Zoomが参加者の承認をデフォルトにしてZoom爆撃を防止
Zoomは、トロール(荒らし)によるビデオ会議に対する悪質な攻撃の蔓延を防止すべく、大きな変更を行った。米国時間4月5日から、Meeting IDによる参加にパスワードが必要になる。Meeting IDは推測されたり再利用されたりするためだ。さらに、バーチャル・ウェイティングルームをデフォルトでオンにする。これでホストは参加者を手動で承認しなければならなくなる。
この変更によって、「Zoombombing」(ズームボミング、Zoom爆撃)を未然に防げる可能性がある。Zoom爆撃は2週間前に名付けられた用語で、悪意のあるユーザーがZoom会議に参加して、不快な画像や映像を共有する行為だ。その後新たなZoom爆撃の戦術が次々と編み出され、チャットスレッドにひどいGIFアニメを投入したり、バーチャル背景を使って悪意のあるメッセージを流したり、罵る言葉や中傷を叫ぶだけというものも出てきた。匿名の会議は組織的荒らし行為の温床になっている。
FBIは、小学生のオンライン授業やアルコール中毒者の匿名集会やプライベートな仕事の会議がZoomG爆撃を受けた問題を受け、 警告を発行した。セキュリティー研究者は、アタッカーが会議に侵入するさまざまな方法を発見し公開した。
一連の問題は、Zoomが元々企業内などの信頼された環境で使用されることを前提に作られていたことに由来する。飲み会やヨガ教室、円卓会議や授業などは想定されていないかった。しかし、新型コロナによる自宅待機でユーザー数がこのひと月で1000万人から2億人に増えたことに対するシステム基盤のスケーリングに苦闘していたZoomは不意をつかれた。
Zoom CEOのEric Yuan(エリック・ユアン)氏はセキュリティーの不備について謝罪し、修正を約束した。しかし、当時同社は、スクリーン共有をホストのみが使えるように、ウェイティングルームは小中高生ユーザーにのみデフォルトで有効にすると言うだけだった。今般、それでは不足であることを認めたことは明らかであり、ウェイティングルームは全ユーザーのデフォルトになった。
Zoomは今日(米国時間4/3)の午後一連の変更についてユーザーにメールを送り、次のように説明した。「ビデオ会議のパスワードを必須とし、ウェイティングルームをデフォルトでオンにすることでセキュリティーを高め、みなさんのプライバシーを保護します」
さらに同社は、「今後予定されるビデオ会議では、招待状にパスワードが表示されます。インスタントミーティングでは、Zoomクライアントにパスワードが表示されます。パスワードはビデオ会議の参加URLでも見ることができます」。ほかの注意事項としては、ファイル転送やスクリーン共有、削除された参加者の再参加などを禁止することが挙げられる。
この変更によってユーザーの手間は増える。ホストは会議を進めると同時にウェイティングルームの参加者を承認しなければならない。Zoomは、4月5日以降に予定されているMeeting IDベースの会議のユーザーに、改めてパスワード付の招待状を送ることを推奨している。パスワードを探すのに四苦八苦したユーザーの参加が遅れる可能性がある。
しかし、これはZoom爆撃の被害から参加者を守るために支払う妥当なコストだ。続発する荒らし行為は、今爆発的に普及しつつあるビデオチャット・プラットフォームを使い始めた人たちの体験に水を差すものだ。たった一度のポルノ画像で汚染されたビデオ会議は、友だちや同僚との100回の平和な経験よりも強い印象を残しかねない。従来の初期設定はZoomが企業内で使われていたときにはよかったが、誰もが使う基本ツールになった今、自分を変える必要があった。
製品がメインストリームになり新たな使われ方をするようになるにつれ、技術者はワーストケースのシナリオを予測できるように成長する必要がある。誰もが好意的であると想定することは、人間の本性を無視している。どんな小さなチャンスであっても、そこから利益を上げたり、力を得たり、混乱を起こそうと、常に誰かが狙っている。ビジョンを持った理想主義者だけでなく、懐疑派や現実主義者を開発チームにいれることで、スキャンダルを起きる前に、プロダクトを悪用から守ることができるだろう。
[原文へ]
(翻訳:Nob Takahashi / facebook )