PCウィルス・ネットセキュリティ

Zoomのセキュリティは脆弱?問題事例と危険性・安全なWEB会議システム4選

zoom_セキュリティ

新型コロナウイルスの影響によって、働き方にも大きな変化が生まれつつあります。

その筆頭がテレワークの推進。テレワークは東京オリンピック開催に伴い政府が推進してきたわけですが、意外な形で普及し始めています。

そのテレワークで利用する機会が急激に増えたZoomなどのWeb会議システムですが、この時期もっともシェアを伸ばしたと言われるZoomが、セキュリティ上の問題を問われ、思わぬトラブルを引き起こしています。

Motherboardによると、Zoomもこの仕組みを使っているが、ユーザーがアプリを開くと、Facebookにデバイス情報などが送られるようになっていた。送られるデータには、タイムゾーンや都市、通信キャリア、さらにはターゲティング広告を可能にする広告識別子なども含まれていたという。

「これは衝撃的なことだ。(Zoomには)対応するプライバシーポリシーがない」と、プライバシー擁護団体Privacy MattersのPat Walshe氏は、Motherboardにコメントしている。
引用元:https://cloud.watch.impress.co.jp/docs/column/infostand/1245143.html

漏えいしたミーティングIDは、「Zoom-bombing」(Zoom爆撃)とも呼ばれる、ここ数週間で頻発している新しいタイプのオンラインの荒らし行為に利用される可能性が高い。
引用元:https://japan.zdnet.com/article/35152166/

ただし今、Zoomにはたくさんの脆弱(ぜいじゃく)性が明らかになっています。それらは大したことがないというレベルのものではありません。例えば、ZoomのWindows版アプリにおいて、ユーザーログイン情報窃盗につながる脆弱性が発見されました。
引用元:https://www.itmedia.co.jp/enterprise/articles/2004/07/news027.html

 

そこで本記事では、Zoomの利用で起きているトラブルの事例と、安全に使えるWEB会議システムについてご紹介します。

 

Zoomでどのようなセキュリティトラブルが発生しているのか?

Zoomは、他のWeb会議サービスと同様に新型コロナウイルスによる影響で大きくシェアを伸ばしています。東洋経済オンラインたNHKでも取り上げられているので、知っている方も多いと思いますが、2019年12月は約1000万ほどだったユーザーが、2020年3月には2億人まで増加しているようです。

昨年12月は1000万ユーザーだったが、外出禁止令がアメリカ各州で出されるようになった今年3月には2億人がZoomのアプリを使い、オンライン会議を行うようになった。同社のエリック・ユアンCEOによれば、オンライン授業では、20カ国の9万校がZoomを使っているという。
引用元:https://toyokeizai.net/articles/-/342571

アメリカのIT企業が提供するテレビ会議システム「Zoom」は、複数の利用者がインターネット上で会話することができるサービスで、新型コロナウイルスの影響で世界的に在宅勤務やオンラインでの授業が増える中、利用者は先月、感染が拡大する前の20倍以上に当たる2億人余りにまで急増しました。
引用元:NHK

そんな中で、Zoomは3月20日米証券取引等監視委員会(SEC)に2020年1月期のアニュアルレポートを提出しています。
参考:Inline XBRL Viewer

新型コロナウイルスの感染防止策として在宅勤務が増えていること、コミュニケーションを円滑化するツールとして活用されているが、それは「諸刃の剣」でもある、と投資家に警鐘を鳴らしているのです。

ズーム・ボミング|会議に侵入し妨害する荒らし行為

個人法人を問わずユーザーが急増していることによって、人気の第一の理由である信頼性を維持しつつも、インフラ投資を急ぐ必要が出てきているのです。また、他人がZoom会議に侵入してミーティングの進行を妨害する荒らし行為が多く発生しています。
参考:https://www.businessinsider.jp/post-210890

これは、「Zoom Bombing(ズーム・ボミング)」や「Zoom爆撃」と呼ばれています。セキュリティ上の懸念も取り沙汰されており、大きな問題になりつつあります。

実際に発生したズーム・ボミングの例

国内のベンチャー企業が主催したユーザー参加型のプロジェクト説明会での出来事があります。自社サイトやSNSなどでURLを公開し、参加者を募集していたのですが会議が始まって十数分が経過したタイミングで、外国籍と思われるゲストが1名参加しました。

