices as Part of Settlement | Federal Trade Commission
https://www.ftc.gov/news-events/press-releases/2020/11/ftc-requires-zoom-enhance-its-security-practices-part-settlement

Zoom lied to users about end-to-end encryption for years, FTC says | Ars Technica
https://arstechnica.com/tech-policy/2020/11/zoom-lied-to-users-about-end-to-end-encryption-for-years-ftc-says/

パンデミックによるリモートワークや移動制限の増加により、Zoomは飛躍的にユーザー数を伸ばしました。その一方で、「オンライン会議の暗号化キーが中国のサーバーに保管されている」といったセキュリティ問題が続々と指摘されるなど、さまざまな問題点も浮上しています。

オンラインビデオ会議アプリ「Zoom」の暗号化キーの一部が「中国のサーバー」から発行されていると判明、「待機室」機能にも脆弱性アリ - GIGAZINE

FTCはZoomのセキュリティ慣行について、実際にはエンドツーエンドの暗号化を実装していないにもかかわらず、「ユーザーの通信を保護するためにエンドツーエンドの暗号化を提供している」と宣伝し、ユーザーを誤解させたと指摘。FTVによると、Zoomは2016年6月や2017年7月に発表したコンプライアンスガイドや、2017年4月のブログ投稿、2019年1月に発表したホワイトペーパー、顧客の問い合わせへの回答などで、エンドツーエンドの暗号化を提供していると主張していたとのこと。

「実際のところ、中国に置かれたものを含むZoomのサーバーが、ユーザーによるZoom会議のコンテンツにアクセス可能な暗号化キーを保管していたため、自身のサーバーでホストされているZoom会議をのぞき、エンドツーエンドの暗号化を提供しませんでした」とFTCは述べています。また、Zoomでは会議の記録をクラウドに保存するサービスも提供していましたが、一部の記録は最大60日間にわたって暗号化されないままZoomのサーバーに保存されていたそうです。

また、ZoomはMacコンピューターでZoomを使うユーザーに対し、「ZoomOpener Web server」というソフトウェアを密かにインストールしていたことも問題視されています。ZoomOpener Web serverは、ZoomがAppleのセキュリティプロトコルを回避するのを助け、Safariがユーザーに警告ボックスを表示するのを防いでいたとのこと。FTCはZoomOpener Web serverが、第三者によるユーザープライバシーの侵害リスクを高め、場合によってはアンインストールしたZoomを再インストールさせると指摘しました。なお、Zoomは2019年7月に、MacのアプリケーションからZoomOpener Web serverを削除するアップデートを実施しています。

こうしたZoomのセキュリティ問題について、FTCは調査を進めてきました。そして11月9日、「包括的なセキュリティプログラムの確立と実装」「プライバシーとセキュリティに関する不実表示の禁止」「ユーザーを保護するための詳細かつ具体的な救済の確立」などを条件とした和解案にZoomが同意したことが発表されました。

FTCの消費者保護局長であるアンドリュー・スミス氏は、「パンデミックの間、家族・学校・社会集団・企業など、事実上全ての人がビデオ会議を使用して通信を行っており、これらのプラットフォームにおけるセキュリティがこれまで以上に重要となっています。Zoomのセキュリティ慣行はユーザーに約束したものと一致していませんでしたが、FTCのアクションはZoom会議とユーザーに関するデータを確実に保護する役に立ちます」と述べました。

なお、今回の和解案は実際のところ、Zoomにエンドツーエンドの暗号化の実装を義務づけたものではありません。しかしZoomは、暗号化技術を開発しているスタートアップのKeybaseを2020年5月に買収し、10月には公式ブログでもエンドツーエンドの暗号化を展開すると発表しています。

Zoom Rolling Out End-to-End Encryption Offering - Zoom Blog
https://blog.zoom.us/zoom-rolling-out-end-to-end-encryption-offering/

今回の和解案はFTCの過半数を占める共和党の委員によって支持されましたが、民主党の委員は和解案に反対しているとのこと。FTCの民主党委員であるRohit Chopra氏は、「和解は影響を受けたユーザーに何の助けも提供しません。Zoomのデータ保護に関する主張に依存した中小企業にとっても、何の役にも立ちません。Zoomは10セント(約10円)硬貨を支払う必要もありません」と述べ、Zoomが補償を行わない今回の和解案には問題があると主張しています。

一方、Zoomは投資家や消費者からの訴訟に直面しており、FTCとの和解案とは別にユーザーへの補償を行う可能性が残されていると、海外メディアのArs Technicaは指摘しました。

セキュリティ＆プライバシー問題が続出のZoomが投資家に集団訴訟される - GIGAZINE

FTCは今後30日間にわたり和解案に対するパブリックコメントを募集し、その後で和解案に変更を加えるかどうかなどを最終的に決定するとのこと。Zoomは和解案について、「ユーザーのセキュリティはZoomの最優先事項です。ユーザーは前例のない世界的な危機の中で接続を維持する上でZoomに依存しているため、ユーザーが私たちに寄せる信頼を真剣に受け止め、セキュリティとプライバシープログラムを継続的に改善しています。私たちはプラットフォームの進歩を誇りに思っており、FTCによって特定された問題にすでに取り組んでいます。FTCによる本日の和解案は、安全なビデオ通信体験を提供するための、製品の革新と強化に対する私たちの取り組みと一致しています」と声明を発表しました。