zoom利用者に告ぐ!録画機能が第三者に見られる危険性があるぞ!!
先日、マイクロソフトの千代田まどか氏が以下のツイートをリツイートしていた。
Zoom の録画データがAWS S3の公開バケットに保存されており、命名規則が一定のため誰でも他者の会話を視聴できる状態。いやいやいやいやいやいやいやいや。
Thousands of Zoom video calls left exposed on open Web https://t.co/aHV2JpMHEM
— Miyahan (@miyahancom) April 7, 2020
ツイート内の記事リンク先はこちら
このツイートを噛み砕いて説明しよう。
AWSのS3というのは、簡単にいえばデータの倉庫である。
みなさんが良く利用しているwebページの画像などをここに保存するのが、ここ最近の流行である。
この倉庫は、一般公開・限定公開・非公開のように、誰がどこまで出入りできるかを設定できる。
一般的なサービスだと、特定の人しか倉庫に出入りできないように設定するのが定石であろう。
しかし、zoomでは一般公開されているというのが、このツイートから読み取れる。
つまり、誰でもzoomの倉庫に出入りが可能である。
ただし、倉庫に入れただけでは意味がない。
どの場所にどんなものがあるのかを指定しないと、倉庫に入れたデータは取得できないのである。
基本的には、連番(1・2・3~)を付けて保存したり、DBを用いて倉庫の保管場所を暗号化して保存して、必要なときに呼び出したりするのが一般的である。
限定公開であれば、例え連番を用いていても、入れる人が決まっているので、データを持ち出される危険性は皆無である。
しかし、zoomは誰でも倉庫に出入りできるのに、倉庫の保存場所が連番のような誰でも予測ができてしまう方法で管理しているのである。
例えば、私がzoomで会議をしたとして、その会議の録画保存パスが「~~~/003」だったとしよう。
先程、連番の話を出したが、例えばこの録画保存パスを「~~~/002」に変更して開いたらどうなるだろうか。
そう、知らない人の録画が見れてしまうという状況なのである。
これらのことから、zoomを使用して録画する場合は、その録画が誰でも見られることを意識しておこう。
zoomを利用して、顧客情報漏洩など起こっては企業にとって、大ダメージどころではない。
しっかりとzoomの特性を理解した上で使用していただきたい。
なお、この記事が公開された日は2020/04/08であるので、この記事を読んだ人の時点では修正されている可能性があるので、最新情報は各自で入手していただきたい。