【Zoomヤバい】続 zoomのセキュリティ >9/25追記 プライバシーポリシーの中身をよく読んで第三者に見られることに同意する方のみ使用して下さい【Cisco webex推奨】│ITエンジニアの独り言 IT系フリーランス~デジタルマーケティング~社内SE(何でも屋?)~秋葉原パソコン販売員 幅広い経験を元にIT/ネット関連の話を幅広く綴ったブログです

【Zoomヤバい】続 zoomのセキュリティ >9/25追記 プライバシーポリシーの中身をよく読んで第三者に見られることに同意する方のみ使用して下さい【Cisco webex推奨】

追記

10/9

zoomサイトからプライバシーポリシーへのリンクがなくなりました。

まずい内容だから隠したい・・・「黒」と見て間違いないでしょう。

今後のzoom継続使用の是非を真剣にご検討ください>ALL

—————————

9/25:

android用zoomで米国政府用接続サーバが別に用意してあるのに気づいてわかりました。

なぜ政府用だけサーバーが別?なんのために分ける?サーバーを分ける必然性が分からない。

ユーザーのカテゴリー分けをしたいなら、識別フラグ(カラム)を一列追加すれば良いだけでしょ?

Zoom社は、コッソリ情報収集、各国政府への情報提供はおこなっていないようです。。。

【堂々と明記して】各国の法令、規則に基づき、おこなっているようです。

推測で、デマを流して、大打撃を与えることはさけますが、明記してあることなので、デマ流布にはあたらないので、公開。

https://explore.zoom.us/docs/jp-jp/government-requests-guide.html

アーカイブ

http://archive.today/2021.09.16-153125/https://explore.zoom.us/docs/jp-jp/government-requests-guide.html

ユーザーがZoomに提供するデータ

ユーザーが登録済みのZoomアカウントを保持しているかどうか、ならびにどのプロダクトまたはサービスが利用されているかによって、当社は以下のデータをユーザーから収集することがあります。データのタイプと当社の適切な保持ポリシーによっては、これは保持されることも保持されないこともあります:

  • 名前、ユーザー名、メールアドレス、電話番号、アカウントオーナー名、請求の名前と住所、支払い方法(当社はユーザーのクレジットカード情報を保存しません)を含む識別情報。Zoom Phoneユーザー、ダイヤルした電話番号。
  • 言語のプリファレンス、パスワードのハッシュ、肩書、部門、プロフィール写真を含む他のアカウントデータ
  • Zoomクラウドへ保存するか、当社に提供することをユーザーが選択したユーザーコンテンツ。クラウド録画、トランスクリプト、チャットとインスタントメッセージ、ファイル、ホワイトボード、Zoom Phoneユーザーの音声メールが含まれます。

当社のユーザーが提供する情報の精度を特定したり、保証したりすることはできません。  地域の法律により求められない限り、Zoomアカウントを作成したり、ミーティングに参加したりするために、当社は本名の使用、メールの検証、ID認証を必要としません。

米国政府がユーザー情報をリクエスト

すべての政府機関からのリクエストは適切な法律と規則に従って公式なチャンネルを通じて出される必要があります。公式な署名付きの書類または政府からのメールによるリクエストにより要求されることも求められます(政府機関の公式なメールアドレスから送信されることが条件となります)。すべてのリクエストをlawenforcement@zoom.usに送信してください。

リクエストが出された場合はどのような場合も、法的見直しを行い、リクエストが法的に有効であること(米国で特定の法的根拠がある状況で出されていて、違反の善意の防止、検出、調査に関係していること)を特定します。  リクエストが法的に有効で、当社の他の要件を満たしている場合、当社は当社のプロダクトやサービスに関連するユーザー、アカウント、録画を利用可能である場合に適切な法律に従って開示します。  有効な法的根拠がないと思われる状況、あるいはリクエストが曖昧で広過ぎる状況の際、Zoomはリクエストに対して異議を申し立てるか、リクエストを拒否します。

