直接販売からパートナー販売へ 中国大陸撤退へ向けた布石か

オンライン・ミーティングアプリ、Zoom(ズーム)社が、3日に中国大陸の顧客への新製品や直接販売や製品アップグレードを23日から停止すると発表したとヤフーニュースなどで大きく法じらられています。中国大陸における直接販売をやめて、パートナーを経由した販売にするとのこと。

Zoom社のホームページを確認してみました(20200805 11:00時点)が、Zoom社のプレスページ(https://zoom.us/press)にはそのような発表の記事は掲載されていませんでしたので、報道各社に向けに情報を先にリリースし、世間の反応を確かめているのかもしれません。

Zoom、中国大陸における販売方法変更の背景

Zoom社のこのような動きの背景にあるのは、米中対立です。米国トランプ政権による中国企業への厳しい姿勢が、中国本土で開発されている真正中華アプリであるZoomの脱中国の動き(アピール)を加速させているのでしょう。

今、ネットで話題のTikTok、WeChat、Zoomなど、Zoom以外の中華アプリについても、米国の超党派議員グループがアプリの調査を要求する書簡を米国司法省に送ったとの報道もありました。

Zoomについては、今後、米国の調査が入る可能性が高いということを念頭に置いておく必要があります。

そんな傍らで、Zoomパスワードの脆弱性問題について指摘されていました。

コロナ渦でテレワークがひろがる中で、ここ数カ月、度々話題にのぼるZoomですが、パスワードで保護され安全なはずだったZoomミーティング(ウェブ会議)が、たった数分のパスワード攻撃(ブルートフォースアタック(総当たり攻撃))で非公開だったはずのZoomミーティングにアクセスできてしまうというセキュリティ脆弱性の問題も指摘されていました。

Zoomミーティングを開くまでのフロー

簡単にZoomミーティングを開くまでのフローをご説明しておきますと、Zoom でミーティングを開催する場合、Zoomミーティングのホストオーナーが開催したミーティングにユーザーを招待します。

会議に出席してもらいたいユーザーを検索もしくはミーティングURLを送ることによる「招待」で、目的のミーティングに参加してもらうことになります。

この「招待」の際に使われるのが、以下のようなURL(サンプル)です。このURLを知らないユーザーは当然にミーティングに参加することはできなのですし、このミーティングに設定されたパスワードを知らなければミーティングの中に入ることもできないことになっています。

https://hogehoge.zoom.us/j/99998889999?pwd=hogehogehogehogehogehogehogehoge

Zoomアプリの画面にも表示されていますが、ZoomミーティングにはDefaultで6桁の数字のパスワードがセットされています。

因みに、上記URLのpwd=hogehogehogehogehogehogehogehogeを削除しアクセスしてみると、ID/Passwordが求めるログイン画面が表示されますので、ミーティングにはしっかりパスワードがかかっていることがわかります。

パスワードは設定されていて、一見、安全なように見えるZoomミーティングのセキュリティ対策ですが、今回指摘されている問題点は、簡単に言うと「開催されているZoomミーティングにパスワードの総当たり攻撃を受けてしまうと、Zoomアプリ側で繰り返して試されるパスワード試行に対してのレート制限がないために、短時間でパスワードが解析されてしまう」という問題です。

その後のZoomの対応

その後、Zoom社は該当する問題について対応したとかしないとか書いてありますが、、そもそも非公開であるはずの会議がたやすくパスワード解析され、誰とも知らない人々が企業機密である会議をこっそりと聞くことができていた問題を長年抱えていた!というのは、米中対立を抜きにしても、ビジネスユースとして利用しているユーザーにとっては正直利用しにくいサービスではないかと思います。

次回は、Zoomのセキュリティに関して、どうしても気になるネタがもうひとつばかりありますので、Zoomセキュリティの続きをご紹介したいと思います。

前回の記事はこちら

Zoomを少しでも安全に使う為に、Zoomデータセンター地域を変更する