Web会議サービス「Zoom」を運営する米Zoom Video Communicationsの創業者でCEOのエリック・ユアン氏は4月3日（現地時間）、一部の北米でのWeb会議が、本来接続するはずのない中国のデータセンターを経由した可能性があることを認め、この問題を修正したと語った。

この問題は、加トロント大学のグローバルセキュリティ研究所Citizen Labが3日に指摘したもの。ユアン氏のブログは、この指摘の数時間後に公開された。

Citizen Labは、Zoomが主張するエンドツーエンドの暗号化について調査する目的で米国カナダ間のWeb会議を実施したところ、その会議の暗号化キーが中国の北京にあるサーバを経由していたことが分かったとしている。

Zoomは米国に拠点を置く企業だが、中国にも拠点がある。もし中国政府がZoomの中国拠点に対し、ユーザー情報の開示を求めれば、Zoomはこれを拒否できず、データが中国政府にわたる可能性があるとCitizen Labは指摘した。

また、エンドツーエンドの暗号化を主張していることに関しも、Citizen Labは政府や医療関係者、機密情報を持つ企業など、強力なプライバシーと機密性を必要とする場合は、現時点ではZoomを利用しないことを強く勧めた。ただし、TLS（Transport Layer Security）は採用しているので、友達とのカジュアルな会話や教育機関による授業のための利用については中止の推奨対象ではないとしている。

ZoomのユアンCEOはこれを受け、中国のサーバを経由してしまったのは2月に需要拡大に対応するため緊急で中国のサーバ容量を追加した際、通常であれば実装している「ジオフェンシング」（特定地域に仮想の柵を作ってアクセスできないようにすること）を誤って実装しなかったためだが、既に実装したと説明した。Zoomだけではないが、ネットサービスは通常のルートが混雑していると輻輳を避けるために別のルートを使うようになっている。その別ルートに本来であれば中国は含まれないはずだが、ミスのために選ばれてしまったという。

同氏はまた、「暗号化の改善にも取り組んでおり、専門家と協力してベストプラクティスに従っている」と語った。

Zoomは4日、Web会議に招いていないユーザーが侵入して不適切な画像などを共有したりするいわゆる「Zoombombing」対策としてパスワードの強化と「待機室」機能の追加を発表した。だが、Citizen Labは待機室機能には脆弱性があることが確認されたので、Zoomがこれを修正するまではこの機能を使わないようユーザーに勧めた。

Zoomの待機室機能

待機室の脆弱性については、本稿執筆現在、Zoomからはまだコメントなどはない。