NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(前編)何が問題だったのか?
2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

著者 北河 拓士

部外者が会議に乱入して迷惑行為を行う「Zoom Bombing」

 「Zoom Bombing」(Zoom爆弾)とは、無関係の第三者が会議に乱入し、一発ギャグで笑わせたり、卑猥な言葉や人種差別など不穏当な発言をしたり、画面共有機能を利用して面白い画像や不適切な画像を参加者に見せつけたりする行為のことです。米国で新型コロナウイルス対策によるロックダウン(都市封鎖)が始まった3月中旬頃から被害が拡大しはじめました。

 「Zoom」では、会議の主催者から届いたURLをクリックするだけで、ユーザー登録の必要もなく会議に参加できます。この手軽さが「Zoom」の利用者が急拡大した要因の1つだったのですが、これが悪用され、会議のURLを入手した部外者が容易に乱入できてしまっていました。

 会議のURLは、メールやメッセンジャーなどで会議の参加者だけに提供されるべきものですが、WebサイトやSNSでURLを公開していたケースも多かったようで、Googleなどで「Zoom」会議のURLに特有の文字列で検索すると、大量にURLが発見できる状態でした。

 「Zoom」には会議にパスワードを設定する機能もありましたが、パスワードなしも選択できたため、パスワードを設定していない会議も多かったようです(4月5日以降は、無料ユーザーはパスワード必須に変更)。また、パスワードを設定していたとしても、デフォルトではパスワードを埋め込んだURLが作成されるようになっているため、これを公開していた場合、URLにアクセスすればパスワード入力なしに部外者が会議に参加できてしまいました。

 インターネット上には、「Zoom Bombing」について情報交換する掲示板(Reddit)、チャット(Discord)、Twitterアカウントなどが数十以上存在しました。そのような掲示板などに、主催者から提供されたオンライン授業などのURLやパスワードを投稿して、わざと乱入者を呼び込むようなことも行われていました。

 会議の主催者が、「パスワードも設定してあるし、URLも公開していないから部外者が参加することはない」と思っていても、参加者が無自覚や意図的に公開してしまったということもあったようです。

 「Zoom Bombing」の被害は単にオンライン授業や会議などが妨害されるだけではありません。乱入に驚いたりする参加者の様子を録画して、「YouTube」や「TikTok」などの動画共有サイトに公開することも行われており、多くのアクセスを集めていました。「Zoom」では会議参加時に入力した名前が画面に表示されるため、名前と顔が勝手に動画共有サイトに公開されるというプライバシーの侵害も起こりました。

 「Zoom Bombing」を実行しているのは、いわゆるサイバー犯罪者というよりは、大半が軽い気持ちで他人を驚かして喜ぶ愉快犯です。特に新型コロナウイルスによる外出禁止で退屈した若者の憂さ晴らしとして行われていることが多いようで、チャットツールとして若者に人気の「Discord」のチャンネルがその中心となっていました。

 しかし、これらの行為は単なるいたずらとして済まされることではなく、米司法省は4月3日に罰金または禁固刑で処罰される可能性があると警告する声明を発表しました。実際に米国では10代の若者の逮捕者が複数出ています。

 「Zoom Bombing」の被害が連日報道されるようになり、「Zoom」では様々なセキュリティ強化策や推奨設定の啓蒙活動を行うようになりました。

 会議のURLやパスワードを公開しないようにすることが最も基本的な対策ですが、もしそれらが漏れてしまった場合でも、部外者を排除したり会議を邪魔されたりしないような対処法が用意されています。

 その主なものを下記に記載します。

会議のパスワードを必須とするように変更(仕様変更)
以前はパスワードなしの会議も作成可能でしたが、4月5日以降はパスワードが必須化し、パスワードなしの会議は作成できなくなりました。(現在は無料ユーザーのみ必須。それ以外のユーザーは5月30日に必須化される予定だったが、顧客からのフィードバックに基づき9月27日より実施に延期)

ミーティングIDを9桁の数字から11桁の数字に変更(仕様変更)
4月11日以降はミーティングIDを11桁の数字とし、総当たりでミーティングIDを推測する攻撃をより困難にしました。(同一の接続元IPアドレスからのミーティングID総当り攻撃をブロックする対策は以前から実装されています。ボットネットなどを利用した複数のIPアドレスからの総当り攻撃への緩和策となります)

待機室を有効にする(推奨設定)
待機室を有効にすると参加者は一旦待機室に入り、主催者が許可するまで会議に参加できなくなります。主催者は(部外者がいないことを確認した上で)全員を一括で許可することもできます。4月5日以降は待機室がデフォルトで有効になりました。

画面共有ができるのをホスト(主催者)のみに制限(推奨設定)
画面共有ができるのを主催者のみに限定し、参加者が勝手に不適切な画像などを共有できないようにします。

サインインしたユーザーのみが会議に参加できるようにする(推奨設定)
会議に参加できる参加者をZoomにログインしている参加者に制限したり、メールアドレスが特定のドメインを使用するZoomユーザーに制限したりできます。ドメインは複数を指定することも可能です。学校や企業で生徒や社員のみが参加できる会議を開催する場合に便利です。ただし、この設定ができるのは主催者が有料ユーザーの場合のみです。

ミーティングにロックをかける(推奨設定)
「ミーティングをロックする」を選択すると、それ以降はミーティングIDとパスワードを知っていても会議に参加できなくなります。参加予定者全員がそろったらミーティングをロックすることで、第三者が乱入することを防げます。

参加者をミュートする(推奨設定)
主催者は個々の参加者またはすべての参加者を一斉に「ミュート」もしくは「ミュート解除」をすることができます。講義やセミナーなどで発表を邪魔する発言や騒音などを防げます。

参加者のビデオを無効にする(推奨設定)
主催者は参加者のビデオをオフにすることができます。これにより、会議を邪魔するビデオの送信をブロックすることができます。

参加者を削除する(推奨設定)
参加者を選択し「削除」を行うことで、迷惑な参加者や部外者を会議から追い出すことができます。

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

2021.02.24

ニューノーマル時代のコミュニケーション変革第3回

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法