昨今ミーティングサービスやアプリを導入するようになった会社は数多くあります。
その中でも注釈やホワイトボードなど会議向け機能に注目が集まる「Zoom」ですが、一方でサービスやセキュリティの脆弱性や危険性を指摘する声も。
この記事では、Zoomというサービスのセキュリティにおける脆弱性・危険性とその事例、対処するにはどうしたら良いかについて解説していきます。
Contents
ZOOMのサービス内容
ZOOMのサービス内容やメリットは下記の通りです。
- Web会議ができる(1,000名まで)
- インストールしていない端末でも参加可
- 主催者だけの登録でOK
- 無料プラン有り
- ホワイトボード、イメージなどの画面共有でビジネスにも最適
- 共同注釈でオンライン研修にも
- ブレイクルームで大規模セッションにも対応
ココがポイント
オンラインミーティングが出来るサービスはたくさんありますが、特にZoomはビジネスやセミナーに向いた機能が目立つサービスと言えるでしょう。
ZOOMの口コミから危険性・脆弱性を調査
ZOOMの口コミから危険性や脆弱性に迫っていきます。
ZOOMの位置情報に関しては下記の記事をご覧下さい。
ZOOMにおける位置情報の扱いは?他ユーザーにバレるのか解説!
便利だが心配
30代男性
アプリ版もあって便利
30代女性
口コミを調べていくと、やはり新型コロナの流行によるリモートワークで利用し始めたという人が多いように感じられます。
メリットとしては以下のようなものが挙がっています。
- 主催者だけの登録でOK
- スマホアプリ版もある(パソコンがなくてもOK)
- オプション設定が便利
- 無料
- 自宅で会議ができる
ただし、注目したいのは情報漏洩などサービスの脆弱性の情報がネットで書かれていることが多いことでしょう。
ココがポイント
ただし、この口コミの中では実際に問題に直面した声はありません。
設定やセキュリティ対策である程度対応することができそうです。
ZOOMのサービス内容から危険性・脆弱性を調査
それでは、ZOOMは本当にセキュリティやサービスなどに脆弱性や危険性があるのか、サービス内容から調査していきます。
専用サーバーを使った通信方式
Zoomは専用サーバーからやり取りする通信方式を採用。
そのため、セキュリティもサーバー元で管理されており、社内専用ネットワークやファイアウォールを導入する必要もありません。
ミーティングURLは使い捨て
インスタントミーティングを利用すれば、ミーティングURLは使い捨てになります。
そのため、第三者が何度も同じURLでミーティングを視聴することを予防できます。
発信者のみの登録で配信可
発信者(ホスト、主催者とも言う)はアカウント登録が必要ですが、閲覧者・参加者は登録が必須ではありません。
主催者のみがアカウント登録すれば良いということは、それだけパスワードが漏洩する数が少ないということ(主催者しかアカウント情報がないため)。
そのままミーティングのURLさえ知っていれば参加することが可能です。
ココに注意
ただし、これはセキュリティ上あまり嬉しいことではないという見方もできます。
関係のない第三者のアクセスが容易だからです。
ただし、これはパスワードの設定などで防ぐことができます。
待機室、出席者の保留
出席屋の保留や待機室を利用することで、参加者の中から参加させたくない人を省くことができます。
これにより、第三者による情報漏洩を防ぐことが可能です。
ミーティングにパスワード
ミーティングにはパスワードが設けられます。
これを利用すれば、下の2つのメリットを享受することが可能です。
- ミーティングに第三者を参加させない
- 第三者による情報漏洩を防ぐ
保存した動画にパスワード
有料プランに限りますが、Zoomの専用サーバー上に録画した動画・音声を保存することが可能です。
そのためパソコン上にデータを保存することによる、業務と関係のない社員からのアクセスを防ぐことができます。
さらに、データをサーバー上に保存するとき、パスワードをかけることも可能です。
実際にあったZOOMの危険性・脆弱性を表す事例と原因
ZOOMで実際に問題になった、または問題になり得るバグがあったと話題になった、危険性と脆弱性を表す事例とその原因について解説します。
Facebookアカウントを持っていない人のデータもFacebookに送信
ZoomがユーザーのZoomの利用習慣に関するデータをFacebookに送っていたという問題があります。
これは、Facebookアカウント所持の有無に関わらずです。
Motherboardによると、iOS版Zoomアプリは、ユーザーがアプリを開いたときに下記の情報などFacebookに知らせていました。
- デバイスのモデル名
- 通信会社
ココに注意
Zoomは指摘を受けて、このコードを削除しました。
しかし、これが原因で集団訴訟やニューヨーク州検事総長の捜査を受けることになりました。
ユーザー名やパスワードの漏洩
