Zoomに脆弱性！基本的な設定を見直そう

新型コロナウイルスの対策で、一気にZoomというソフトウェアの利用が増えました。
世界的に利用者が著しく増えています。オンライン会議として手軽に使えて、URLをクリックするだけで参加できるので便利です。

しかしその便利さの裏をかいて、嫌がらせや脆弱性を突くというトラブルが報告されています。
では、何が起こっていて、どう対処すればいいのでしょうか。

Pマーク（プライバシーマーク）の取得コンサルを生業としている当社には「ビデオ通話ツールはなにがお勧めですか？」「ZOOMって何が危険なんですか？」などなど連日多くのご質問をお寄せいただいております。

今回の記事が少しでも皆様の参考になれば幸いです。

｜Zoomとは？

Zoomとは、オンラインWeb会議サービスです。

無料で使える代わりにサーバーが強固で、世界中で利用者がいるのにサーバーが落ちません。数千人～数万人が一斉に使っても、サーバーが落ちる心配はありません。

これは画期的なことで、そうした堅牢なサービスである点や、手軽さ、そしてオンライン会議のニーズなどから、世界中で今、まさに今、使われているのです。

従来から使われていたSkypeと一緒？と思われる方も多いかと思いますが、Skypeとの大きな違いは、インストール不要であるという点、IDとパスワードもいらない点です。

Skypeはまだまだインターネット回線が太くなく、パソコンに慣れた人が使うのが当たり前の時代にできたソフトウェアですから、インストール型かつID型なのです。

しかしZoomは、インターネット利用者の急増を受けて、クラウド型に特化し、サーバーですべてを処理する代わりに、利用者はクリックひとつで参加できるという手軽さでウケました。

他にも、インストールして使うオンプレミス型のWeb会議などがあります。そうしたオンプレミス型のWeb会議製品は、安定性が抜群によく、サービスが落ちない代わりに、参加者全員が何かしらのアプリをいれなければならないという手間があります。

しかし、会議に参加する人の全員が、ITリテラシーを持っているとは限らないのが昨今の事情です。スマートフォンで参加する人や、パソコンがあるけれど、電源の付け方ぐらいしかわからない、いちいち操作するたびに人に聞かなくてはならない・・・そんな人も、自粛のムードの中で在宅になっています。

そんな世の中で、ZoomはURLをクリックするだけでWeb会議に参加できるという手軽さでウケています。クリックだけならできない人はいませんので、これ以上ないぐらいシンプルに簡素化されているのです。こうした手軽さで爆発的にヒットしました。

｜Zoomに見つかった脆弱性とは？

そのZoomに、脆弱性が見つかりました。Zoomは、会議室への参加URLの番号が6桁のため、適当に番号を打ったら、知らない人の会議室に参加できてしまうのです！これは大きな問題です。今のように一斉に世界中でWeb会議が使われているのであれば、どこかで誰かの会議に参加できてしまいます。

さらに、会議運営者にはメールアドレス、パスワード、ミーティングIDなどが必要ですが、そのデータも外部に流出が確認されています。

そして一番致命的なのが、会議室のチャットに貼り付けられたデータを某国に送っているというバグです。これはバグと言うよりアプリの信頼性に根本から関わる問題で、これをみても、Zoomをただで使うのは非常にリスクがあると考えていいでしょう。”no free lunch（タダ飯はない）”という言葉がビジネスにはありますが、まさにそれです。

｜海外のダークウェブでアカウント販売？！

海外のダークウェブでは、流出したZoomのIDとパスや諸情報が売られていることも確認されています。

参照：50万超えるZoomアカウント、ダークWebで販売 – 漏洩の確認を

その数はなんと50万アカウントを超え、多くがアクティブな、生きたアカウントであることも確かめられています。どのようなソフトウェア・アプリにもバグは存在しますが、こうしたトラブルは、非常に大きなものです。

現に、GoogleやMicrosoftでは、Zoomを社内会議で使わないようにと発布され、利用禁止の会社も非常に多いのです。日本のIPA、独立行政法人 情報処理推進機構も、警告を出しています。

