急激に普及しているコミュニケーションツールZoomですが、セキュリティリスクを心配する声が後を絶ちません。
調べてみると、確かにリスクはありました。
中にはすでに改善されたものもありますが、会社の大事な会議でZoomを使っているのに、セキュリティリスクがあるなんてヤバすぎますよね。
今回はそのセキュリティリスクと対策について詳しく解説します。
セキュリティリスク1,Zoom Bombing(Zoom爆弾)問題
Zoom爆弾は、Web会議に招待していない第三者が勝手にミーティングへ参加し、ミーティングのテーマとは全く関係のない行為を行い邪魔をする問題です。
Zoom Bombing(Zoom爆弾)の対策方法
個人ミーティングID(PMI)を使用しない
ホストに割り当てられている個人の固定ミーティングIDでミーティングを開催していると、悪意のある参加者がそのID知った場合、招待もしていないミーティングで勝手に参加される恐れがある。個人ミーティングIDを使用しないことである程度防止できる。
マイプロフィールから「個人ミーティングIDを有効化」の設定をOFFにする。
この設定をOFFにすると、新しいミーティングの度に新しいIDが付与される。
待合室を有効にする
参加者がミーティングに参加しようとしても、ホストに承認されるまでミーティングに入場できない設定にする。
悪意のある参加者が入ってきても、ホストに承認されるまで参加できない。
ONにすると参加者がミーティングに参加する度に、ホストへ参加者の承認が求められる。
ミーティングをロックする
現在参加しているミーティング参加者より後の参加者を受け付けない。
ミーティング画面で、セキュリティから「ミーティングをロックする」にチェックを入れる。
不用意にミーティングIDやパスワードを拡散しない
例えばミーティングIDとパスワードをSNSなどで不用意に伝えようとすると、誤って拡散された場合見知らぬ人でもミーティングに参加できてしまう。
拡散するような伝え方をしないよう細心の注意を払う必要がある。
セキュリティリスク2、エンドツーエンドの暗号化通信ではなかった
そもそもエンドツーエンドとは何なんだろうと思い私も調べました。
簡単に言うと、通信し合う末端の端末のみが何かの処理を実施し、その他中間にいる機器はデータの転送のみ実施することをエンドツーエンドと呼びます。
しかし、今回のZoomにおける「エンドツーエンドの暗号化ではなかった」というセキュリティリスクについては、実際は末端の端末が暗号化していなかったということではありませんでした。
問題点は以下の2つになります。
・データ本体ではなく、暗号化に使われる「暗号化キー」が中国サーバーを経由していた。
・中国政府がデータの開示を求めればZoomが拒否することができず情報が中国政府にわたる可能性がある。
【これに対するZoomのユアンCEOの釈明】
中国のサーバを経由してしまったのは2月に需要拡大に対応するため緊急で中国のサーバ容量を追加した際、通常であれば実装している「ジオフェンシング」(特定地域に仮想の柵を作ってアクセスできないようにすること)を誤って実装しなかったためだが、既に実装した。
引用元:ITmedia NEWS
この問題に対しては、次の設定を実施することにより回避できる可能性がある。
Zoomデータのルーティングを制御する
これは有料アカウント所有者限定の設定です。
1.有料アカウントでZoom Webポータルにサインインする。
2.「個人」→「設定」を選択する。
3.「Select data center regions for meetings/webinar hosted by your account」の設定をONにする。
4.データをルーティングする地域を選択し、保存し完了。
この設定は確かに多少対策になっているかもしれませんが、有料会員のみということで少し残念といったところです。
基本的に無料会員に対してはしばらく解決策が出なそうな気がするのと、暗号化キーの保存場所についての問題をこの設定で解決できるのか不安が残るとこではあります。
今のところ超重要な会議は有料会員をお勧めします。
また、Zoomは信頼を取り戻すべく以下の対策も実施。
・エンドツーエンドの暗号化技術を手掛ける米新興企業Keybaseを買収
・有料顧客にのみ提供するとしていたエンドツーエンド暗号化(E2EE)を、すべてのユーザーに提供するよう方針を変更。(2020年7月にβ版開始)
・自社サーバーにZoomシステムを構築し、暗号化鍵も自社サーバーで管理するシステムを構築中(2020年度下期予定)
セキュリティリスク3、違う暗号化方式を使用していた問題
本来256bitであるべき鍵長が、128bitであった。
暗号化を最新のものにアップデートし対策完了(AES-256 GCM)
セキュリティリスク4、UNCパスの不正リンクによる情報漏えいの危険性
攻撃者がWinsowsの機能を利用し、利用者に悪意のあるハイパーリンクをクリックさせ、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする。
セキュリティリスク5、マイクやカメラに不正アクセスされる脆弱性
攻撃者が何かのタイミングでZoomユーザーに悪意のあるプログラムを読み込ませ、PC起動中は強制的にZoomに参加した状態にさせられたうえ、マイクとカメラが乗っ取られることにより、音声やカメラが映す画像をのぞかれてしまう。
対策が完了しているとはいえ、将来的に悪意のある攻撃が無いとは言い切れません。
万全のセキュリティで需要な会議に臨むのであれば、セキュリティソフトは必須と言えます。
例えば私が使っているノートンでは以下のような設定をすれば、ミーティング起動時にカメラのアクセスを監視してくれるので、悪意のある不正アクセスを防止することが可能です。
知らない間にカメラへアクセスするような行為があっても、カメラにアクセスしても良いかポップアップが表示されるので遮断することが可能。
カメラやマイクを乗っ取られたら、知らぬ間に部屋や顔を見られてしまいますからね。
あまり気にしない方は良いですが、女性などは特に気を付けた方が良いのではないでしょうか。
こちらにノートンのリンクを貼っておきます。価格は安いですし、私もウィルス感染から何度か守ってくれた実績もあります。私は10年以上ずっとノートンです。
ノートン 360 スタンダード セキュリティソフト(最新)|1年1台版|オンラインコード版|Win/Mac/iOS/Android対応
セキュリティリスク6、iOSデバイスの、デバイス情報漏洩問題
iOSデバイス環境で、「Facebookでログイン」を実施すると不要なデバイス情報がFacebookに収取される。
最後に
以上が直近で発見されたセキュリティリスクとその対策になります。
ある程度対策はなされているものの、まだ万全とは言えない部分もあるのが実情です。
無線を使うのであればセキュリティの高い無線ルータの購入や、PCにはセキュリティソフトは最低でも入れておくべきでしょう。
もし悪意のある攻撃を受けてしまったら、自分だけではなく、相手にも迷惑をかけてしまいかねませんからね。
コメント