不正なリンクをクリックすることで、Windows認証情報(パスワードなど)が攻撃者に対し漏洩するという事例も。
会議乗っ取り
米連邦捜査局(FBI)は、Web会議を乗っ取る「Zoom-bombing」の被害が続出していると注意しています。
「Bleeping Computer」という技術情報サイトによると、2020年3月31日にZoom Windowsクライアントのチャット機能に脆弱性を発見したとのこと。
悪用された場合、不正なリンクをクリックしたユーザーのWindows認証情報が盗まれる可能性があります。
この認証情報(パスワード)を利用することで、Zoomの会議を乗っ取ることも容易だと言えるのです。
ウェブサイトがユーザーを勝手にミーティングに参加させる(Mac)
Macでは、ウェブサイトが勝手にユーザーをミーティングに参加させることができるバグが問題になっています。
また、Zoomには様々な脆弱性が発見され、その中にはマイクやウェブカメラを許可なく起動させられてしまうものも。
ウェブカメラ、マイクも許可なく起動
Macのウェブカメラやマイクを乗っ取ることができるバグが発見されました。
このバクを利用すれば、使用者の許可なくウェブカメラやマイクを任意に操作することが可能です。
ココに注意
つまり、これが悪用されれば勝手にマイクやウェブカメラが起動し、盗撮や盗聴が可能になるということです。
DoS攻撃を仕掛けられる
Zoomで任意のウェブサイトがミーティングにユーザーを参加させるバグが発見されました。
このバグでは、ミーティングに参加させ、許可なくユーザーのウェブカメラを起動することで、無効なミーティングに繰り返し参加させ、DoS攻撃を仕掛けることができるというものです。
ココに注意
Zoomアプリをアンインストールしたとしてもこの問題は解決しないとのこと。
というのも、ユーザーの許可なくZoomが再インストールされる可能性があるためです(再インストールされる問題については修正が行われました)。
この問題はユーザーのウェブカメラを自動的にオンにする機能を無効にすることで解決されたかに思えましたが、7月7日に再び許可なくウェブカメラが起動できる状態になってしまいました。
MacOSそのものを自由に(ユーザーの介入なくアプリを導入)
このバクを利用して、Macにバグを仕込んだインストーラーを仕込めば、これを使ってコンピューターの管理者権限をも取れるとのこと。
もちろん、あらゆる権限が攻撃者に与えられることになるので、マルウェアなやスパイウェアをコンピューターにインストールし実行することも可能です。
さらに詳しく
もちろん、各種アプリケーションを勝手にインストールしたり、それを起動させることも可能に。
参加者による情報漏えい(不正アクセス)
ZOOMはアカウントを作成していなくても、ミーティングを閲覧することができます。
会議のURLを知っていれば、そのままアクセス出来てしまうのです。
その結果、ミーティングに部外者が参加してしまい、その第三者に情報が漏洩してしまいます。
警察から受けた要求に関する透明性の欠如
プライバシー権利団体であるAccess Nowが、Zoomに対して警察から要求を受けた回数の公開を求めた事例があります。
ココがポイント
大手Tech系企業が半年に1回報告しているにも関わらず、Zoomは公表していません。
そのため、プライバシー団体から「回数の公開をしてくれ」という要求があった、ということだと考えます。
つまり、要求されるまでは自分から公開することはなかった、ということでしょう。
画面共有乗っ取り(ZoomBombing)
デフォルト設定状態で会議を行っているところに侵入し、画面共有を乗っ取って、悪質な画像を送り付ける行為(ZoomBombing)が起こったこともあります。
これは3月の終わりあたりから多発している行為で、新型コロナ対策にZoomを急遽導入したセキュリティ対策していない多くのミーティングが被害を受けることに。
ココがダメ
こうした被害の他に、広告のためにユーザーの会議に関する情報が収集されていたこともあります。
これに関しては、プライバシーポリシーの強化により問題なくなりました。
ZOOMの危険性・脆弱性に対処する方法
これまで紹介してきたZoomの危険性や脆弱性を表す事例の中で、下記のものはアップデートなどにより既に解決済みです。
ここでは、解決していない事例についての対処法について解説していきます。
- DoS攻撃
- ローカルウェブサーバーの削除⇒完全にアンインストールできるように
参加者による情報漏えい(不正アクセス)
参加者による情報漏洩は下の対処法で防ぐことが可能です。
- 会議にパスワードを設ける
- 待機室、出席者の保留をオンに
- 使い捨てのIDを使う(インスタントミーティング)
- 外で利用させない
設定方法については下記の記事で解説しているので、ぜひ参考にしてください。
ZOOMのマイミーティング設定ではどんなオプションを付けられる?おすすめ設定を紹介!
