新型コロナウィルスの流行により、企業においても一般的になりつつあるテレワークの影響もあり、急激に普及している音声、映像のコミュニケーションツールZoomにおいて、直近で発見されたセキュリティリスクとその対策について解説します。
セキュリティリスク1:Zoom Bombing(Zoom爆弾)問題
Zoom爆弾は、Web会議に招待していない第三者がミーティングへ参加し、ミーティング内容とは全く関係のない行為を行い邪魔をする問題です。
Zoom Bombing(Zoom爆弾)の対策方法
個人ミーティングID(PMI)を使用しない
ホストに割り当てられている個人ミーティングIDでミーティングを開催していると、悪意のある参加者がそのID知った場合、招待もしていないミーティングに参加される恐れがある。個人ミーティングIDを使用しないことである程度防止できる。
マイプロフィールから「個人ミーティングIDを有効化」の設定をOFFにする。
この設定をOFFにすると、新しいミーティングの度に新しいIDが付与される。
待合室を有効にする
参加者がミーティング参加しようとしても、ホストに承認されるまでミーティングに入場できない設定にする。悪意のある参加者が入ってきても、ホストに承認されるまで参加できない。
ONにすると参加者がミーティングに参加する度に、ホストへ参加者の承認が求められる。
ミーティングをロックする
現在参加しているミーティング参加者以上、参加者を増やさないようロックする。
ミーティング画面で、セキュリティから「ミーティングをロックする」にチェックを入れる。
不用意にミーティングIDやパスワードを拡散しない
ミーティングIDとパスワードをSNSなどで不用意に伝えようとすると、誤って拡散された場合、見知らぬ人でもミーティングに参加できてしまう。
拡散するような伝え方をしないよう細心の注意を払う。
セキュリティリスク2:エンドツーエンドの暗号化ではなかった問題
そもそもエンドツーエンドとは何なんだろうと思い私も調べました。
簡単に言うと、通信し合う末端の端末のみが何かの処理を実施し、その他中間にいる機器はデータの転送のみ実施することをエンドツーエンドと呼びます。
しかし、今回のZoomにおける「エンドツーエンドの暗号化ではなかった」というセキュリティリスクについては、実際は末端の端末が暗号化していなかったということではありませんでした。
問題点は以下の2つになります。
・データ本体ではなく、暗号化に使われる「暗号化キー」が中国サーバーを経由していた。
・中国政府がデータの開示を求めればZoomが拒否することができず情報が中国政府にわたる可能性がある。
【これに対するZoomのユアンCEOの釈明】
中国のサーバを経由してしまったのは2月に需要拡大に対応するため緊急で中国のサーバ容量を追加した際、通常であれば実装している「ジオフェンシング」(特定地域に仮想の柵を作ってアクセスできないようにすること)を誤って実装しなかったためだが、既に実装した。
引用元:ITmedia NEWS
この問題に対しては、次の設定を実施することにより回避できる可能性がある。
Zoomデータのルーティングを制御する
これは有料アカウント所有者限定の設定です。
1.有料アカウントでZoom Webポータルにサインインする。
2.個人の設定を選択する。
3.「Select data center regions for meetings/webinar hosted by your account」の設定をONにする。
4.データをルーティングする地域を選択し、保存し完了。
この設定は確かに多少対策になっているかもしれませんが、有料会員のみということで少し残念といったところです。
基本的に無料会員に対してはしばらく解決策が出なそうな気がするのと、暗号化キーの保存場所についての問題をこの設定で解決できるのか不安が残るとこではあります。
今のところ超重要な会議は有料会員をお勧めします。
また、Zoomは信頼を取り戻すべく以下の対策も実施。
・エンドツーエンドの暗号化技術を手掛ける米新興企業Keybaseを買収
・有料顧客にのみ提供するとしていたエンドツーエンド暗号化(E2EE)を、すべてのユーザーに提供するよう方針を変更。(2020年7月にβ版開始)
・自社サーバーにZoomシステムを構築し、暗号化鍵も自社サーバーで管理するシステムを構築中(2020年度下期予定)
セキュリティリスク3:その他のセキュリティリスク
説明されていた暗号化とは違う暗号化方法を使用していた問題
本来256bitであるべき鍵長が、128bitであった。
暗号化を最新のものにアップデートし対策完了(AES-256 GCM)
Windowsで、UNCパスの不正リンクによる情報漏えいの危険性
攻撃者が悪意のあるハイパーリンクをクリックさせ、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする。
Macのマイクやカメラに不正アクセスされる脆弱性
攻撃者がZoomユーザーに悪意のあるプログラムを読み込ませ、ユーザーは強制的にZoomに参加しマイクとカメラを有効にされてしまい、その内容を見られてしまう。
対策が完了しているとはいえ、将来的に悪意のある攻撃が無いとは言い切れません。
万全のセキュリティで需要な会議に臨むのであれば、セキュリティソフトは必須と言えます。
例えば私が使っているノートンでは以下のような設定をすれば、ミーティング起動時にカメラのアクセスを監視してくれるので、悪意のある不正アクセスを防止することが可能です。
知らない間にカメラへアクセスするような行為があっても、カメラにアクセスしても良いかポップアップが表示されるので遮断することが可能。
カメラやマイクを乗っ取られたら、知らぬ間に部屋や顔を見られてしまいますからね。
あまり気にしない方は良いですが、女性などは特に気を付けたのではないでしょうか。
一応ノートンのリンクを貼っておきます。価格は安いですし、私は10年以上使っています。
iOSデバイスの、デバイス情報漏洩問題
iOSデバイス環境で、「Facebookでログイン」を実施すると不要なデバイス情報がFacebookに収取される。
以上が直近で発見されたセキュリティリスクとその対策になります。
いずれにしても、設定や対策をしっかり行えば大きな問題になることはないでしょう。
コメント