Zoomを安全に利用する4つのポイント。Zoom爆弾や情報漏えいへ対処する。
新型コロナウィルスの感染拡大を受けて、ビデオ会議を提供するクラウドサービス「Zoom」の利用者が急増している。一方で、利用者が急増した反動で「安全面」への指摘も急増している。この一週間だけに限定しても様々な問題点が指摘された。本記事では、相次いで指摘されたZoomのセキュリティ不備に対して、いかに対応すべきかを記載する。
■相次ぐZoomの安全面への指摘
Zoomに関する主要なセキュリティ上の指摘は以下の四点が有る。
1) 暗号化に関する懸念
Zoom社は当初Zoomにおける通信は「エンドツーエンドの暗号化によって保護されている」と謳っていたが、セキュリティ業界からZoomの暗号化はエンドツーエンドの暗号化ではないのではないか?との指摘を受けた。「エンドツーエンドの暗号化」の本来の意味ではビデオ通信をしている二台のパソコンがあった場合に、この二台のパソコン以外から暗号化を復号化する手段が存在しない状態を指す。
しかし、Zoomのビデオ通信では暗号化鍵はZoom社が保有する暗号化鍵を用いて暗号化を実施しているため、Zoom社のサーバ内に保存されたビデオ会議の録画データを「技術的には」Zoom社が復号化することを意味している。
Zoom社の暗号化レベル自体はSaaSとしては一般的なレベルであるが、「エンドツーエンドの暗号化」ではなかったことは事実であり、この点について同社は謝罪している。
2) ビデオ会議に乱入されるZoom爆弾
Zoomでビデオ会議を開始する時に参加者にビデオ会議参加用のURLを通知するが、この時ビデオ会議参加用のパスワードを設定していないと、URLさえ知っていれば誰でもビデオ会議に参加することが可能であり、乱入者が暴言を叫んだり、露出行為を行う等が問題視されている。
急速に社会インフラ化しつつあるZoomだけに社会的な影響も大きく米国ではFBIが注意喚起を行ったり、米ニューヨーク市では大学での、遠隔授業にZoomを用いることを禁止するといった動きも出ている。
しかし、Zoom爆弾はビデオ会議主催者側がパスワードを設定するなどの方法である程度リスクを緩和することが出来る。これについては後述する。
3) パソコンの情報を不正に取得される脆弱性
ZoomのWindows版クライアントのチャット機能に、UNC(Universal Naming Convention)パスの処理に関する脆弱性が存在することが確認されている。
これは、サイバー攻撃者が準備した悪意の有るハイパーリンクをクリックすると、Windowsの認証情報を盗まれたり、任意の実行可能ファイルを起動されることが可能になる。
最新のZoomクライアント 4.6.9にアップデートすることでこの問題は解消できる。
4) ユーザデータの取り扱い
Zoom社は、ユーザーの承諾を得ずにユーザーの情報をFacebookに送信しているとして、米国で集団訴訟を起こされている。Zoom Appを起動したタイミングでFacebookに対して、Zoomユーザーが接続している都市とタイムゾーン、Zoomユーザーが使用している電話会社情報等を送信しているというもの。
■Zoomの利用は控えるべきか?
