オンラインビデオ会議サービスのZoomが、Windowsクライアントのアンインストール時にブラウザの Cookieを読み書きしていると、サイバーセキュリティ企業の ThreatSpikeが報告しました。書き込んだCookieの有効期間は10年に設定されており、EUにおいてインターネット上のプライバシーを規律する(PDF) ePrivacy指令に反していると指摘されています。
Zoomはセキュリティやプライバシーに関するさまざまな問題を抱えており、Googleや SpaceXは社内でのZoom使用を 禁止する対策を講じています。
ThreatSpikeはWindows向けZoomクライアントがアンインストール時にGoogle ChromeのCookieにアクセスしていることを検知したため、Zoomクライアントがアンインストール時に行う操作について調査を実施したとのこと。ThreatSpikeはまず、Windows上のChromeに保存されたCookieを消去した上で、Zoomのクライアントをインストール。ChromeからZoomのホームページである「https://zoom.us/」を含んだいくつかのウェブサイトにアクセスして、それぞれのCookieを受け入れる作業を行いました。
その後、Zoomのクライアントをアンインストールしその動作を観察すると、Chromeに保存されたCookieの内容が読み込まれていることが判明。ZoomクライアントはZoomのウェブサイトが保存したCookieだけでなく、他のウェブサイトのCookieまで読み込んでいたとのこと。ThreatSpikeはこうしたZoomクライアントの挙動について「Zoomのウェブサイトが保存したCookieを見つけるための検索操作」と結論付けています。
さらに、ZoomクライアントはCookieの読み込みだけでなく、書き込みまで行っていたことも明らかに。書き込まれたいくつかのCookieの中でも、特に「zm_everlogin_type」という名前のCookieは有効期限が10年に設定されていました。「everlogin」という名称から、ThreatSpikeはCookieの用途を「ユーザーがZoomにログインしたことがあるかどうか」を判別するためのものだと推測すると同時に、Zoomのアンインストールを行うユーザーに対して「ログインの有無」に関する情報を10年間も保持させるのは、Cookieの保存期間を12カ月までと定めるePrivacy指令に反していると指摘しています。
インターネット上のユーザー活動を追跡すること自体は問題ではありませんが、ePrivacy指令や EU一般データ保護規則(GDPR)を尊重し、インターネット上で公正な体験を提供することは企業の責任だとThreatSpikeは語っています。
https://gigazine.net/news/20200828-zoom-read-write-cookie/