その後、すぐに同様のユーザーが3、4人ほど入場して大きな声でアメリカの差別用語を発したり、画面共有によって黒人差別的な画像やポルノサイトの映像を流すといった迷惑行為を始めたのです。

会議に参加していた技術担当者が、すぐに迷惑行為を行なうユーザーを特定してマイクの強制オフや退会処理などを試行しました。ただ、複数ユーザーの対応をしているうちにミュートはすぐに解除されてしまったり、別のアカウントなどから同様の人物が参加してしまうなど、事態を収めることができませんでした。

最終的に、同社は該当のZoom会議そのものを強制終了する対応を取って、参加したユーザーや関係各所に謝罪、アーカイブや会議のURL削除などの対応に追われたのです。これはあくまでも一例であり、他にも多くのトラブルが報告されており、日本でもニュースで取り上げられるなど社会問題になっているのです。

Zoomのセキュリティ脆弱性|何が問題になっている?

もともとも企業間でのやりとりを前提に考えており、個人ユーザー間での利用は想定されていなかったZoom。コロナという意外な形で急に普及し始めた結果、セキュリティ的にはかなり弱いサービスであったことが露呈し、このようなトラブルが頻発しています。

では具体的にはどのような問題を抱えていたサービスだったのでしょうか。

エンドツーエンドの暗号化が施されていなかった

Zoomが最も問題になっているポイントとして、エンドツーエンドの暗号化がされていなかった点に尽きます。

エンドツーエンドとは

「端から端まで」を意味する英語であって、略してE2E(イーツーイー)と呼ばれることもあります。通信やネットワーク分野において、通信を行う二者を結ぶ経路全体、もしくはその両端を示しています。コンピュータネットワークの設計思想の一つとして、「エンドツーエンドの原則」という考え方があります。

これは、エラー検知など高度な処理はなるべくシステムの末端(エンドシステム)側で行って、ネットワーク経路上はなるべく単純な処理のみを行うという思想です。

新しいアプリケーションやプロトコルをエンドシステムだけで導入できるようにして、ネットワーク内部には最低限の機能だけを持たせるのでシステムの拡張性と柔軟性を高めることが可能です。

インターネットをはじめとするTCP/IPネットワークにおいては、この原則に基づいて構成されていて、当たり前のようにインターネットが利用できる環境が整っています。また、関連する言葉として「エンドツーエンド暗号化」があります。

Zoomは復号可能な通信だった

エンドツーエンド暗号化を用いた通信においては、メッセージなどの通信データがすべて暗号化された状態で扱われています。送信者と受信者のみがデータを復号して閲覧できるので通信の秘匿性が高い暗号化方式となります。

安全に利用するために必要な技術であるエンドツーエンド暗号化ですが、実際にはZoomの通信はエンドツーエンドではなく、サーバー上に保有するデータが復号可能な状態だったのです。

通信の暗号鍵はZoomが保有していて、保存されたデータを技術上はZoomが復号可能な状態となっていました。これによって、簡単に乗っ取りされてしまったのです。

UNCパスの処理に関する脆弱性

チャット機能においては、UNC(Universal Naming Convention)パスの処理に関する脆弱性が確認されています。もしハイパーリンクをクリックしてしまうと、被害を受ける可能性が指摘されています。

UNCとは、Windowsネットワーク上で共有されているファイルやフォルダ、プリンタなど様々な資源の位置を表記する標準的な記法となります。この脆弱性によって、認証情報が取られたりファイルを起動させられたりといったトラブルが実例として発生しています。

MacやiPhoneでマイクが盗聴される

MacやiPhoneなどのApple系デバイスにおいては、マイクが盗聴される悪意のあるリンクを1つクリックすると、カメラとマイクを遠隔操作されてしまうというトラブルも明らかになっています。

macOSおよびiOS/iPadOSの標準ブラウザであるSafariでは、アプリやWebサイトがカメラやマイクにアクセスする際はユーザーに許可を求めるのですが、その設定は保存されます。

そうして既にアクセス許可をクリアしたWebサイトになりすまして、以前与えられた全ての権限を使用して写真を撮影したり、マイクから盗聴、画面をキャプチャまでできてしまいます。

これによって、機密情報なども流出してしまうリスクがあるのです。

Facebookへの無断送信

iOSアプリがアプリ起動時にユーザーに無断で情報を、Facebookに送信していたという問題も発生しました。送信されていたデータについては、

  1. OSの種類やバージョン
  2. 時刻
  3. キャリア
  4. 画面サイズ
  5. プロセッサといった端末情報

ターゲティング広告に使われる広告識別子などがあります。

これらの情報送信については、Zoomのプライバシポリシーには記載されていませんでした。これについて、このアプリでは以前Facebookアカウントでのログイン機能を実装していて、そのために使用していたFacebook SDKがこの情報送信を行なっていたことになります。

アメリカでは、ユーザーがデータ保護法に反するとして集団起訴を起こす事態に発展するなど大きな問題として認識されています。

今日までのZoom側の対応とは?