召喚状や裁判所命令が必要なリクエスト

リクエストされている情報のタイプによっては、ユーザー、アカウント、ミーティングのデータ(コミュニケーションの内容は含まれません)の開示を強制するために、召喚状や裁判所命令が必要です。 利用可能な場合、これには、名前、メールアドレス、電話番号、ミーティングのメタデータ、IPアドレス、MACアドレス、他のデバイスID(UDID)、近似位置が含まれることがあります。

捜索令状が必要なリクエスト

ユーザーの保存コンテンツデータの開示を強制するには、相当な理由の表示時に出される捜索令状が必要です。このようなデータには、クラウド録画、トランスクリプト、チャット/インスタントメッセージ、ファイル、ホワイトボード、および当社のサービスを利用する際に共有される他の情報が含まれることがあります。

ユーザーのミーティングコンテンツのリアルタイムの傍受または監視のリクエスト

合法的傍受を含めていかなる目的のためにもライブミーティングを復号するメカニズムを構築していません。当社の従業員やその他の人をミーティングに参加者として確認できない形で同席させる手段は保持していません。

国際政府がユーザー情報をリクエスト

すべての政府機関からのリクエストは適切な法律と規則に従って公式なチャンネルを通じて出される必要があります。公式な署名付きの書類または政府からのメールによるリクエストにより要求されることも求められます(政府機関の公式なメールアドレスから送信されることが条件となります)。  すべてのリクエストをlawenforcement@zoom.usに送信してください。

政府の要求の場合はいつても、リクエストを出している国の国内法に特定の法的根拠があり、違反の善意の防止、検出、調査に関係している場合、当社は海外の政府の要求を法的に有効なものとして見なします。  情報の開示を強制するには、刑事共助条約のリクエスト、つまりCLOUD法または証人尋問要求書の義務を満たしている国からのリクエストが必要なことがあります。  有効な法的根拠がないと思われる状況、あるいはリクエストが曖昧で広過ぎる状況の際、Zoomはリクエストに対して異議を申し立てるか、リクエストを拒否します。

重要なことですが、上記の当社の基本理念に対して当社の地域の法的義務を配慮し、バランスを取るために、当社は国際政府の要求を国別および事例別に更に精査します。この理念には、自由でオープンな意見交換を促進し、ユーザーの安全性を維持し、ユーザーの個人情報を保護する当社のコミットメントが含まれます。  意味のある意見交換とコラボレーションに関する当社の理念が地域の法律と相容れないような異なる国からの情報に関するリクエストに対して、当社は異なる対応をすることができます。  当社が配慮する主な要因には、子どもの商業的性的搾取のネタまたは死の危険または深刻な人身事故の緊急事態にリクエストが関与していることについて、当社に誠実な信念があるかどうかも含まれています。  また、当社は対応を、これらの危害を防止するのに必要だと思われるユーザーまたはミーティングのデータにのみに制限します。

国際政府機関は、英語のリクエストをlawenforcement@zoom.usに提出することもできます。  英語以外の言語でリクエストを提出した場合、応答を得られる保証はありません。  情報の開示を強制するには、刑事共助条約のリクエスト、あるいは証人尋問要求書が必要なことがあります。

通常、情報収集するときは、使用目的を明示していますが、zoomの収集データは、使用目的の明示がなく、「なんのために収集するの?」と理解に苦しむものばかりです。やましいことがないなら、堂々と出せばよいのに、なぜ見えずらいところにコッソリ置くんですか?

