誰にでもパニクるときがある。
出勤途中に家のオーブンを消してきたか気になるとか、上司から「今すぐ連絡しろ」と気が滅入るメッセージを受け取るも、何度電話してもつながらないとか。または、あるとき不意にパソコンの内蔵カメラのLEDが点灯して、突然、大勢の知らない人たちのビデオ会議に顔を出してしまったときとか。
この最後のやつは、実は私の経験だ。自己弁護するが、私にはほとんど責任がない。
私は、資金調達をしたばかりの斬新なアイデアを持つあるセキュリティー系の新しいスタートアップの話を聞いて興味を抱いた。手持ちの情報が少なかったため、詮索が仕事の記者の常として、あちらこちらを掘り返し始めた。そのスタートアップのウェブサイトは派手な見栄えだったが、全体的に言葉のサラダのようで要領を得ない。私が求めていた簡単な疑問に対する率直な答は見つけられなかった。それでも、同社のアイデアは賢いように思えた。実際に、それがどのように機能するのかを、どうしても知りたくなった。
そこで、もう少し本気でウェブサイトを突いてみることにした。
記者は、さまざまな手段を用いて情報を収集する。ウェブサイトの変化を監視したり、コメントの電子メールを誰かが開いたかどうかを確認したり、大量の公開データを漁ったりもする。これらは何も、報道関係者にだけに許された特殊な手段というわけではない。むしろそうした情報は、それを探して報道したい人たちのためにオープンになっているのだ。セキュリティーに関して、私がよく使う手段は、企業のウェブサイトの、すべてのサブドメインをしらみ潰しにするというものだ。それらのサブドメインは公開されてはいるものの、故意に見えにくくしてある。だがそこで、ウェブサイトにはない情報に出会えることが多い。
大当たり!私はすぐに同社のピッチ資料を発見した。他のサブドメインには、それがどのように機能するかに関する資料が大量にあった。読み込めないサブドメインも多くあり、いくつかは従業員限定としてブロックされていた。もちろん、そこには法的に超えてはならない一線がある。公開されていない場所に入ることは許されない。ドアを蹴破ることはできない。
私は別のサブドメインをクリックしてみた。するとひとつのページが開き、私のMacのDockでアプリのアイコンがぴょんぴょん跳ね始めた。そして内蔵カメラのLEDが点灯した。何が起きているのか理解するより早く、私は同社の朝の会議に顔を出してしまったのだ。
唯一の救いは、カメラカバーだった。マスキングテープを二重に貼っただけのお手製だが、その陰で、だらしないパンデミック疲れの顔をした私が、5人はいたと思われる人たちの注目を浴びずに済んだ。
私はそこに居座って弁明するのは避け、代わりにすぐに、このセキュリティー上の欠陥を同社にメールで警告した。同社は、そのウェブサイトのいくつものサブドメインに、Zoomの会議室をハードコードにしていた。ほんとに誰でもすぐにわかる簡単に推測できるサブドメイン名を使えば、開催中のZoom会議にすぐに参加できる。パスワードも必要ない。
その日の終わりには、同社はそのサブドメインをオフラインにしていた。
Zoomは、セキュリティー問題の情報が拡散され、悪用を防ぐためのデフォルト設定の変更を迫られた。それには、新型コロナウイルスの感染拡大により利用者が急増し、そのプラットフォームへの監視の目が強まったことが大きく寄与している。
だが、今回のことはZoomの責任ではない。まったくプロテクトしていないZoom会議を、利便性のために記憶しやすいアドレスに結び付けてしまったこの会社の責任だ。そのほうが便利なのかもしれないが、それが会社の会議を盗み聞きしようとする連中の潜入を許してしまう。
Zoom会議をパスワードで保護するようお願いするのは、そんなに大それたことではないだろう。次に乱入するのは、おそらく私ではないからだ。
画像クレジット:RamCreativ / Getty Images
[原文へ]
(翻訳:金井哲夫)