Zoomは様々な問題を抱えたサービスであるわけですが、もちろん手をこまねいているだけではなく、Zoom側としても対策を施しています。

アプリケーションのセキュリティ強化の方針

創設者兼CEOであるEric Yuan氏は、アプリケーションのセキュリティ強化の方針を打ち出しています。まずはじめに、セキュリティ諮問委員会を設置して、外部セキュリティコンサルタントを迎えています。

Zoomの最大の欠点として、会議に参加する必要のないユーザーが参加してビデオ会議を荒らすトロール行為が発生しやすいという点がありました。そのため、アメリカではいくつかの州や市においてロックダウン時の小学生などの遠隔授業に対して、Zoomの使用を禁止しています。

参加者をホスト承認制に

同時に、会議の待合室機能をオンにして参加者をホストが承認するようにデフォルト設定を変更、ホスト役が会議室のセキュリティ設定をしやすいように入り口となるアイコンを表示するなどの改善を行っています。

その中でも、Googleなどは従業員に対しセキュリティ基準を満たしていことを理由に、Zoomの使用を禁止するなどの防衛的措置を講じています。

Zoomを安全に利用する為のポイント5つ

Zoomを利用する上では、利用者側としてもしっかりとセキュリティ意識を持って利用することが重要です。特に、次に取り上げる対策を施すようにしましょう。

ブラウザ版を利用する

多くのZoomにおける脆弱性については、専用アプリによって発生している場合が多くなっています。Zoomは、アプリがなくてもWebブラウザで利用することもできるので、ブラウザ版で会議に参加するのは効果的な対策となります。

シンプルな方法ですが、WindowsやmacOS、iOSのクライアントに関して見つかった問題点をこれでクリアすることができます。

Zoomで会議に参加する際には、アプリのインストールを促されますが、それを行わなくても手順を踏むことでブラウザ版からWeb会議への参加が可能です。

Web会議にパスワードと待機室を設定する

Web会議を行う際には、ホストはパスワードと待機室の設定を行うことも重要です。パスワードを設定することで、それを知らない人はアクセスができません。

パスワードがないと、IDを適当に入力して入室することを防げます。待機室は、参加者を一旦待機させておく機能であり、待機室にいる参加者はホストが許可しないと入室ができません。これによって、不必要な人が入室使用することをブロックできるのです。

パスワードと待機室の設定を行うと、Zoom爆弾による被害を最小限に抑えることができるので積極的に行いましょう。

機密性の高い情報の共有を控える

どんなにセキュリティ対策しても、新たな脆弱性を見つけ出して被害を与える、言わばいたちごっこのような状態が続いています。

よって、絶対に安全性が担保されているわけではないことを認識して、決算情報や個人情報、事業計画書、マーケティングデータなどの機密性の高い情報の共有を控えるというのも有効的です。

これで、万が一ZoomでのWeb会議によって情報漏えいが発生したとしても、その被害を最小限に抑えることができます。便利である反面、自制して利用するというのも重要ですよ。

Zoomを最新版にアップデートする

Zoomクライアントを常に最新の状態にアップデートすることで、セキュリティに関するリスクを低下させることが可能です。セキュリティに問題があることはZoomも認めており、その改善に日々取り組んでいます。

アップデートを適切に行うことによって、そのような改善が反映された状態での利用が可能です。これはZoomに限った話ではなく、OSやアプリなどのアップデートもこまめに行うことで、新しいセキュリティリスクに対して対応できます。

不特定多数の方に会議リンクを送らない

限られた人同士で会議する場合もあれば、不特定多数の方が参加する会議を行うことがあります。その場合、ソーシャルメディアの投稿などで会議や教室へのリンクを共有することもあります。