機密性が高いものはZoomを使わない方がいいかな。特に政府機関は・・・。

という個人的意見です。

ちなみにこちらはCisco webex のプライバシーポリシーです。

情報収集する項目及び使用目的の明記があります。

https://trustportal.cisco.com/c/dam/r/ctp/docs/JP/privacydatasheet/collaboration/cisco-webex-meetings-privacy-data-sheet-ja.pdf

以下の規約かなり恐ろしいですね。

アメリカのサーバーにあるデータでも、、アメリカの法律ではなく、中国の法律に則ってデータが渡されるということ。

中国には「国家安全法」という反中国の言動をする人を処罰できるという法律があります。

さらに規約は中国との通信と限定されておらず、例えば日本とアメリカの会議の録画データも中国の法律に則って渡すことが出来ます

(海外)政府の要求の場合はいつても、リクエストを出している国の国内法に特定の法的根拠があり、違反の善意の防止、検出、調査に関係している場合、当社は海外の政府の要求を法的に有効なものとして見なします。 

さらにここに掲載した、zoomのセキュリティポリシーはzoomのトップサイトから、見れないようにわざとリンクを切っていました。人に見られたら困るということでしょうね。

リンク切れは1ヶ月以上続いているので、一時的に作業に伴いリンク切れ起こしている訳ではなく、都合の悪い内容なので意図的に隠していると受け止めるのが自然でしょう。

ここに掲載したセキュリティポリシーはググって掘り出しました。

私はおすすめしません。

WEBミーティングはCiscoのwebexを【強く】おすすめします。

すごく大きな問題だけど中国様の顔色ばかり見ているポチマスコミは、一切報じないでしょうね

この事実を口コミ拡散してもらえれば。

海外メディア、国内ネットメディアは前からzoomのセキュリティ問題取り上げてるんだけどな 日本のマスコミだけ全スルー これがこの国のマスコミの現実ですね

この前、zoomのセキュリティ記事を書きましたが、追加。

社内LANからのオンライン会議内容が漏れていたとSNSで話題になっていたので。

一時期、zoomのエンドツーエンドのセキュリティ問題があり問題になりました。
今はその問題も修正されて、(たぶん)大丈夫。

たぶんミーティング参加者からの漏洩でもなく、ミーティングの動画伝送の途中のセキュリティが破られたのでもなく、オンライン会議ソフト(zoom?)ログインパスワードがハッキングされたと思います。

https://japan.zdnet.com/article/35161580/


ただし、、エンドツーエンドのセキュリティはデフォルトではONにはなってはいません。
セキュリティ強化のためには手動で変える必要がありそうです。

エンドツーエンド暗号化 - Wikipedia

ただし、エンドツーエンドのセキュリティを強化するとzoomの一部機能が使えなくなります。

この設定を有効にすると、以下の機能が無効になります。

  • ホストの前に参加
  • クラウド レコーディング
  • ライブ配信
  • ライブ文字起こし
  • ブレイクアウト ルーム
  • 投票
  • ミーティングでのリアクション
  • 1 対 1 のプライベート チャット*
    *: デスクトップ、モバイル、Zoom Rooms のバージョン 5.5.0 以降では、これらの機能は E2EE ミーティングでも利用できるようになります。

なぜデフォルトでエンドツーエンドのセキュリティをオンにしないのか?

予想ですが、エンドツーエンドの暗号化をすると通信の途中で、悪意はないとしても、内容をモニターするのは不可能。

クラウドレコーディングなどはその典型ですよね。

内容が見えなければ、途中にサーバーはさんで、録画も無理ですし。

zoom社の怠慢というわけでなく、そのためデフォルトでオンにしていない気がします。

個人的な考えですが、エンドツーエンドのセキュリティをオンにすると機能制限される

→ zoomでエンドツーエンドのセキュリティをオンにすればセキュリティは大幅に上がる と考えます・・・あくまでも予想。最後は自己責任の判断。

エンドツーエンドのセキュリティを使わない場合は、最終的にはzoom社を信用するか、否かという問題ですね。

このあたりは私は何とも言えません。個人の判断にお任せします。

以下は、技術的には検証しておらず、状況証拠からの推測なので、
あくまでも【個人的予想です】

最終的には自己判断をお願いします。

https://japan.zdnet.com/article/35157752/

Zoom、中国ユーザーへの提供は現地パートナーからのみに–直接販売を中止へ

zoom中国代理店経由で、配布されているzoomアプリは、中国政府は認めている

→ 中国代理店経由で提供されているものだけ、中身の閲覧が可能になっているから、中国政府は認めているのでは?
  逆に言えば中国zoom代理店【以外】で配布されているzoomアプリはセキュリティが厳しく、中身が見れず、中国政府にとって都合が悪いから中国国内での直接販売は許可されていない。

