NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

待機室にいる承認前のユーザーにも映像データが送信されていた

待機室にいる承認前のユーザーに暗号鍵と暗号化された映像データが提供されていた

 「Zoom」では待機室機能が用意されています。待機室を有効にすると会議にアクセスしてきた参加者は一旦待機室で待たされ、主催者が許可した者だけが会議に参加できます。

 この待機室機能により、無関係の第3者が会議に乱入してくる「Zoom Bombing」を防ぐ事ができます。

 Citizen Labが4月8日に公開した調査によると、待機室にいる承認前のユーザーに暗号鍵と暗号化された会議の映像データが送信されていたとのことです。(音声は送信されていない)この映像データは承認前のユーザーの「Zoom」クライアントには表示されませんが、この暗号鍵と暗号化されたデータをキャプチャして復号することにより、承認前のユーザーが会議の映像を傍受することが可能であったとされています。

Citizen Labの資料より
待機室のユーザーに暗号鍵と暗号化された映像が送信されていた

 「Zoom」は4月8日にリリースされたアップデートでこの脆弱性を修正しています。

 

「Zoom」の録画がWeb上に大量に公開されている

 Washington Postが4月4日に報じた問題で、「Zoom」の会議を録画した動画がWeb上のオンラインストレージなどに大量に公開されており、プライベートなものと思われる動画も多かったというものです。

 「Zoom」でローカルに録画を行うと、デフォルトでは「zoom_0.mp4」というファイル名で動画が保存されます。(一度の会議で録画停止、開始を繰り返すと、zoom_1.mp4、zoom_2.mp4、……と続く)これらのファイル名で検索を行うことでWeb上に公開されている録画ファイルが大量に発見できたとのことです。

 Washington Postの記事には、保護されていないAWS S3バケットから多くの動画ファイルが見つかったと書かれていることから、「Zoom」が保護されていないAWS S3バケットをストレージとして利用していたのではないかという声がSNS上で見られました。

 しかし、記事にも「It does not affect videos that remain with Zoom’s own system. (Zoom独自のシステムに残っているビデオには影響しません)」や「The problem is not exclusive to Zoom video or Amazon storage.(問題はZoomのビデオやAmazonのストレージに限定されません)」と書かれているように、これは「Zoom」のシステムの問題ではなく、利用者が録画されたファイルを公開設定のオンラインストレージにアップロードしてしまったことや、利用者がアップロードしたサービスが保護されていないストレージを使用していたことによる問題です。

 

「Zoom」のアカウント情報がハッカーフォーラムで販売されていた

 Bleeping Computerが4月13日に報じた問題で、50万件以上の「Zoom」のアカウントがハッカーフォーラムで販売されていたというものです。

 ただし、これは「Zoom」からアカウント情報が流出したものではなく、他のサービスから流出したID・パスワードを使って、「Zoom」にログイン可能だったものを抽出して販売していたものです。「Zoom」にログイン可能なことを予め確認することで付加価値を付けてより高い値段で販売していたものと思われます。

 複数のサイトで同じID・パスワードを使いまわしているユーザーは一定数いるため、このようなことは「Zoom」だけではなく、どのサービスでも起こり得ます。

 利用者ができる対策としては、同じパスワードを複数のサイトで決して使い回さないことです。

 

「偽のZoom」が出回っているとの報道

 4月24日に情報処理推進機構(IPA)がTwitterで「怪しいZoomに注意」との注意喚起をツイートし、ネットメディアなどで「偽のZoom」が出回っていると報道されました。

 しかし、「偽のZoom」と呼ばれたものはPC最適化ソフトの「Zoom」という同名のソフトで、ビデオ会議の「Zoom」社の設立(2011年)より前の2001年から存在する正規のソフトです。

 一部の検索サイトでは「Zoom ダウンロード」と検索すると、ビデオ会議の「Zoom」よりも上位に表示されていたようです。しかし、PC最適化のソフトの「Zoom」をインストールした後に、「Purchase Zoom(Zoomを購入)」というリンクをクリックするとブラウザに偽の「セキュリティの警告」が表示され、表示された電話番号に電話をかけると料金を請求されることがあったということです。

 これはPC最適化ソフト「Zoom」の開発元が既に業務停止しており、所有していたドメインが失効して詐欺サイト運営者の手に渡ったためと思われます。

 詐欺サイトはビデオ会議の「Zoom」が話題になる前から運営されており、ビデオ会議の「Zoom」の人気に便乗した攻撃とは異なると思われます。しかし、ビデオ会議の「Zoom」を入手しようとして検索した結果、同名のPC最適化ソフトの「Zoom」の方をインストールしてしまった人が増えたために注意喚起がなされたのでしょう。

SHARE

関連記事

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

テレワークで成果を出す鍵は、コミュニケーション環境にあり

2020.03.11

テレワーク導入の“壁”を解決第2回

テレワークで成果を出す鍵は、コミュニケーション環境にあり

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは