Zoomのバージョン4.6.9 (19253.0401)より前の 「zoom Windowsクライアント」を使用している人は、アップデートしてください。(アップデートはコチラ)
オンラインコミュニケーションサービスの「Zoom」がセキュリティ事故をおこしてしまいました。
「ズーム社は問題の深刻さを認識しており、批判にも応えている」とのことです。
この記事では、「Zoom」のセキュリティ事故が発覚した経緯から、原因・対処法を深堀りして解説していきます。
「Zoom」のセキュリティ事故が発見された経緯
ZOOMは以前から世界各国で使用されていて、毎日1000万人ものユーザーが使用していました。
それが、新型コロナウイルスのパンデミック発令して以来、ユーザーが2億人にまで増加したそうです。(競合するマイクロソフトのTeams(チームス)の約3倍)
使用するユーザーが爆増したことで、Zoomはセキュリティ問題やプライバシー問題の増加に直面するようになりました。
主にどういったことが起こったか
海外で具体的な事例が挙がっていたので紹介します。
- 3月末、マサチューセッツ州の高校でオンライン授業を実施していたところ、不明者が突然授業に“乱入”し、口汚い言葉で罵ったのち、教師の自宅住所を叫んだという。
- 高校でオンライン授業中に不審者がビデオ参加し、鉤十字の入れ墨を生徒たちに見せる事例もあった。
など
「FBIのボストン支局」調べ
上で紹介した事例はほんの一部です。
こういう行為を「Zoom Bombing(ズーム爆弾)」と呼んでいるそうです。
「Zoom」のセキュリティ事故が起こった原因
具体的に紹介されている原因は次の通りです。
- エンドツーエンド暗号化がされていなかった
- ウェブカメラやマイクを乗っ取ることを可能にするセキュリティホールがあった
- ビデオ会議参加用のURLさえ知っていれば、パスワード設定されていないと誰でも参加できてしまう
- Windowsの仕組みであるUNCを使ったチャット機能に脆弱性があった
など
「エンドツーエンド暗号化」とは
エンドツーエンド暗号化とは、暗号化を使用する利用者のみが鍵を持つことで、サービスの管理者、インターネットサービスプロバイダ、第三者が通信内容を盗聴できないようにする技術である。
参考:wikipedia
「UNC」とは
Uniform Naming Conventionは、Microsoft Windowsにおいて同一LAN内で共有化された他のコンピュータのファイル、ディレクトリへアクセスするための指定方法
参考:wikipedia
「Zoom」のセキュリティ事故の対策方法
FBIが次の方法を公開しています。
- 会議や教室を「公開」しない。会議を「非公開」にする。手順は次の2つ
- 会議参加者にパスワードを発行する。
- ホストが会議への参加者を管理できる「待機室」を設定するという2つの方法がある。
- ソーシャルメディアの投稿で、会議や教室へのリンクを共有せず、特定の人に直接リンクを提供する。
- 画面共有オプションを管理。Zoomでの画面共有を「ホストのみ」に変更する。
- 2020年1月、Zoomはソフトウェアを更新したので、更新したバージョンを使う。
Zoomのアップデート
zoom公式サイトのリリースノートはコチラ(日本語版は現在ありません)
ダウンロードページはコチラ(2020/04/09時点 バージョン:4.6.10 (20033.0407))
まとめ:使う側のセキュリティに対しての意識も大事
今回発覚したZoomのセキュリティ事故(脆弱性)について原因と対処方法を紹介しました。
実は、Zoomは大きなセキュリティ事故は今回が初めてではないんです。
過去に「Zoom」のユーザーデータがユーザーに無断で米Facebookに転送されていたというセキュリティ事故が起こっています。(集団代表訴訟で米カリフォルニア州のデータ保護法に違反すると主張されている)
今回や過去に起きたセキュリティ事故を受けてセキュリティに関して、今後は強固なものになっていくと思います。
しかし、世界では次のようなことが起きています。
- ニューヨーク市教育委員会はZoomの使用をただち止めるように各学校に通達
- オーストラリアでは国防軍と議会のZoom利用を禁じている
- 台湾の行政院は4月7日、政府機関がZoomや「セキュリティやプライバシーで懸念がある」他のビデオソフトウェアを使用しないよう勧告
など
これからもZoomを使うことに問題はあるか?
Zoomのリリースノートでセキュリティに関しての問題点は修正済みということは、明言されています。
これからもZoomを使用しても問題ないと思いますが、他のソフトでも言えることですが対策方法に書いてあるように、ユーザー自身でもセキュリティを気をつける必要があります。
セキュリティ事故は大小あるけどしょっちゅう起きている
基本的にニュースになるのは大きなセキュリティ事故だけです。
全世界のハッカー集団はいろんなアプローチでセキュリティをかいくぐってきます。
ハッカーでなくても、よく聞くのが「個人情報を個人のPCへコピーし、漏洩させた」というニュースですよね。
今回の件では、開発側がセキュリティへの考慮がたりてなかったということも原因ですが、深堀りするとユーザー側のセキュリティへの意識がという面でも考えさせられる内容もあります。(”パスワードを設定しない”など)
ITに精通している人は、情報セキュリティに関しての危険性はよく把握しています。
どんなシステムにも言えることですが、UIでユーザーが”パスワードを設定させる”などのセキュリティ動作をさせるという動線を引いてあげることで、未然に防げるセキュリティ事故もあると思います。
情報社会になる上で、ユーザーもセキュリティに関して意識を持つということが大事ですね。
人気記事 【脱・フリーズ】オンライン会議を安定してできるネット回線3選(テレワークにもいい)
人気記事 【徹底解説】テレワークでなぜいらない社員があぶり出されるのか