Zoomでのオンライン会議もかなり定着し、いろいろな場面で使われるようになってきました。しかし、ユーザーの増加と同時にその脆弱性が話題になっています。Zoomの安全性には問題があるのでしょうか? 問題の多くは、すでにZoomのアップデートにより解決されています。また、設定によってより高い安全性を確保することも可能です。この記事では、Zoomのセキュリティ問題と安全性を確保する設定について紹介します。
Zoomのセキュリティ問題とは
Zoomには以前から多少の脆弱性が認められていましたが、2020年の春頃から全世界でZoomユーザーが急激に増えた結果、これらは大きな問題として取り上げられるようになりました。これを受けて、2020年3月から数回のアップデートが実施され、現在、Zoomの脆弱性は解決されています。まずは、「過去にどのような問題があったのか」そして「どのような対策が取られたのか」を紹介していきます。
Zoomのセキュリティ問題とその対策
Zoomの脆弱性とその対策のうち、代表的なものは次の6種類です。
1. Facebookへのユーザー情報漏えい
現象
iOSでZoomアプリを使うと、Facebookにユーザー情報が送信されていました。なお、漏えいしていたデータは「利用しているデバイスについての情報」で、氏名や参加しているミーティングなどの個人情報ではありませんでした。
原因
以前のiOS版アプリには、Facebook SDKを利用した「Facebookログイン」(ソーシャルログイン機能)が実装されていました。このため、Zoomやユーザーの意図とは関係なく、データがFacebookに送信されてしまったのです。このデータ漏えいは、FacebookログインやFacebookを利用していなくても発生していた点や、Zoomのプライバシーポリシーにこの情報が記載されていなかった点が大きな問題となりました。
対策
この問題は2020年3月27日にリリースされたiOS版Zoomアプリ(Ver4.6.9)で修正され、iOS版ZoomアプリからFacebook SDKは削除されました。また3月29日には、Zoomのプライバシーポリシーにおいて「データの扱い」が説明されています。
(参照:Zoom社 iOS版リリースノート https://support.zoom.us/hc/en-us/articles/201361943 、
プライバシー保護方針 https://zoom.us/jp-jp/privacy.html )
2. WindowsのUNCパス漏えいに関する脆弱性
現象
Windows版のZoomアプリで一定の条件が揃うと、Windowsネットワーク上の認証情報が漏えいするリスクがありました。
原因
Windows版のミーティング内グループチャット機能で、URLだけでなくUNC(Universal Naming Convention)パスもクリック可能なリンクに変換されてしまう場合がありました。これにより、なりすまし攻撃やWindowsネットワーク侵入を被るリスクが高くなっていました。ただし、この現象が起こる条件が揃う確率は、非常に低いことも知られていました。
対策
この問題は、2020年4月2日リリースのWindows版Zoomアプリ(Ver4.6.9)で修正されています。
(参照:Zoom社 Windows版リリースノート https://support.zoom.us/hc/en-us/articles/201361953 )
3. Macの権限昇格に関する脆弱性
現象
Mac版のZoomアプリは、ユーザーの承認を要求せずにインストールすることができました。インストール時にユーザーが非管理者であった場合、ローカルでの権限昇格が起こり、root権限を奪取するという問題も発生していました。
原因
Mac版のZoomアプリにおいて、インストーラーが「Preinstallスクリプト」を実行していたことが原因です。
対策
この問題は、2020年4月1日リリースのMac版Zoomアプリ(Ver4.6.9)で修正されています。
(参照:Zoom社 MacOS版リリースノート https://support.zoom.us/hc/en-us/articles/201361963 )
4. 通信がエンドツーエンド方式で暗号化されていない
現象
「通信はエンドツーエンド方式で暗号化されている」とZoomは発表していましたが、エンドツーエンド方式での暗号化が正しく行われていませんでした。AES-128-ECBという暗号化方式も利用していましたが、こちらは以前から脆弱性が指摘されていたものです。
原因
一部の機能が中継サーバーを経由して通信されていたため、ユーザーではなくZoomが暗号化の鍵を持っているなど、エンドツーエンド方式での暗号化が実現されていませんでした。
対策
2020年4月27日リリースのZoom(Ver5.0)により、2020年5月30日からサービス全体で最新の暗号化方式であるAES-256-GCMに対応しました。さらに、2020年10月26日リリースのZoom(Ver5.4)で、エンドツーエンド方式の暗号化に対応しました。ただし、すべての機能やアプリ、回線での接続がエンドツーエンド化されている訳ではありません。エンドツーエンド方式で暗号化を有効にするには、次の条件を満たす必要があります。
- すべての参加者がZoomデスクトップクライアント、モバイルアプリ、Zoom Roomsのいずれかを利用していること
- サードパーティ製アプリケーションを利用していないこと
- 公衆回線、電話、SIP/H.323デバイス、オンプレミス構成、Lync/Skypeクライアントを利用していないこと
また、エンドツーエンド方式で暗号化を有効にすると、次の機能は無効になります。 - ホストが参加する前にゲストが参加すること
- クラウド録画、ストリーミング
- ライブトランスクリプション(リアルタイムでの文字起こし)
- ブレイクアウトルーム(セッションの分割)
- 投票、リアクション、1対1でのプライベートチャット
(参照:Zoom社 ヘルプセンター https://support.zoom.us/hc/ja/articles/360043555772 、
https://support.zoom.us/hc/ja/articles/360048660871 )
5. Zoom Bombingの発生
現象