多くの人を募集できるのが魅力的ですが、悪意がある人にも参加を促してしまうという問題点があります。よって、多くの人に参加を呼びかける際にも、誰でも見れる場所にリンクを提供するのではなく、個人別に通知するようにしてください。

Zoomにこだわる必要はない|便利なweb会議システム4選

Zoomは便利ではありますが、問題点も多いために他のWeb会議システムに乗り換えるというのも有効的です。主におすすめしたいWeb会議システムとしては、以下があります。

Skype for Business

skype

古くからWeb会議システムを提供しているのがSkype for Businessです。マイクロソフトのOffice 365の法人向けサービスの一部として提供されています。

Office 365のBusiness Premiumプランに含まれているのですが、単体でも月額で契約することが可能です。Skypeと同じく、複数のメンバーで簡単に音声チャットやビデオ会議が行えるツールとなっていて、スマートフォンアプリも完備しています。

あらかじめ発行されたURLをクリックするだけで、簡単にビデオ会議に参加することができます。クラウドPBXが利用できるプランを選択することで、Skype for Businessに社内の電話を転送することが可能です。

オフィスに取引先からかかってきた電話にもどこからでも応答することができるのが魅力的ですね。

管理者側からの利用制限や、コミュニケーション内容の暗号化など徹底した情報管理が可能となっていて、セキュリティ対策も万全です。Web会議は最大250人まで、オーディエンス10,000人までのブロードキャスト機能もあるので多くの方が参加するセミナーなども開催できます。

公式サイト:https://products.office.com/ja-jp/skype-for-business/download-app

Lite FreshVoice

Lite FreshVoice

2015年度まで国内シェアNo1を誇っていたWeb会議システムです。圧倒的なコストパフォーマンスが魅力的で、導入企業は4,000社以上もあります。

マニュアルいらずの簡単操作によって、わずか3クリックの簡単操作で会議を開催できます。パソコンなどのデバイスさえあれば、全国どこからでも会議に参加可能で、国際標準コーデック規格H.264/SVCに準拠の高画質で、遠く離れていても隣にいるような音声でノンストレスに会議ができます。

1サーバーあたり最大50拠点で拠点増加も安価で可能となっています。Web共有、ドキュメント共有など資料共有も自在に行うことができます。

公式サイト:https://www.freshvoice.net/lite/

Google ハングアウト

Googleハングアウト

Google ハングアウト は、Googleが提供しているコミュニケーションツールとなります。チャット、グループでのビデオ通話は同時に最大10人まで、無料で利用することができます。

Androidスマートフォンには標準搭載されていて、iPhoneでもアプリをインストールすれば使用可能です。また、Googleドキュメントを気軽に共有できるのが魅力的です。

Googleドキュメントは、Officeに実装されている機能を無料で使用できて、またスプレッドシートなどでは複数人が一斉にファイルを編集できます。

Google ハングアウトで画面共有しながら、効率よくファイルを編集することも可能です。無料でありながらも機能的に充実しており、規模の小さな会議を開催することが多い企業にも向いています。

公式サイト:https://hangouts.google.com/

Microsoft Teams

Microsoft Teams

Microsoft Teamsでは、メンバーとチャットする機能があり、資料を共有する機能や通話やビデオ会議を開催する機能、各種 Office 365 ツールと連携できる機能などが集約して搭載されています。

また、過去のやり取りを検索することも可能ですので気軽に振り返る事が可能です。

モバイルアプリも提供されているので、いつでもどこでも Teams を起動するだけで必要な情報にアクセスできます。

Office 365 を利用している場合は、追加料金なしですぐに使い始めることができます。チームを作成できるので、プロジェクト毎に編成をすることで適切に情報を共有化することができます。

また、その中でもチャネルを作ることで個別指示も出すことができます。このように、Web会議だけでなく仕事全体の進捗管理なども容易に行うことができるのが魅力的です。セキュリティ対策も万全であるのも良いですね。

公式サイト:https://products.office.com/ja-jp/microsoft-teams/group-chat-software

まとめ

Zoom問題は、これからもずっと付きまとうものです。便利である反面、どうしても犠牲となってしまうことがあって、それがセキュリティ問題として露呈されているのです。

自己防衛を取ることでZoomをより安全に使用することができますし、思い切ってZoom以外のツールを導入するのも一つの手となります。

Web会議システムをうまく活用して、業務効率化を図りたいものです。