NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

待機室にいる承認前のユーザーにも映像データが送信されていた

待機室にいる承認前のユーザーに暗号鍵と暗号化された映像データが提供されていた

 「Zoom」では待機室機能が用意されています。待機室を有効にすると会議にアクセスしてきた参加者は一旦待機室で待たされ、主催者が許可した者だけが会議に参加できます。

 この待機室機能により、無関係の第3者が会議に乱入してくる「Zoom Bombing」を防ぐ事ができます。

 Citizen Labが4月8日に公開した調査によると、待機室にいる承認前のユーザーに暗号鍵と暗号化された会議の映像データが送信されていたとのことです。(音声は送信されていない)この映像データは承認前のユーザーの「Zoom」クライアントには表示されませんが、この暗号鍵と暗号化されたデータをキャプチャして復号することにより、承認前のユーザーが会議の映像を傍受することが可能であったとされています。

Citizen Labの資料より
待機室のユーザーに暗号鍵と暗号化された映像が送信されていた

 「Zoom」は4月8日にリリースされたアップデートでこの脆弱性を修正しています。

 

「Zoom」の録画がWeb上に大量に公開されている

 Washington Postが4月4日に報じた問題で、「Zoom」の会議を録画した動画がWeb上のオンラインストレージなどに大量に公開されており、プライベートなものと思われる動画も多かったというものです。

 「Zoom」でローカルに録画を行うと、デフォルトでは「zoom_0.mp4」というファイル名で動画が保存されます。(一度の会議で録画停止、開始を繰り返すと、zoom_1.mp4、zoom_2.mp4、……と続く)これらのファイル名で検索を行うことでWeb上に公開されている録画ファイルが大量に発見できたとのことです。

 Washington Postの記事には、保護されていないAWS S3バケットから多くの動画ファイルが見つかったと書かれていることから、「Zoom」が保護されていないAWS S3バケットをストレージとして利用していたのではないかという声がSNS上で見られました。

 しかし、記事にも「It does not affect videos that remain with Zoom’s own system. (Zoom独自のシステムに残っているビデオには影響しません)」や「The problem is not exclusive to Zoom video or Amazon storage.(問題はZoomのビデオやAmazonのストレージに限定されません)」と書かれているように、これは「Zoom」のシステムの問題ではなく、利用者が録画されたファイルを公開設定のオンラインストレージにアップロードしてしまったことや、利用者がアップロードしたサービスが保護されていないストレージを使用していたことによる問題です。

 

「Zoom」のアカウント情報がハッカーフォーラムで販売されていた

 Bleeping Computerが4月13日に報じた問題で、50万件以上の「Zoom」のアカウントがハッカーフォーラムで販売されていたというものです。

 ただし、これは「Zoom」からアカウント情報が流出したものではなく、他のサービスから流出したID・パスワードを使って、「Zoom」にログイン可能だったものを抽出して販売していたものです。「Zoom」にログイン可能なことを予め確認することで付加価値を付けてより高い値段で販売していたものと思われます。

 複数のサイトで同じID・パスワードを使いまわしているユーザーは一定数いるため、このようなことは「Zoom」だけではなく、どのサービスでも起こり得ます。

 利用者ができる対策としては、同じパスワードを複数のサイトで決して使い回さないことです。

 

「偽のZoom」が出回っているとの報道

 4月24日に情報処理推進機構(IPA)がTwitterで「怪しいZoomに注意」との注意喚起をツイートし、ネットメディアなどで「偽のZoom」が出回っていると報道されました。

 しかし、「偽のZoom」と呼ばれたものはPC最適化ソフトの「Zoom」という同名のソフトで、ビデオ会議の「Zoom」社の設立(2011年)より前の2001年から存在する正規のソフトです。

 一部の検索サイトでは「Zoom ダウンロード」と検索すると、ビデオ会議の「Zoom」よりも上位に表示されていたようです。しかし、PC最適化のソフトの「Zoom」をインストールした後に、「Purchase Zoom(Zoomを購入)」というリンクをクリックするとブラウザに偽の「セキュリティの警告」が表示され、表示された電話番号に電話をかけると料金を請求されることがあったということです。

 これはPC最適化ソフト「Zoom」の開発元が既に業務停止しており、所有していたドメインが失効して詐欺サイト運営者の手に渡ったためと思われます。

 詐欺サイトはビデオ会議の「Zoom」が話題になる前から運営されており、ビデオ会議の「Zoom」の人気に便乗した攻撃とは異なると思われます。しかし、ビデオ会議の「Zoom」を入手しようとして検索した結果、同名のPC最適化ソフトの「Zoom」の方をインストールしてしまった人が増えたために注意喚起がなされたのでしょう。

SHARE

関連記事

オンライン研修でも新卒社員は育つ!アイレップが導入したツールとは

2021.07.09

ニューノーマル時代のコミュニケーション変革第4回

オンライン研修でも新卒社員は育つ!アイレップが導入したツールとは

読者アンケートからわかった企業のセキュリティの課題とその対策とは

2021.06.30

セキュリティ対策に求められる新たな視点第25回

読者アンケートからわかった企業のセキュリティの課題とその対策とは

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

日鉄ケミカル&マテリアルは「テレビ会議クラウド化」で場所にとらわれない働き方を推進

2021.05.26

働き方改革&生産性向上のカギはどこにある?第37回

日鉄ケミカル&マテリアルは「テレビ会議クラウド化」で場所にとらわれない働き方を推進

チームは雑談を「聞く」ことで強くなる

2021.05.20

IT&ビジネスコラム第6回

チームは雑談を「聞く」ことで強くなる

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

2021.02.24

ニューノーマル時代のコミュニケーション変革第3回

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは