【IT技術】Zoomの脆弱性の相次ぐ発見と、ユーザー側のセキュリティ対応について
皆さん、こんにちは!
最近、テレワークの導入が進む中で、スピード、機能ともに充実しているZoomというTV会議システムが人気です。ところが、最近はセキュリティの脆弱性も相次いで指摘されるケースが増えてきました。
今回は、Zoomがセキュリティ的にどの様な問題があるのか?と、
ユーザーはどのような対応を取ればいいのか?についてお伝えします。
テレビ・Web会議の仕組み「Zoom」とは?
Zoomとは、一言でいえば、「TV会議システム」の1つです。
特に、複数人相手に一度に話すことが可能な、「ビデオ・Web会議アプリケーション」となります。
他にも、同様なサービスとして、
- Skype(Skype Communication)
- Microsoft Team(Microsoft)
- FaceTime(Apple)
- Google ハングアウト(Google)
- ベルフェイス(ベルフェイス株式会社)
- whereby
といったサービスがあります。
IT資産における脆弱性
ところで、皆さん「セキュリティの脆弱性を発見!」という文言をよく見ますよね?中には、「脆弱性」=「リスク、悪」と印象的に理解されている方もいらっしゃると思います。
では、そもそも「脆弱性」とは何でしょうか?
脆弱性とは?
脆弱性とは、
外部からの不正アクセスに対してシステムの安全性が損なわれている状態、セキュリティ上の欠陥のこと。ソフトウェアやハードウェアのバグによってできるセキュリティホールが代表的なものだが、機密情報・重要情報に対する管理体制の甘さも一種の脆弱性と考えられる。
と定義されています。
脆弱性、というと情報システムやクラウドサービス、ソフトウェアの欠陥と思われがちですが、ソフトウェアだけの問題にとどまりません。
サーバーの設置されている部屋のドアや窓に施錠がされていないなどの物理的な保護の欠如、バックアップ媒体の保管や管理が適切に行われていないなどの運用上の問題点も脆弱性の一つとして該当します。
脆弱性が発見されること自体は、悪いことではない。
では、脆弱性が発見されると何がまずいのか?
…発見されること自体は悪いことではありません。
むしろ、素晴らしいことです。
何が一番まずいか?というと、脆弱性が発見されたにもかかわらず、何も対策をせずに放置されてしまうことです。
脆弱性を放置してしまうと、悪意のある第三者が脆弱性を悪用して、本来できないはずの操作を行ったり、見られてはいけない情報が漏洩するなどの不具合が発生します。
それだけではなく、不正アクセスを許してしまい、場合によっては情報漏洩につながるリスクが高まります。
Zoomの脆弱性とその対策
では、Zoomで、どのような脆弱性が具体的に発見されているのでしょうか?
- ZoomBombing(Zoom爆弾)
- Windows認証情報が盗まれる
- Web会議の暗号キーを誤って中国データセンター経由にされていた
では、1つずつ順に解説していきます。
ZoomBombing(Zoom爆弾)
ZoomBombingとは、セキュリティという問題よりはモラルハザードです。
もっと幼稚な嫌がらせではあるのですが、一般利用者がもっとも多く直面する問題でもあります。
つまり、「悪意のある第3者が、勝手にテレビ会議に入ってきて、差別的発言やショッキングな画像を見せたりといった嫌がらせを行う」ことを、Zoom爆弾と呼んでいます。
では、ZoomBombingの対策はどのような方法があるのでしょうか?
以下の方法で対応することが可能です。
- 会議にパスワードをかける
4/5の確認時点では、会議にはデフォルトでパスワード必須となりました。
解除もできなくなっておりますので、すでにZoom側で対策されております。 - 待機室を利用すること
参加者をいきなり会議に参加させるのではなく、ホストによる参加承認というワンクッションを挟むための機能です。
後述しますが、会議室機能にも脆弱性が発見され、2020/04/05現在、Zoom側ではこれを修正するまではこの機能を使わないようユーザーに勧めています。 - ホストより前の参加者の参加を無効にする
事前に、「ホストより前の参加者の参加を有効にする」チェックが外れていることを確認しておきましょう。
参考:Zoom、パスワード強化と「待機室」追加 “Zoombombing”対策で
https://www.itmedia.co.jp/news/articles/2004/05/news009.html
Windows認証情報が盗まれる
Windows版のみ影響しますが、チャット機能にて悪意のあるユーザーが用意したURLリンクをクリックすることで、様々な「悪さ」をされてしまう脆弱性です。
こちらは問題が修正されたバージョンがすでにリリース済なので、Zoomのソフトウェアを最新にしていただければ、問題は発生しません。
Web会議の暗号キーを誤って中国データセンター経由にされていた
米国-カナダ間のWeb会議を実施したところ、その会議の暗号化キーが中国の北京にあるサーバを経由していたことが分かった問題です。
Zoomは、 エンドツーエンドの暗号化 として暗号化キーをやり取りするのですが、そのキーが中国のデータセンターを経由していたことにより問題となりました。
参考:Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明
https://www.itmedia.co.jp/news/articles/2004/05/news010.html
中国は、先述の通りサイバーセキュリティ法という法律がありますので、
中国当局から、情報開示を求められた場合、暗号化キーも公開されてしまうリスクがあるため、大きな問題となりました。
Zoomの様なネットサービスは、通信が混雑してパフォーマンス劣化の可能性があると、輻輳を避けるために別のルートを切り替えるようになっていますが、その経由地に中国が含まれていました。
現在は、この問題は解決されており、さらにZoomのエリック・ユアンCEOは、「暗号化の改善にも取り組んでおり、専門家と協力してベストプラクティスに従っている」と主張しています。
脆弱性を適切に恐れ、対策する
Zoomは、無償で利用可能な機能が多く、また非常にパフォーマンスに優れたオンラインコミュニケーションツールです。
昨今の新型コロナウィルスの影響により利用者が急増したため、専門家によるセキュリティチェックも厳しくなり、次々に脆弱性が見つかる、といった事象が発生しました。
一番危険なのは、脆弱性が発見されずに攻撃をうけること
但し、先ほどもお伝えした通り、「脆弱性が発見された」ことは悪いことではありません。
むしろ、「脆弱性が発見されていない」ということは、
- セキュリティ的に万全である
- 攻撃される可能性のある脆弱性が発見されていない
という相反する2つのことを意味します。
脆弱性が発見された場合は、そのソフトウェアの使用をやめるのも1つの方法ですが、
- 常に最新版のソフトウェアを使用する
- できるだけ機密情報のやり取りを行わない
- 常にIPA(情報処理推進機構)のセキュリティ情報をチェックし、迅速に対応する。
といった方法をとることで、リスクを極力減らすことができます。
Zoomはセミナー用、Skypeは会議用と、情報の機密性に応じて使い分ける
脆弱性が出たからと言って、やみくもに恐れ使用をやめるのではなく、適切に恐れ対応することで、より生産性の高いIT環境を実現できると思います。
特に、SkypeやFaceTimeは、Zoomと比べてセキュリティ面で優位ですので、
- Zoomは、会社の機密情報を扱わない集客セミナー用に利用
- Skypeは、社内の会議用に利用
といった様に、シーンに応じて利用するツールを切り替えることも検討してみてはいかがでしょうか?