NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年10月28日(水)予定)
「Zoom」のセキュリティ(後編)使っても大丈夫か?
2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

著者 北河 拓士

 「Zoom」の人気の急速な高まりとともに世界各国のセキュリティ研究者やジャーナリストが「Zoom」のセキュリティやプライバシーの問題を競うように調査しはじめたため、2020年の3月末頃に多くの問題が集中的に報告されました。

 報告された問題については既に対策が施されていますが、対策済みの問題が何度も繰り返し報じられたり、事実と憶測が入り混じって報じられたりしたため、「Zoom」には今現在も多くのセキュリティの問題が存在するという印象を持っている人も多いようです。

 前々回の「Zoom」のセキュリティ(前編)何が問題だったのか? 及び前回の「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題では、「Zoom」にどのようなセキュリティの問題があったのか解説を行いました。今回は、現状の「Zoom」を使っても大丈夫かについて考えてみます。

「Zoom」のセキュリティ問題を振り返る

 まずは、「Zoom」で問題になった以下の3つに関してもう一度、現在の状況を見てみます。

1.部外者が会議に乱入して迷惑行為を行う「Zoom Bombing」問題
2.「Zoom」の暗号化に関わる問題
3.「Zoom」アプリなどに報告されている脆弱性やプライバシーの問題

 

「Zoom Bombing」の問題

 部外者が会議に乱入して迷惑行為を行う「Zoom Bombing(Zoom爆弾)」の問題に関しては、最近では被害の発生はあまり聞かなくなりました。

 「Zoom Bombing」は、アメリカの中高生を中心とする若者の悪ふざけ的な行為が大半でしたが、FBI司法省が警告を発したことや、実際に10代の若者から複数の逮捕者が出たことが抑止となっていると考えられます。

 また、会議のURLを公開しないことや待機室を有効にするなどの対策が浸透してきたことも被害が減少してきた要因でしょう。

 新型コロナウイルスによる外出制限により、一般のコンシューマー向けにも「Zoom」の人気が急速に高まったため、「Zoom」での被害が相次ぎ、「Zoom Bombing」というネーミングまでされましたが、会議のURL(もしくは会議のIDとパスワード)をWebサイトやSNSなどに公開してしまった場合に部外者が会議に参加してくる可能性があるのは他のWeb会議システムでも同様です。

 たとえば、「Microsoft Teams」や「Cisco WebEx Meetings」でも会議のURL(もしくは会議のIDとパスワード)があれば、アカウント登録する必要なくゲストとして会議に参加できます。そのため、URLなどが公開されていた場合は部外者が会議に参加してくる可能性があります。「Google Meet」ではGoogleアカウントが必須ですがGoogleアカウントは実名でなくても作成可能なため乱入を行おうとする者にとって大きな障壁とはなりません。

「Zoom」には前編で紹介したように、

・会議にパスワードを設定する
・待機室を有効にして主催者が承認したユーザーのみが会議に参加可能とする
・サインインしたユーザーやメールアドレスが特定のドメインのユーザーのみ参加可能とする

などの会議前に行う設定や

・参加者全員がそろったら会議をロックする
・主催者のみが画面共有できるようにする
・参加者をミュートしたり、ビデオをオフにしたりする
・会議を妨害する参加者を削除(強制退室)する

などの会議中に行う制御により部外者が会議に参加することを防いだり、(許可した)参加者が会議を邪魔することを防いだりする機能が用意されています。それらの推奨設定を行っていればほぼ問題は起きないでしょうし、たとえ問題が起きたとしても排除することは可能でしょう。

 

暗号化に関わる問題

 暗号化の問題に関しても現在は指摘された問題はすべて解消しています。

 4月27日には、「AES-256-GCM」(鍵長256bit、GCMモード)をサポートした「Zoom 5.0」がリリースされ、5月30日以降は「Zoom 5.0」以上でないと会議に参加できないようになりました。よって、現在は指摘された「ECBモード」などの弱い方式は使われなくなっています。

 データのルーティングの問題については、現在は中国のデータセンターには接続されないようになっています。また、ダッシュボードから現在接続しているデータセンターの地域を確認できるようになった他、有償ユーザーは、接続するデータセンターの地域を選択することが可能となりました。

接続しているデータセンターを確認できるようになった

 エンドツーエンド暗号化に関しては、暗号技術を専門とする企業「KeyBase」を買収し、2020年7月末から限定されたベータテストを開始しています。なお、無料ユーザーがエンドツーエンド暗号化を利用する場合は、テキストメッセージ(SMS)で電話番号を確認する必要があるとしています。

 エンドツーエンド暗号化は「Microsoft Teams」や「Skype」、「Google Meet」も現時点では提供していません。現時点で正式にエンドツーエンド暗号化をサポートしている企業向けのWeb会議システムが必要な場合は、「Cisco WebEx Meetings」を選択する必要があります。(FaceTimeやWhatsAppもエンドツーエンド暗号化に対応していますが、FaceTimeが使えるのはAppleのデバイスのみで最大32人までです。また、WhatsAppのビデオ会議では最大8人までしかサポートしていません。)ただし、どの製品もエンドツーエンド暗号化を有効化した場合には、クラウドでの録画や自動字幕起こし、電話回線からの参加など、クラウドでデータを復号する必要がある機能は利用できなくなります。

 

脆弱性やプライバシーの問題

 2020年3月頃までの「Zoom」はセキュリティやプライバシーよりも利用者の利便性を優先する企業という印象がありましたが、4月1日に、今後90日間は新機能の開発を凍結してセキュリティやプライバシーの問題解決に集中すると発表を行って以降、「Zoom」はセキュリティやプライバシーの問題に非常に迅速に対応を行うようになり、ほとんどの問題が報告から数日以内に修正されています。

 よって、最新版の「Zoom」クライアントを使用していれば、報告されている問題はすべて修正されています。(クラウド側で対処が必要な脆弱性についてはクラウド側で修正されるため利用者は特に何かをする必要はありません)

 脆弱性が度々報告されているWeb会議システムは「Zoom」だけではありません。たとえば「Cisco WebEx Meeting」に関しても今年1月に認証されていないリモート参加者が、パスワードで保護された会議にパスワードを入力することなく参加できる脆弱性が報告された他、危険度の高い脆弱性が複数報告されています。

 また、「Microsoft Teams」に関しても、今年4月に、細工を施したGIF画像を閲覧するだけで情報を抜き取られ、アカウントが乗っ取られる可能性のある脆弱性が報告されるなど危険度の高い脆弱性が報告されています。

 Web会議システムに限らず、OSやブラウザ、アプリケーションなど、どのソフトウェアにも脆弱性が発見されることは避けられません。よって、どのサービスを使うにしても常に最新版のソフトウェアを使用することがセキュリティ対策の基本となります。

SHARE

関連記事

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

2020.10.02

「教育」をデジタルで変える第1回

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

コロナ禍で不可逆的に変化するマーケティングイベント

2020.10.01

IT&ビジネス最新ニュース第60回

コロナ禍で不可逆的に変化するマーケティングイベント

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?