参照：Zoom の脆弱性対策について

｜なぜ脆弱性が？

それでは、なぜ脆弱性が存在し、発覚したのでしょうか。URLの会議室番号が６桁しかないというもともとの設計もさることながら、オンライン会議の高まりを受けて、ランダムで会議室に侵入し、ZoomBomb（ズームボム）と呼ばれる嫌がらせをするだけして、ストレスを解消する一般の人が増えたのもあります。

ハッカーもクラッカーも狙っていますし、一般の人もコロナ自粛で疲れているのです。そうしたことから、世界的にZoomを狙った嫌がらせも非常に増えていると考えられます。

｜いまから取れる対策

では、Zoomを使った嫌がらせを防御するにはどうしたらいいのでしょうか。ひとつは、セキュリティパッチが当てられた最新版にバージョンアップすることです。Zoom側もさすがに米国市場に上場している企業ですから、対策を取っています。バージョンを最新にして、ガードしましょう。

さらに、バーチャル会議室にはパスワードロックをかけられます。会議室のオーナーは、ロックをかけてパスワードを知っている人だけが会議室に入ることができるという形をとれます。しかし、学校の大規模オンライン会議や、極めて大勢が参加する場合には、パスワードは人為的に漏洩しがちです。

それでも、パスワードはないよりはよく、会議室のオーナーがひとりひとり出席を取る感覚で、IDを確認していってもいいかもしれません。いずれにせよ、サービスだよりの手抜きはよくありません。

平常時なら、そうした「ひとりひとり管理するのが面倒」という手間を、サービス側が巻き取ってくれることでより便利なサービスへと進化していきます。しかし、コロナの緊急事態や、セキュリティが問題になっているタイミングなどでは、そうした「進化」がセキュリティ上のボトルネックになりがちです。

取れる対策を取って使い続けるか、後発の別のサービスを使うか・・・選択は自分次第ですが、いま、セキュリティの問題があまりにクローズアップされている中、Zoomを使い続けるのはしんどいのではないでしょうか。なぜなら、外部から見たとき、「まだZoomを使っている」と思われる可能性があるからです。

｜それでもZOOMでオンライン会議をするなら

Zoomを使い続けるとしましょう。取れる対策をみていきます。

●チャット自動保存をオフ
●注意のトラッキングをオフ
●バーチャル背景を利用
●ミーティングIDの非公開
●ミーティングのパスワード化
●画面共有は制限
●待機室の利用
●ミーティングロック

これらで、対処する必要があります。
これらはすべて、会議室のオーナーが行うべきことです。参加者の利便性を取るならば、オーナーが会議のセキュリティを担わなければなりません。

これらの対策が講じられていますので、Zoomを使い続けるという選択もありでしょう。
一旦落ちた信用は取り戻すのが大変なので、Zoomがどこまで頑張れるか、これからの進化に期待ですが、そもそもチャットログを外部に送信するのは、プライバシーやサービスの信頼性の部分で、どうかと思われます。

｜最後に

GoogleやMicrosoftも、同じくチャットツールを出していますので、これをきっかけにそちらに乗り換えるという選択もあるでしょう。いずれにせよ、セキュリティの問題が浮上することは間違いありませんので、「みんな使ってるし実際大丈夫かな」と思われても、少なくとも今は導入を慎重に検討することをお勧めします。
警戒を怠らない姿勢は信頼につながります。

いま、リモートワークが盛んですが、こういうときこそセキュリティ意識が問われます。
他に重要なセキュリティ指針としてPマーク（プライバシーマーク）やISMS(ISO27001)があります。
その重要な第三者認証を取るのに、弊社UPFは全面バックアップいたします。

ちなみに弊社ではオンラインでのコンサルティングにZoomよMicrosoftのTEAMSやGoogleのHangouts Meet、ベルフェイスし推奨しております。

※ZOOMを使う場合は少なくともパスワード設定を必須にし、またスマホからは危険なので注意が必要です。

どれも使ってみれば簡単でセキュリティの強いサービスですのでオンラインでもコンサルティングを実施していますので、PマークやISMSの情報収集の際はぜひお気軽にお問い合わせくださいませ。

■こちらの記事もおすすめです

>>【テレワークで今こそ覚えたい【ネットワークのセキュリティ対策】】