で、結局Zoomについてどう考えれば良いかという話

By | April 23, 2020

みなさんお使いのZoom。
「色々とセキュリティ問題が言われてるんでしょ!?」って話が聞こえて相談も舞い込む。なので書く。

ちなみにプロが細かいことは色々書いてくれているので、
例えばここらへんとかね。
https://www.itmedia.co.jp/business/articles/2004/22/news026.html

https://wired.jp/2020/04/21/keep-zoom-chats-private-secure/

ということでこのポストでは「私なりにこういう問題とどう付き合うか」というスタンスについて書く。
ソフトウェアのアップデートが日々行われる時代において、細かい最新情報を追うポストを書くことは「書き手のプロフェッショナルではない私」にとってあまり有益ではない。そういうのはまさに「ぐぐってください」だ。

とはいえ事例ということでZoomを挙げている以上はいくつか個別事情について書く。具象から抽象を導く感じで。

ちなみに私はサイバーセキュリティの専門家ではないので全部を鵜呑みにはしないで欲しい。

さてまず、セキュリティ問題はいくつかの段階にわけて理解することができる。ここがごっちゃだと議論が成立しない。
1. 設計ミスといえるレベルの言語道断で直すべき内容
2. スキルフルなハッカーたちとのイタチごっこに近い内容
3. 現代に生きる人は自分で気をつけておいて欲しいリテラシーレベルの内容

私も記事やネットに流れるやりとりを見ていて「そりゃ流石にまずいだろ」と思っていたいくつかの内容は最新版ではすでにFixされていると認識している。というかツッコミが入るやいなやすぐにFixしたようだ。
例えば具体的には、
・Zoomアプリをインストールしてバックグラウンドで起動しっぱなしにしてるとWebサーバーを勝手に立てたままにする
・データの一部(どの程度かわからないけど)が中国のサーバーを経由していた
・ユーザーのデータを承諾を受けずにFacebookに送っていた
というあたり。これらは直ってホッとした。

なおこのような一連の出来事をもってして「こういう致命的なミスをする会社のツールは金輪際使わない!」と言うひとはいるだろうし、逆に「すぐに直して誠意ある行動をした、エラい!」と言うひともいるだろう。
これはセキュリティ意識の高い低いとかではなく価値観の違いだ。
ちなみに私は後者。多分開発や事業を立ち上げる大変さをひじょーによく知っているからだろう。

あえて後出しジャンケン的に言うと私は元々Zoomを使ってなかった。数年前にとあるベイエリアの投資家から勧められて使ってみたけど「アプリをインストールする」という段階で抵抗感を感じて一度使ったきりアンインストールしていた。懸念がやはりと言えばそれまでだし、さもありなんと言えばさもありなんだし、まぁ何れにせよそこまで驚く話ではないかなーと思ったが、それを即直したのでむしろ「やるじゃん」と脊髄反射的には思った。私にとってはそれだけの話。

設計にミスなんてある。
それを許容できない人は一切何も使わずに殻に閉じこもって生きるしかない。
車に乗って出かけることもリスクだし、海辺を散歩するのだってリスクだ(と今の時代はとても言いやすい)
そういうものだ。

さて一旦2を飛ばして3について書くと、例えばZoomで最近パスワードが導入されたが、あれも結局リテラシーが低い人が扱ったら無意味(パスワードごとバレるだけ)なので3についての話はハッキリ言って全般的に気にするだけ無駄なのだ。
そもそもここをきちんと守れない人が「Zoomのセキュリティが〜」とか言うのは少々恥ずかしい。現代においては。
最低限のセキュリティについては自衛でどうにかしなければ(快適には)生きていけない世の中になってしまったのだ。
インフォデミックなんて言葉が最近言われるんだなーと感心していたが、SNSでの誤情報に踊らされた責任をそのSNSの運営母体に追求できるか?違法エロサイトを見ていてウィルスに感染したとして、その対策をブラウザ開発会社に求めるか?
インターネットリテラシーという言葉が言われるようになってかれこれ20年以上経つように思うのだけど、まだまだ時代の変化スピードとリテラシーの定着スピードのせめぎ合いは続く。
一点、IDとパスさえ獲得すれば誰でもミーティングに入れる、という件について、Zoomは「待機所」を作ってむしろ手厚い対応をしてる。エラいと思う。私ならそういうツッコミは無視してしまうかも。そんな「自分で対策しろ。それに文句あんなら使うなよ」って。

2についてはスタートアップや新規事業の領域で言われる「落とし穴の発見」をZoomは買って出てくれたと言える。まぁ成り行き上だけど。
GoogleやFacebook、Amazonでも常にセキュリティ問題は発生していて、これらの情報を元にみんな開発者は自分たちのツールに対策を施す。場合によっては誰かが倒産することによって周囲は大きな学びを得る。そうやって社会は回っている。
誰かがハッカーたちとのイタチごっこをやらないとセキュリティのレベルは上がらない。
それでももし「ハッカーたちのターゲットにされているような危険なツールは使いたくない」と言うひとは「じゃああなたはGoogleもFacebookもAmazonも使わないの?」と返せば、まぁ普通に使ってると思う。

試しにこんなサイトを見てみると非常に面白い。

個人情報漏洩事件・被害事例一覧
https://cybersecurity-jp.com/leakage-of-personal-information

毎年セキュリティ事故、事件が山ほど起きていることがわかる。
私たちはこれら一個一個に対してきちんと律儀に反応して不買運動とか抗議活動とかしてるだろうか?
否。要するに日常茶飯事なのだ。
今回のZoomの事例だけに過剰反応するのはあまりフェアではないスタンスだと言える。

要するに今叩かれているタイミングなだけで、いずれみんなのインフラになるための成長痛なのだろう。
思春期の息子の世話は執事と家政婦に任せておいて成人したら自分の後を継がせる的な「刈り取り」スタンスはTHE村社会ベイエリアでは好かれなかったなぁと思ったりもする(ということで私は極力付き合うと思う)
だけど、一般人的にはこれは「逃げてもいい」シーンであることは確かだ。
要するに私は物好きなんだろうな。

しかしながら重要なことに、他のサービスもどうせ似たような問題抱えてる。そしてセキュリティガチガチなツールは結局のところ使いづらい。
そういう意味でも「現状を乗り越えて成長したZoom」が一番使いやすくて安全なツールになる可能性はとても高いと個人的には思う。