kotobato 
新型コロナウイルスのパンデミックが猛威を振るった2020年。もう一つ蔓延した恐怖が、オンラインビデオ会議サービスZoomです。Twitterでは、Zoomのリスクについて頻繁にシェアしてきましたが、ここでまとめておきましょう。
Zoomは、それまでのビデオ会議サービスよりも、遙かにUIが使いやすく、ビデオ・オーディオの品質も快適なことから、あっという間に広がりました。ユーザーが徐々に増えるだけでなく、インフルエンサー化していったのも見事。『ズームする』という言葉の意味が変わったほどで、株価も爆上がりしたし。
その結果、Appleの「2020年のベストApp」では「ベストiPad App」に選出、日経トレンディ・日経クロストレンドの「2020年ヒット商品ベスト30」では4位にランクインしました。
その蔓延振りは、肌感覚で思い知ることも、たびたびありました。
例えば、テック系にそれほど詳しくはないと思われる初対面(もちろん画面越しで、多分、二度目はないかも)の人たちから『Zoom、使ったことないんですか?』のように軽く煽られたりw 組織によっては、自分たちで作ったZoomの導入ガイドまで、ご丁寧に送りつけてきたり。
ホント、狂ってる… :( ブームとはそんなものですが。
Zoomの、何がそんなに危険なのか?
私がZoomを拒否し続けている理由はシンプルで、『セキュリティーリスクが高いから』、このひと言に尽きます。
ユーザーに許可なくシステムファイルをインストールしたり、カメラアクセスしたり、なぜか香港のサーバーを経由したり、何度も問題になっています。50万アカウントがダークウェブで売られたりも。何せ、macOSのアップデーター自体に、Zoomのシステムファイルを削除する仕組みが入っていたほど、凶悪でした。アメリカや台彎の政府機関や自治体施設、企業では、使用が禁止されました。ざっと上げただけでも、以下の通り。
Zoom社は、その都度、苦しい釈明や泥縄のアップデートが繰り返されてきましたが、これはサービスレベルの問題ではなく、組織の体質そのものなので、簡単に変わるはずはありません。
Zoomによるセキュリティー攻撃への対策として、やっていること
- Web会議やカンファレンスで、Zoomを使わない。自分がホストになる場合は、オープンソースでセキュアなWeb会議サービスJitsi(ジーツィ)Meetを使う。
- Zoomを使わないことを、日頃からもしくは事前に明言しておき、Google MeetやMicrosoft Teamsなど、代替サービスの使用を依頼する。
- やむを得ず、ZoomのWeb会議やカンファレンスにゲスト参加しなければならない場合は、プライベートブラウズモードのWebブラウザーでのみ利用する(これでリスクが完全に回避されるわけではない)。
- Webブラウザーでの参加が許可されていない場合は、参加しない(残念ながら、参加して初めてわかることも :'()。
- さらに、できるだけVPNも併用。
- デスクトップアプリケーションを使った場合は、確実にアンインストールする(以下↓)。
システムファイルは手動で確実に削除しよう
macOSで任意のアプリケーションを削除する場合、関連するシステムファイルも一括して探し出して削除できる、サードパーティーのクリーニングユーティリティーAppCleanerが便利です(よい子の皆は、大人の人と使ってね)。
ただし、AppCleanerだけでは、完全には削除できないファイルが残る可能性もあります。以下もチェックして、見つけたら確実に削除しましょう。
/Applications/zoom.us.app
~/Applications/zoom.us.app
/System/Library/Extensions/ZoomAudioDevice.kext
~/Library/Application\Support/zoom.us
/Users/(ユーザーアカウント)/Library/Preferences/ZoomChat.plist
Macなら、キーチェーンアクセス内で見つかるファイルも忘れずに。
非常に迷惑なのは、「Zoom」という単語が、Zoom In/Outを意味する一般動詞・名詞なので、ビデオや写真ツールでも多く使われていることと、同じ社名のオーディオ機器メーカーがあることです(私は、4チャンネルレコーディングマイクで使っています!)。
macOSの自動化ユーティリティーAutomatorで、上記のファイルの一括削除を登録しておくのもいいアイデアです。これについては、また別記事を書くかもしれません。
人は、一度手に入れた快適さを、簡単には手放せない
もう一つ重要なこととして、これを書いておいた方がよさそうです。Zoomのセキュリティー対策を難しくしていることの要因が、実は、サービスそのものだけでなく、人の心理と行動です。
未知の新型ウイルスに振り回された今年。従来のワークフローや環境を変えたり、何か新しく学習することそのものが、ある種の人たちにはストレスでした。人は『折角、努力して手に入れたモノをなかなか捨てられない』、サンクコストという心理的な行動様式を抱えて生きています。また、『変わらないためだったら、どんな努力も惜しまない』、『何とかして、一度変わったら、そこから次は絶対に変わらない』人々が、一定数います。私は、長い間、これらのことを知らずに過ごしてきたんですが、今年、改めて思い知りました。
私としては、Zoomのセキュリティーリスクに限らず、必要だと判断すれば、取引先や個人に、警告なり忠告をしてきたつもりです(だって、それも仕事の一部ですから!…というか、仕事になるかどうかに関係なく)。世の格言曰く、『壊れていないものを直そうとするな』ということも理解はしていますが、自分にとって大事な人たちが被害を被ったり、加害者側の片棒を担いだり、騙されることを、それと知っていて見過ごすことはできません。
しかし人は、一度、快適さや成功を体験すると、それを疑ったり、まして捨てることは非常に難しい生き物なんです。それに、警告に耳を貸すことがない人たちの非難って、サービスではなく私に向けられるんですよね、いつも、必ず。『でも、皆、使ってるじゃん!』『またこいつ、極端なこといって、何か売ろうと煽ってやがるんじゃ』『そういうことがあるのかもしれないが、それほど気にすることもないだろう…』。
人は、信じたいことしか信じません。『Zoomのままでいい』と信じている人たちを、無理矢理「改宗」させるのは難しい。そのサービスが勝手に自分のデータが抜いたり制限する、大きなリスクを持っていることを知っても、根拠のない正常性バイアスがしっかり働くんです。だって、にんげんだもの…
冷静な、しかしホットに静観する立場として
もちろん、私自身がなかなか古い意識が捨てられなかったり、無駄だとわかっていても、掛けた労力をいつまでも惜しんで損切りできないわけで、人に偉そうなことをいえた立場でなし。
残念ですが、Zoomのリスク警告については、半ば諦めています。一度警告した後は『「チャイナシンドローム」や「ジョーズ」で見たシーンのよう…』ぐらいに思って、スルーしていますw 自分からわざわざ無意味なストレスを溜めにいかないためには、それしかありません。自分自身の身の安全を正しく確保するには、オンライン上でも適度なソーシャルディスタンスなり、マスキングのスタイルを保つことが重要。
ただし、自分は率先してリスク回避するとしても、助けが必要な人たちを排除したり、まして自分だけが正しいとか、特別だと思ったり、傲慢な言動をしてはいけない。自分が間違っていたり、古い情報を罹患させる側になる可能性は、常に忘れないように心掛けています。他者は変えられない。とにかく、まずは自分を守らなければ、もし誰かからヘルプを求められても、助けることができませんからね。
Zoomのサービス除け(?)のために #六四天安門 #香港民主化 #台彎加油 などは、有効なおまじないか、もしくはターゲットにされやすいタグか…。
それよりも、私がやっている最大の対策は、オープンソースでセキュアなWeb会議サービスJitsi(ジーツィ)Meetを使うことです!こちらも合わせてどうぞ。