画面共有乗っ取り(ZoomBombing)
画面共有乗っ取り(ZoomBombing)により、2020年4月5日に会議室パスワードの強化や「待機室」の実装がされることになりました。
つまり、画面共有乗っ取り(ZoomBombing)は、この2つを上手く使うようにすれば(待機室は脆弱性の修正があってから)防ぐことが可能です。
また、インスタントIDや出席者の保留をオンにするのも、予防策のひとつだと言えるでしょう。
また、アメリカ司法省は警告のプレスリリースでZoomBombingを防ぐための下記の注意事項を紹介しました。
- 会議を公開しない
- SNSに会議へのリンクを投稿しない
- 画面共有設定を「ホストのみ」に変更
- Zoom最新アプリを使う
司法省の発表した設定や対策通りにすれば、ZoomBombingの被害に遭う可能性はグッと少なくなるでしょう。
設定方法については下記の記事で解説しているので、ぜひ参考にしてください。
⇒ZOOMのマイミーティング設定ではどんなオプションを付けられる?おすすめ設定を紹介!
ココに注意
待機室が実装されましたが、トロント大学の研究者が脆弱性を発見しました。
そのため、Zoomがその脆弱性を修正するまでは無効にするよう呼び掛けています。
脆弱性が修正されてから使うようにしてください。
むやみにハイパーリンクからアクセスしない
不正なURLからパスワードなどWindows認証情報が漏れてしまっている問題の対処法としては、むやみにハイパーリンクからアクセスしないことが挙げられます。
ココがポイント
Windowsネットワーク特有の作法を用いた攻撃です。
そのため、Windows版Zoomを利用する人以外はこの問題を心配する必要はありません。
ファイアウォールやファイアウォール機能を持つルーターを運用
ファイアウォールやファイアウォール機能を持つルーターを使うことで、Windows共有機能が使用するTCP/UDPポート445番を外部から遮断し、この問題を解決することも可能です。
パソコンで設定を行うには、まず「cont」や「コントロールパネル」と検索し表示された「コントロールパネル」をクリックします。
「システムとセキュリティ」を選択してください。
「Windows Defender ファイアウォール」をクリック。
「詳細設定」をクリックします。
「受信の規則」をクリックしましょう。
「新しい規則」をクリック。
「ポート」を選択し「次へ」。
「TCP」を選択し「特定のローカルポート」にチェックを入れてください。
さらに「445」と入力したら「次へ」をクリックしましょう。
「接続をブロック」にチェックを入れ「次へ」。
すべてにチェックを入れて「次へ」をクリックします。
最後に名前を付けて「次へ」をクリックすればOKです。
同様の作業を「UDP」でも行ってください。
さらに「送信の規則」でも同様の作業を行えば445番ポートをブロックすることができます。
ココがポイント
この作業を行うことで、WindowsでZoomの不審なリンクからアクセスしたとしても、ログイン情報を盗まれることはありません。
本当に危険?ZOOMを実際に使ってみた
Zoomを実際に使ってみての感想は下の通りです。
- スマホアプリ版でも簡単に参加できて便利
- ホワイトボードも共有できて会議に最適
- 参加人数が多くてもOKなのは嬉しい
- 音声オフ、カメラオフで参加も出来る
- セキュリティ対策を自分で出来れば問題なさそう
このように、使い勝手が良いサービスではありますが、やはりZoomについて調べてみると色々な問題が紹介されています。
しかし、内容をよく見てみると、そういった問題に直面するのはマイミーティングの設定をあまり活用できていない人たちに多い(ZoomBombingなど)のではないか、と感じます。
というのも、Zoomからの情報漏洩や提供以外は、セキュリティやマイミーティング設定で防ぐことができるものばかりだからです。
そのため、Zoomの情報に目を配り、セキュリティ対策など出来る個人あるいは企業であれば問題なく利用できる、という意見を持ちました。
逆に言えば、セキュリティやマイミーティング設定について全く分からないというユーザーにはあまり向いていない、と言えるでしょう。
ココがポイント
アップデートにより解決した問題も多いですが、最初から倫理的に少し問題がある公式による仕込みもあるので、最終的には利用者がZoomをどこまで信頼できるかで利用を続けるか否か決定すべきではないでしょうか。
-
ZOOM Cloud Meetingsの使い方を解説!
ZOOMは人同士が集まらなくても、テレビ通話やチャットでミーティングできる仕事用として多く利用されているアプリです。 便利で使いやすく、人気のアプリですが、操作方法はいくつもあるので今回は全ての操作方 ...
続きを見る
リモートワークに
40代男性