ミーティングに関係のない第三者が入り込み、ミーティングを荒らしたり、情報漏えいにつながったりする荒らし行為が起こるケースがありました。これは「Zoom Bombing(爆弾)」と呼ばれています。
原因
過去に開催された会議と同じミーティングID・パスコードやミーティングURLを使った場合、関係のない第三者でもミーティングに参加することができたことが原因です。不慣れなユーザーがミーティングのURLを公開してしまい、Zoom Bombingの標的にされた例もありました。
対策
Zoom Bombingは「適切な設定」により防ぐことができます。Zoomは2020年3月20日に「適切な設定を行うためのガイドライン」を公開し、周知を促しました。なお、安全性を高めるための適切な設定については、「Zoomの安全性を高める設定や使い方」の項目で詳しく説明します。
6. データセンターのカントリーリスク
現象
以前は、ユーザーが「経由するデータセンター」を選択することはできませんでした。これはユーザー情報管理の観点から見て、カントリーリスクが存在するといえます。
原因
利用するデータセンターをユーザーが選択できなかったことが原因です。
対策
この問題は2020年4月25日に対策され、ユーザーが「利用するデータセンター」を選択できるようになりました。利用できるデータセンターは、2020年11月9日現在で、米国(必須)、日本、豪、印、ブラジル、アイルランド、カナダ、中国、蘭、独、シンガポール、香港の12箇所です。なお、データセンターとして選択していない地域からも、Zoomミーティングに参加することはできます。
(参照:Zoom社 ヘルプセンター https://support.zoom.us/hc/ja/articles/360042411451 )
Zoomの安全性を高める設定や使い方
度重なるアップデートにより、Zoomの安全性はかなり向上しました。さらに、ユーザー側で設定や利用方法を工夫することで、より高い安全性を確保することが可能です。ビジネスユーザーの場合は、次のような対策を施しておくことをお勧めします。
待機室機能を有効化する
ミーティングの開始前に待機室を有効にしておきます。待機室は、ミーティング開始前にゲストが集まるスペースです。待機室を有効化しておけば、準備中にゲストが会議室に入ってしまうのを防ぐことができます。待機室にいるユーザーであっても、会議室に入るにはホストの承認が必要になるため、想定外のゲストや関係のない第三者の参加を防ぐことができます。
ミーティングURL、ID、パスワードの管理
ミーティングに必ずパスワードを設定し、ID、パスワード、ミーティングURLの管理を徹底します。というのも、これらの情報があればミーティングに参加できてしまうのです。これらの情報は、関係のない第三者に知られないようにしなければなりません。ゲストを限定することで、トラブルや荒らしを防ぐことができます。
個人ミーティングIDの管理
個人ミーティングID(PMI)とランダムのミーティングIDは用途によって使い分けます。PMIは自分専用のIDで、変更しない限り変わりません。ミーティングIDはミーティングを作成するたびに生成されます。公開ミーティングを開催するときには、招待するゲストにのみランダムのミーティングIDを公開するようにします。関係のない第三者にPMIを知られてしまうと、Zoom Bombingの標的にされる危険性があります。
登録したユーザーのみをゲストとして参加可能にする
ミーティングのホストは、ゲストを「Zoomに登録したユーザー」または「ドメイン認証されたユーザー」のみに制限することができます。これにより、関係のない第三者の参加を防ぐことが可能となります。
セキュリティメニューを活⽤する
ホストのコントロールバーにセキュリティコントロール機能がまとめられ、管理しやすくなりました。ここから、ミーティングのロック、画面共有やチャットの管理、ゲストの管理など、ミーティングのセキュリティを管理することができます。
ミーティングをロックする
ゲストが揃ってミーティングを開始したら、それ以降の参加者をブロックします。これにより、関係のない第三者の参加を防ぐことが可能となります。
参加者の機能を制限する
Zoomでは、ゲストであってもホストと同様に、ミーティング中の画面共有、音声での参加、ファイルの送受信などの操作が可能です。しかし、これらの機能を悪用されると個人情報の流出や荒らし、トラブルの原因になるため、ホストのみ利用できるように制限します。例えば、次のような制限を設けることが可能です。
- ゲストの画面共有を制限する
- ゲストの音声をミュートする
- ミーティング中のプライベートチャットを無効にする
- 注釈機能を無効にする
- ファイルの送信を禁止する
共同ホストの設定
ミーティングや参加者の管理に協力が必要な場合は、信頼できるゲストを共同ホストにすることができます。共同ホストは、ホストと同じ権限、制御機能を持つことが可能です。
ミーティング開催中に問題のある参加者を削除する
ミーティング中に不審な行動を取る参加者がいれば、ミーティングを維持したまま強制的に退席させたり、削除したりすることが可能です。
ミーティングを中断して問題のある参加者を削除する
ミーティング中に問題のある参加者を発見した場合は、ミーティングを一時中断して問題のある参加者の存在を報告し、その参加者を削除することが可能です。
Zoomを最新のバージョンに保つ
Zoomアプリは常に最新版にアップデートしておきます。何らかの脆弱性が発見された場合、アプリのアップデートにより対策が施されるのが一般的です。常に最新版のアプリを利用することは、最も簡単なセキュリティ強化方法といえます。最近の例では、ZoomがSNSやWebサイトを定期的に巡回し、ミーティングのURLが公開されていないかをチェックする機能が追加されました。公開されているミーティングが見つかった場合は、アカウントの所有者や管理者にメールで警告が届く仕組みになっています。
まとめ:Zoomはアップデートや設定で安全に利用できる
ビジネスでも、それ以外の用途でも、Zoomの利用はますます増えていくと思われます。よって、安全性を確保しながら利用する方法を学んでおく必要があります。過去に問題となった脆弱性はアップデートにより対策されていますが、より安全性の高い設定にしておくと、さらに安心してZoomを使えるようになります。
