Zoomセキュリティ問題のまとめ【個人でできる対策付き】
この記事の目次
Zoomセキュリティ問題
こんにちは、みすたーがっぱいです!
コロナ騒動が巻き起こってからというもの
Zoomは驚異的にweb会議システムでのシェアを伸ばしてきました。
その数はなんと利用者1000万人 → 2億人。
本当に驚異的です。
Zoomはその特徴である「手軽さ」からテレワークに移行した
会社の会議や学校の遠隔授業などで使われまくっています。
しかし、この数日間はZoomのセキュリティ面での問題が注目されてきました。
この問題は多くの記事で取り上げられ、各種SNSでも大量にシェアされています。
そこで、この記事では一連の
「Zoomのセキュリティ問題」をまとめたうえで、その対策を示しつつ
更にヘビーユーザーである私の所感を述べていきます!
動画編
記事の内容はYouTubeでも解説しています。
セキュリティの問題は冒頭と最後に、アップデートの方法は中盤をご覧ください。
Zoomが指摘された問題
Zoomが指摘されている問題は主に4つあります。
ここがポイント
② Macカメラにアクセスできる
③ UNCパス処理に関する脆弱性
④ 不完全な暗号化
まずはそれぞれを解説します!
1.Zoom Bombing(Zoomボム)
Zoomボムはいわゆる「荒らし行為」のことです。
具体的にはこんなウソのようなことが実際に起こってます(>_<)
さらに詳しく
・会議に乱入して個人情報を曝露する
・会議に乱入してポルノ映像を流す
こんな事態は他のWeb会議システムではありません。
何故Zoomでこのような問題が起こるのかというと
「URLクリック」のみで会議に参加できるからです。
もちろんURLクリック後にパスワードを設定できますが
Zoomの特徴「手軽さ」を活かすために設定されないケースがほとんどです。
そのため会議のURLをSNSなどで公開しており
さらにパスワードを設定していないと誰でもカンタンに侵入できちゃうのです。
またZoomの参加方法には”URLをクリックする”以外にも
”ミーティングID(9桁)を入力する方法”もあるので
→ アップデートで11桁に変更
悪意をもったユーザーが適当に入力した番号で運悪く
入室されてしまうケースもなきにしもあらずなのです。
※ちなみに9桁の数字が当たる可能性は「10億分の1」。
→ ※ちなみに11桁の数字が当たる可能性は「1000億分の1」。
そのためURLを公開していなくても乱入されてしまうリスクが少なからずあります。
2.Macカメラにアクセスできる
この問題はZoomがワンクリックで会議に参加できるようにするために
ユーザーにアプリ起動の許可なく
ビデオ映像にアクセスできる設定になっていたことが原因です。
このケースは事前に標的のPCをマルウエアに感染させる必要があるため
リスクがものすごく高いというわけではなさそうです。
またこの問題については既にAppleが対応しており
OSのアップデートにより防ぐことができます。
3.UNCパス処理に関する脆弱性(Windows)
Windows版デスクトップアプリでは
チャット機能で送られてきたリンクをクリックすると
認証情報を盗まれたり、ファイルを実行されたりするリスクがあります。
この問題はZoomのアップデートによって既に対応されているので
今すぐにZoomアプリのアップデートを行ってください。
やり方が分からない方は以下の記事からどうぞ。
4.不完全な暗号化(エンドツーエンドではない)
Zoomはセキュリティ機能が「エンドツーエンドで暗号化済み」と説明していましたが
実際には完全な暗号化には至っていませんでした。
エンドツーエンドの意味は以下です。
エンドツーエンド暗号化(英語: end to end encryption, E2EE、E2E暗号化)とは、暗号化を使用する利用者のみが鍵を持つことで、サービスの管理者、インターネットサービスプロバイダ、第三者が通信内容を盗聴できないようにする技術である。これにより、インターネットを経由して送受信しているデータを途中で傍受されても、復号が事実上不可能になり、プライバシーとセキュリティが保護できる。
「"エンドツーエンド暗号化"」『フリー百科事典 ウィキペディア日本語版』より。
"最終日付(更新日付)"2020年3月30日 (月) 23:02
URL: http://ja.wikipedia.org/
セキュリティ対策を万全にしたい人にとって、この問題は大きいでしょう。
個人でできる対策
と悩んでしまう方も多いのではないでしょうか?
