NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

待機室にいる承認前のユーザーにも映像データが送信されていた

待機室にいる承認前のユーザーに暗号鍵と暗号化された映像データが提供されていた

 「Zoom」では待機室機能が用意されています。待機室を有効にすると会議にアクセスしてきた参加者は一旦待機室で待たされ、主催者が許可した者だけが会議に参加できます。

 この待機室機能により、無関係の第3者が会議に乱入してくる「Zoom Bombing」を防ぐ事ができます。

 Citizen Labが4月8日に公開した調査によると、待機室にいる承認前のユーザーに暗号鍵と暗号化された会議の映像データが送信されていたとのことです。(音声は送信されていない)この映像データは承認前のユーザーの「Zoom」クライアントには表示されませんが、この暗号鍵と暗号化されたデータをキャプチャして復号することにより、承認前のユーザーが会議の映像を傍受することが可能であったとされています。

Citizen Labの資料より
待機室のユーザーに暗号鍵と暗号化された映像が送信されていた

 「Zoom」は4月8日にリリースされたアップデートでこの脆弱性を修正しています。

 

「Zoom」の録画がWeb上に大量に公開されている

 Washington Postが4月4日に報じた問題で、「Zoom」の会議を録画した動画がWeb上のオンラインストレージなどに大量に公開されており、プライベートなものと思われる動画も多かったというものです。

 「Zoom」でローカルに録画を行うと、デフォルトでは「zoom_0.mp4」というファイル名で動画が保存されます。(一度の会議で録画停止、開始を繰り返すと、zoom_1.mp4、zoom_2.mp4、……と続く)これらのファイル名で検索を行うことでWeb上に公開されている録画ファイルが大量に発見できたとのことです。

 Washington Postの記事には、保護されていないAWS S3バケットから多くの動画ファイルが見つかったと書かれていることから、「Zoom」が保護されていないAWS S3バケットをストレージとして利用していたのではないかという声がSNS上で見られました。

 しかし、記事にも「It does not affect videos that remain with Zoom’s own system. (Zoom独自のシステムに残っているビデオには影響しません)」や「The problem is not exclusive to Zoom video or Amazon storage.(問題はZoomのビデオやAmazonのストレージに限定されません)」と書かれているように、これは「Zoom」のシステムの問題ではなく、利用者が録画されたファイルを公開設定のオンラインストレージにアップロードしてしまったことや、利用者がアップロードしたサービスが保護されていないストレージを使用していたことによる問題です。

 

「Zoom」のアカウント情報がハッカーフォーラムで販売されていた

 Bleeping Computerが4月13日に報じた問題で、50万件以上の「Zoom」のアカウントがハッカーフォーラムで販売されていたというものです。

 ただし、これは「Zoom」からアカウント情報が流出したものではなく、他のサービスから流出したID・パスワードを使って、「Zoom」にログイン可能だったものを抽出して販売していたものです。「Zoom」にログイン可能なことを予め確認することで付加価値を付けてより高い値段で販売していたものと思われます。

 複数のサイトで同じID・パスワードを使いまわしているユーザーは一定数いるため、このようなことは「Zoom」だけではなく、どのサービスでも起こり得ます。

 利用者ができる対策としては、同じパスワードを複数のサイトで決して使い回さないことです。

 

「偽のZoom」が出回っているとの報道

 4月24日に情報処理推進機構(IPA)がTwitterで「怪しいZoomに注意」との注意喚起をツイートし、ネットメディアなどで「偽のZoom」が出回っていると報道されました。

 しかし、「偽のZoom」と呼ばれたものはPC最適化ソフトの「Zoom」という同名のソフトで、ビデオ会議の「Zoom」社の設立(2011年)より前の2001年から存在する正規のソフトです。

 一部の検索サイトでは「Zoom ダウンロード」と検索すると、ビデオ会議の「Zoom」よりも上位に表示されていたようです。しかし、PC最適化のソフトの「Zoom」をインストールした後に、「Purchase Zoom(Zoomを購入)」というリンクをクリックするとブラウザに偽の「セキュリティの警告」が表示され、表示された電話番号に電話をかけると料金を請求されることがあったということです。

 これはPC最適化ソフト「Zoom」の開発元が既に業務停止しており、所有していたドメインが失効して詐欺サイト運営者の手に渡ったためと思われます。

 詐欺サイトはビデオ会議の「Zoom」が話題になる前から運営されており、ビデオ会議の「Zoom」の人気に便乗した攻撃とは異なると思われます。しかし、ビデオ会議の「Zoom」を入手しようとして検索した結果、同名のPC最適化ソフトの「Zoom」の方をインストールしてしまった人が増えたために注意喚起がなされたのでしょう。

SHARE

関連記事

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

2020.11.18

ニューノーマル時代のネットワーク技術革新第3回

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

2020.11.11

働き方改革&生産性向上のカギはどこにある?第29回

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

2020.10.02

「教育」をデジタルで変える第1回

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

コロナ禍で不可逆的に変化するマーケティングイベント

2020.10.01

IT&ビジネス最新ニュース第60回

コロナ禍で不可逆的に変化するマーケティングイベント