先週、連邦職員に対しZoomの使用を控えるよう勧告する声はますます高まっており、米国上院もこれに加わった。ある高官は、Zoomを「プライバシーとセキュリティ上の懸念」と表現した。このビデオ通話プラットフォームを懸念する理由は、外国による盗聴の可能性から暗号化の問題まで、実に多岐にわたるが、一部の連邦職員にとっての転機は、結局のところ、ある問題に集約されるようだ。それは、問題児のティーンエイジャーたちだ。
しかし、一体何が、これらのクソみたいな10代の若者たちが国会議員や全国の人々を荒らすのを許しているのだろうか? 結局のところ、少なくとも多くの場合、それはちょっとした巧妙なグーグル検索に過ぎない。さらに懸念されるのは、Zoomの通話を見つけるための同じ検索手法が、政府向けに特別に開発された同社の製品にも当てはまる可能性があることだ。
「Zoom爆撃」問題は先週、オハイオ州選出の共和党下院議員ジム・ジョーダン氏が下院監視委員会にメモを送り、ニューヨーク州選出の民主党議員キャロライン・マロニー委員長に対し、委員会とZoomの関係を断つよう要請したことで、新たな局面を迎えた。ジョーダン氏の書簡は、上院の議事係が議員と職員に対しZoomを利用しないよう警告してからわずか1日後に届いた。その理由は? 議会の会議を妨害するいたずら者がプラットフォーム上で発生したためだ。ジョーダン氏は次のように書いている。
「FBIやメディアからの警告にもかかわらず、2020年4月3日、あなたはアフガニスタン復興特別監察総監(SIGAR)と共に、アフガニスタンにおける女性の権利に関するZoomによる議員説明会を開催しました」とジョーダン氏は記した。この重要な説明会の間、セッションは少なくとも3回「Zoom爆弾」に見舞われた。
ジョーダン氏は、会議参加者のデバイスへの潜在的な「ハッキングやマルウェア」の影響は「まだ調査中」だと付け加えた。しかし、こうした攻撃の背後にいる子供たちの犯人のほとんどが言うように、Zoomミーティングを見つけてゴミ箱に捨てるのは驚くほど簡単だ。少し分析してみると、この格言は教室やアルコール依存症からの回復者同士の会議だけでなく、連邦議会議事堂で行われる会議にも当てはまることがわかった。
ジョーダン氏が訴えた事件は、こうした攻撃が連邦レベルにまで及んだ最初の公表例だが、地方自治体への攻撃は数週間前から続いている。報道によると、ほぼすべての州で市議会の会議にトロールが押し寄せ、ポルノ投稿、ナチスの記念品、そしておそらくナチスをテーマにしたポルノまで拡散している。
これらの攻撃(およびその他の攻撃)への対策として、Zoomはセキュリティ対策を強化し、各会議にデフォルトで仮想待合室を設けました。これにより、主催者は参加者を事前に審査し、「ベン・ドーバー」や「ヒュー・ジャス」といった明らかな荒らしを退出させることができるようになりました。こうした事前審査の脅威、そして投獄の可能性もあって、こうした荒らしの多くは思いとどまりましたが、それでも多くの荒らしが、これまでと同じように、無害な名前を使ってこっそりとこれらの部屋に潜り込んでいったのです。
Zoom爆撃の専門家を自称しているわけではありませんが、Zoom爆撃者たちと1日ほど一緒に過ごした結果、そもそも多くの生徒たちがどうやってコードを見つけているのかが分かりました。圧倒的多数は、10代前半から10代の生徒たちで、先生を困らせるために自分のクラスのコードを生徒同士で回しているだけです。中には、スクレーパーやボットを作成し、主要ソーシャルプラットフォームからZoomミーティングへの招待を盗み取ろうとする者もいました。
もう一つの人気の手法は「グーグル・ドーキング」です。これは、Googleの検索バーに特定のキーワードを入力して、ウェブから脆弱な情報を掘り出すというものです。「ドーキング」(これらのキーワードはこう呼ばれます)は、ハッキング愛好家やサイバー犯罪者だけでなく、私を含む一部の調査報道ジャーナリストの常套手段です。つまり、理論的には、これらのティーンエイジャーたちが参加していた議会の会議に「ハッキング」できるということです。
そこで、試してみることにしました。自分で会議を爆破するつもりはなく、これらのバカたちがどこでそれを掘り出しているのかを見つけられるかどうかを見てみるだけです。
Googleなどの検索エンジンから情報を消すための特別な手順を踏まない限り、オンラインに投稿したほぼすべての情報はインデックス化され、検索可能なデジタル記録として保存されます。テクノロジーにあまり詳しくない人が運営するサイト、例えば地方自治体のウェブサイトなどの場合、適切な検索ワードさえ知っていれば、たとえパスワード保護機能で隠されていたとしても、サイトの全履歴からあらゆる情報を引き出すことができます。また、以前にも発見したように、一般公開されているZoomのリンクはすべて、同じような検索文字列を共有しているため、オンラインのどこかに投稿された今後の会議の膨大な情報を簡単に見つけることができます。
Gizmodo は 2 週間前に初めて Zoom に Google ドーキング問題について問い合わせましたが、その問い合わせは未回答のままでした。今日、同じ問題が Zoom For Government 会議にも当てはまるという事実を Gizmodo が伝えるまで回答がありませんでした。
「Zoomはセキュリティを極めて重視しています」と、同社の広報担当者は述べています。「ユーザーがミーティングへのリンクを公開した場合、検索エンジンにインデックス登録される可能性があることを認識しており、そのようなリンクのインデックスを解除し、検索結果を削除するよう全力で取り組んでいます。」
広報担当者は、「すべてのユーザーに対し、機密性の高い会議へのリンクを公開ウェブサイトに投稿しないよう強く推奨します。また、招待されていないユーザーが参加できないように、パスワード保護と仮想待合室の使用を推奨します」と付け加えた。
公平を期すために言うと、私の検索結果に多くの自治体の会議が表示されたのは、彼らがシンプルなZoomを使っていたからです。もう少し資金に余裕がある、あるいは国家機密を隠しておかなければならない人たちは、Zoom For Governmentを使っている可能性が高いでしょう。これは、昨年国土安全保障省が「安全なクラウドソリューション」として推奨した、エリート向けの派生サービスです。公開されている資料によると、このZoomの派生サービスは、疾病予防管理センター(CDC)、税関・国境警備隊(CBP)、農務省といった著名なパートナーも抱えています。
当然のことながら、国防総省と関税執行局(ICE)が使用している電話会議ソフトウェアのせいで、会議の記録を見つけるのが少し難しくなるだろうと予想していましたが、以前と同じように、これらの会議は数クリックで見つかりました。5分も経たないうちに、USDA(米国農務省)やNSF(国立科学財団)で開催された会議のリンクや、CDC(疾病対策センター)が主催した新型コロナウイルス関連の電話会議へのリンクをいくつか見つけました。
これらのリンクはどれも特に興味深いものではありませんでした。Google検索で探しても(おそらく、そして願わくば)米軍上層部による内部会議は見つからないでしょう。しかし、一般向けの電話会議は見つかります。例えば、USDA(米国農務省)と地元農家、CDC(疾病対策センター)と地元病院、NSF(国立科学財団)と地元大学との電話会議などです。このような場合、待合室機能は全く役に立ちません。Zoomボマーが偽名を使って偽のアルコール依存症者を装い、AA(アメリカン・アソシエイツ)の会議に潜入できるのであれば、偽の病院職員や偽の連邦政府請負業者を装い、CDCの会議に潜入するのも同じことが容易にできるでしょう。
Zoomを弁護するなら、こうしたリンクをあらゆる検索エンジンが閲覧できるように世界中に公開しているのは連邦政府なので、こうした事態の多くは彼らの手に負えない。しかし、国家安全保障の名の下にデータセンターの構造を徹底的に刷新できるのであれば、顧客が誤ってオープンウェブ上に何を公開している可能性があるかを知らせるのは最低限の対策だろう。