  このソフトに限らず、セキュリティが疑われるアプリは、中国国内での使用が許可されているか、否かがセキュリティの厳しさを測る一つの目安になる気がします。

上の見解はあくまでも、個人的予想です。

JA Atsit
ズームでエンドツーエンド暗号化を有効にする方法Windows10 - JA Atsit

パンデミックにより、Zoomは最も人気のあるビデオ会議アプリケーションの1つになりました。ビデオ会議アプリに関しては、プ…

エンドツーエンドセキュリティを強化すると機能制約がある、と承知の上、手動でセキュリティを強化する場合は、上のリンク先参照。

たぶん、zoomを使用している90%くらいの人は、このような仕組みになっていると知らないでそのまま使っていると思います。

とりあえず、zoomを使う際は、機密度が高いミーティングの場合 or 録画されると困るオフレコのミーティング等は、エンドツーエンドのセキュリティをONにするのがいいのかな、と思っています。

あと上のリンク先には書かれていませんが、エンドツーエンドの暗号化設定をする際、SMS認証が要求されます。自分の携帯、スマホが必要になります。

たぶん、完全匿名で犯罪に使われないために、こういう仕様にしているんでしょうね。

zoomに限らずどれだけ動画のセキュリティを強化していてもクラウド録画してあるということは、ログインアカウントさえハッキングできれば、簡単にオンラインミーティングの内容が外部からもわかります。

zoom社に限らずオンラインミーティングソフトを提供している会社は二段階認証導入などセキュリティ強化してほしいものです。

Zoomミーティングを録音・録画する方法の他、よくある質問まとめ

追記

既にzoomには二段階認証あったようですね。

zoomを使う人は全員二段階認証導入推奨です。インターネット上のセキュリティはけっこうゆるゆるですから。

https://support.zoom.us/hc/ja/articles/360038247071-2-%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC-2FA-%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%81%A8%E4%BD%BF%E7%94%A8

二段階認証を設定した時はzoomに限らず、必ず以下のように画面で表示されるリカバリーコードを印刷して大切に保存しておいて下さい。スマホ等の機種変や電話番号を変更すると二段階認証でログインできなくなりますが、その救済措置の際必要になります。

二段階認証できなくなるとセキュリティ理由でネットサービス側は教えてくれなくて、もう諦めるしかなくなることがあります。

例え対応してくれても、セキュリティ保持のため、本人確認が厳密でものすごく大変なこともあります・・・ありました・・・汗 本人確認の資料片っ端から集めるのに3日・・・SONY PlayStationNetworkですけどね。さらし上げではないですよ。逆にSONYのセキュリティは厳密でしっかり対策して立派ですよ、というプラスの意味です。

以下以前下書きを書いてたけど未公開だった記事(下書きなので未完です)

Playstation Networkの二段階認証用携帯を機種変したら地獄を見た話&対処方法

by 元某大手IT企業全社情報セキュリティ担当

関連記事

ITエンジニアの独り言 IT系フリーランス~デジタルマーケティング~社内SE(何でも屋?)~秋葉原パソコン販売員 幅広い経験を元にIT/ネット関連の話を幅広く綴ったブログです
zoomのセキュリティ問題 調査結果→CISCO Webexがおすすめ

この前書いた記事。 zoomのセキュリティは大丈夫? の調査結果です。 Q. zoom社は中国企業? A. アメリカ シ…

人気ブログランキングをチェックして、ネットでHot!な話題をゲット!

 

セキュリティの最新記事8件