ここではZoomを安全に使うために個人でできる対策を解説します!
1.Zoomをアップデートする
まず1番始めにやるべきことは「Zoomアプリをアップデートする」です。
先ほど出てきた「チャット機能」の問題はアップデートで対応できます。
アップデートの方法は以下の記事を参考にして下さい。
アップデートするとセキュリティ対策やバグの修正だけじゃなく
新機能も使えるようになるので欠かさずにチェックするようにしておきましょう!
2.パソコンのOSを最新版にする
続いて、WindowsやMacのOSを最新版にしましょう!
先ほど述べたMacカメラの問題もOSのアップデートで対応済みになっています。
「1.Zoomアプリのアップデート」と合わせて必ず行いましょう。
3.参加リンクを公開しない
主催者の設定次第では「URLをクリック」するだけで会議に参加できます。
そのため参加リンクがSNSなどで公開されていると
誰でも入室できる状態になってしまいます。
これは例えるなら「家の鍵をかけない」状態と同じです。
いいやつ・悪いやつ限らず入り放題、、僕は絶対にイヤだ・・・
ツイッターで参加リンクが公開されているものをよく見かけますが
ご自身の信頼問題に発展する可能性もあるので絶対にやめるべきです!
その他にも以下のような対策ができます。
解決策
・パスワードを設定する
・待機室を利用する
・画面共有をオフにする
・チャット機能をオフにする
・参加者が揃ったらミーティングをロックする
詳細は以下の記事で解説してます!
4.機密性が高い会議は他のツールを使う
何度も言いますがZoomは「手軽さ」がウリです。
セキュリティ面の強さという観点では
SkypeやGoogle Hangoutsなどの他のソフトに軍配があがります。
なので、十分にプライバシーに配慮する必要がある場合には
他のアプリを使うのが無難です。
アカウント登録などの手間は発生しますが基本的な操作方法は変わりません。
あとで後悔しないためにも状況と目的に合わせてツールを選択するようにしましょう。
Zoomは使わない方がいいのか?
これまでZoomが指摘された問題とその対策について述べてきました。
ここがポイント
→ 参加リンクを公開しない、パスワードを設定する
・Macカメラにアクセスできる
→ MacOSをアップデートする
・UNCパス処理の脆弱性
→ Zoomアプリをアップデートする
・不完全な暗号化
→ 機密性の高い内容は他のアプリを使用する
結局のところZoomは使わない方が良いのでしょうか?
これからはweb会議やセミナーがより活発になっていきます。
そうなると、これまでテレワークに触れてこなかった人たちも
否応なしにweb会議システムを使用することになります。
そんな中で「手軽に」参加できるZoomはとても貴重なツールです。
web会議は「便利さ」が特徴の1つ。
そんな中で「IDがわからない」とか「会議室に入れない」、「操作方法を教えて~」
なんていう問い合わせが殺到すると運営側は完全にまいっちゃいます。
こうなるとWeb会議の特徴を犠牲にして会議を行うので
結局「やっぱり直接集まった方がいいよ」という結末になるでしょう。
私の結論は「状況と目的に合致するならZoomを使いましょう!」です。
これはZoomに限らず他のツールすべてに言えることです。
例えば
という状況と目的であれば断然Zoomを使うのがオススメです。
ダラダラと飲みながら話す日常会話には高い機密性はありませんし
そのためにわざわざアカウントを作って連絡先を交換するのは面倒だからです。
Zoomを使う際は、必ずアプリをアップデートしたうえで
主催者が適切な配慮を行って使うようにしましょう。
コロナウイルスの影響はまだまだ続きそうです。
充実したテレワークを送るためにweb会議システムを使えるようになりましょう!
参考記事
https://wired.jp/2020/04/03/zoom-backlash-zero-days/
https://www.bbc.com/news/technology-52133349
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
Maybe we shouldn’t use Zoom after all
Ex-NSA hacker drops new zero-day doom for Zoom
それでは。