Zoomの特徴はその使い易さであり、ITリテラシーが低い人であっても利用出来ることが受けて、ビデオ会議としては後発ながら急速にシェアを伸ばしている。近年急速に注目度が上がったため、セキュリティの指摘が目につくが、Zoomのセキュリティに対する指摘は実は今に始まったことではなく、以前からも度々セキュリティの指摘が発生することは少なくなかった。
Zoomは急成長中のスタートアップであるため、セキュリティ投資よりも機能開発、ユーザー獲得に重点を置いていたものと推測される。これはZoomに限らずリソースの限られているスタートアップには良く見られる状況である。
では、Zoomの利用を辞めるべきか?と問われると、筆者はそうは思わない。新型コロナウィルスの感染被害は拡大する一方で有り、人がいかにして接触しないか?を検討することは非常に重要な「安全対策」で有り、ビデオ会議は重要な「安全対策の一つ」で有る。
ビデオ会議ソリューションは他にも幾つか存在するが、「誰でも簡単に使えるか?」という点は非常に重要であり、筆者の経験上、「誰でも簡単に使えるか?」という点においてはZoomは頭一つ飛び出していると感じている。現在の緊急事態においてビデオ会議は不特定多数の人や企業と実施することになるが、ビデオ会議システムによっては事前のID取得が必要であったり、会議の案内方法が不便だったり、資料の共有方法が分かりづらかったりと、操作方法につまずくことは少なくない。詳しい操作説明を聞いてなくても誰でもすぐに使えるというのは非常に重要なポイントである。
多くの企業にとって、Zoom以外のソリューションを選択するより、Zoomを安全に使う方法を検討する方が現時点では、現実的な解決策に成り得るだろう。
■Zoomを安全に利用するには?
ではどのように利用すれば良いか?Zoomを安全に利用する方法を記載する。
1) Zoomクライアントは最新の物を利用する
Zoomクライアント4.6.9より以前のバージョンには、UNCの不正利用リスクが存在するため、最新のバージョンを利用するようにする。
2) Zoomの利用ルールを決める
セキュリティの考え方の基本にデータ分類が有る。データの重要度に応じて安全対策を検討するという考え方だ。これはビデオ会議にも適用することが出来る考え方である。
全ての会議をZoomで実施するのではなく、議題に応じてZoomで実施すべきかどうかのルールを決めておくことで、Zoomの暗号化の不備等に対応出来る。
例えば以下のようなルールは多くの企業で適用することが出来るだろう。
・議題の機密性 低 例 営業訪問等
Zoomのビデオ会議のデータが暗号化されていなかったとしても、影響の少ないような会議体はZoomを活用すべきだろう。例えば新規顧客に対する営業訪問等はZoomに置き換えられるのなら置き換えてしまっても問題無いだろう。
・議題の機密性 高 例 機密情報、個人情報を含む資料の共有等
公開前の決算情報や、M&Aに関する会議、個人情報を含むマーケティングデータの共有等、情報漏えいが発生した際に企業の業績に影響を与えるようなデータの共有や会議に関してはZoom以外のチャネルを利用して資料を共有する等の対策を行う必要が有るだろう。現在のZoomの暗号化の仕組みでは、Zoom社自身に復号化されるリスクが存在する。
そもそも、こういった機密性の高い情報のやりとりは共有先は限定されている筈であり、ビデオ会議の仕組みに求められる要件も利便性ではなく、よりセキュリティに配慮された仕組みが優先されるべきであろう。
3) 会議用URLにはパスワードと待機室を利用する
Zoomで会議室を準備する際には、必ずパスワードと待機室を利用するようにしよう。これは「Zoom爆弾」に対する対策となる。
以下の設定を実施することでこれらの機能を有効化出来る。
・Zoomの新規会議をスケジュールする
・"ミーティングパスワード必須"と、"待機室を有効化"にチェックを入れる
4) 会議用URLをSNS等に投稿しない
最後にZoomの会議用URLをSNSに投稿しないように、ガイドライン等で周知する。
■セキュリティの基本は「人命は最優先で保護すべき」
今後もZoomは新たなセキュリティインシデントを発生させるかもしれない。セキュリティという側面だけにフォーカスすればZoomの利用は控えるべきという論調も増えるかもしれない。
しかし、本来セキュリティとは「守るべき資産に応じた対策を検討する」ことであり、企業において最も優先度の高い資産とは「人命」である。新型コロナウィルスという未知の脅威に対して考慮すべきは「情報漏えいのリスク」よりも「人命を失うリスク」なのである。
新製品の紹介をするために営業マンを客先に訪問させる行為は客先や利用した交通網にも感染リスクを広める行為に繋がってしまう。人が訪問しなくても済むような会議は極力Zoom等の仕組みを利用することを検討すべきだろう。