【5/15】Zoomのセキュリティへの指摘が次々と。現在の懸念点や対策は?

【5/15】Zoomのセキュリティへの指摘が次々と。現在の懸念点や対策は?

注意事項
・本コンテンツは一般的な情報の提供を目的としているため、弊社が関与していない取組みを含みます。
・記事内に使用されている写真・画像はイメージです。実際のプロダクトやサービスで提供される内容とは異なる場合があります。
・本ブログの内容については、記事掲載時点での情報に基づく記載となります。そのため製品に関する内容については、バージョンアップなどにより画像や操作手順等が現行のものと異なる場合がございます。

※Zoom及びZoom名称を含むサービスはZoom Video Communications, Inc.が提供するサービスです。

2022年7月15日よりzoomは無料ラインス契約の場合、参加者2名のミーティングの場合であっても40分制限がかかるようになります。(従来は3人以上のミーティングの場合のみ)
ビジネスにZoomをご利用いただいている企業・団体様はこの機会に有料ライセンスへの切り替えをご検討ください。→お問い合わせはこちら

Zoom社は2020年4月にいくつかのセキュリティへの懸念やプライバシーポリシーの問題への指摘を受け、「Zoom 5.0」へのアップデートを行いました。

この記事では指摘された問題について、そしてそれら問題に対するZoom社の対策や解決内容について詳しく解説しています。

Zoomにおけるセキュリティやプライバシー面での問題とその対策とは

全世界に流行している新型コロナウイルスの感染拡大により、緊急事態が発令され、多くの企業や店舗が休業や自宅待機という状況に見舞われました。

そんな状況において急激に需要が高まったのが、Web会議・ミーティングツールであるZoomです。

自宅にいながらコミュニケーションやミーティングを簡単に行えるとあり、多くの企業や会社が導入し、去年12月時点では1日当たり延べ1000万人のユーザーが会議に参加していたのが、4月には1日あたり延べ3億人へと、一気に30倍にも膨れ上がりました。

そんなZoomですが、2020年3月から4月にかけてアプリの脆弱性やセキュリティ上の懸念、プライバシー面での問題が世界中から次々と指摘される事態が起こりました。

ZoomのCEOであるEric S.Yuan氏はこのセキュリティの懸念について謝罪し、Zoom顧客のセキュリティやプライバシーを保護することに全力で当たることを約束。

その中身とは90日間の昨日凍結を発表し、新機能開発などのリソースを全てこのセキュリティやプライバシー面での懸念の解決のために当てることとなっていました。

結果としてZoomは4月中に4度ものアージョンアップを行い、同月27日には「Zoom 5.0」へのバージョンアップを発表しました。

現在はZoomのセキュリティやプライバシー面での懸念はほぼ解決されたと評価されており、批判は急速に収まってきています。

【改善済み】指摘されていたセキュリティやプライバシー面での問題は5つ

現在「Zoom 5.0」へのバージョンアップにより急速に解決しているセキュリティやプライバシー面での問題。

そのセキュリティやプライバシー面での問題とはどのようなものだったのでしょうか。

大きく問題点を挙げると以下の5つになります。

  1. iOSバージョンのZoom アプリのユーザーの分析情報がFacebookに送信されていた
  2. ZoomアプリのWeb会議が厳密にはエンドツーエンドの暗号化となっていない問題
  3. Windowsユーザーのネットワーク認証情報が盗まれる可能性がある問題
  4. 画面共有時に「参加者追跡」機能を使い参加者がメインウインドウにいるかどうかを追跡できる問題
  5. “Zoom爆弾”と呼ばれる荒らしや会議ジャックされる事態の発生

OSバージョンのZoom アプリのユーザーの分析情報がFacebookに送信されていた

この問題とはiOSアプリをユーザーが開いた時にZoomの利用習慣の分析データ(個人情報ではない)をFacebookに送信していたという内容です。

Zoomはログイン時に「Facebookでログイン」機能を実装していますが、この機能が本来不要であるユーザー情報を収集していたというもの。

主な利用習慣データの中身は使用しているデバイス名や通信会社名などであるとされています。

出席者、氏名、メモなどのミーティングに関連する情報やアクティビティは含まれていなかったようです。

特に問題視されたのはそのユーザーがFacebookアカウントを持っていなくても関係なく送信されていたという点。

このプライバシーポリシーに関する問題への指摘を受けZoomはシステムコードを削除。

現在はそのような問題は起こりません。

Zoomアプリの厳密にはエンドツーエンドの暗号化となっていない問題

Zoomはこれまでユーザーのセキュリティはエンドツーエンドの暗号化により守られていると発表していましたが、実際には端末間の暗号化は行われているものの、暗号鍵がZoomのサーバー側に保持される仕様であったことから、厳密にはエンドツーエンドの暗号化とは呼べないのではないか、といった批判を受けました。

暗号鍵がZoomのサーバーに保持されていると、Zoom社側で暗号を解いて情報が入手できてしまう可能性があるとの懸念です。

これに対しZoom社は3月末にプライバシーポリシーを更新し、過去及び将来にわたってユーザーの会議データーにアクセスすることは無いことを明言しました。また新しいバージョンの「Zoom 5.0」では、端末間の暗号化アルゴリズムを最新の「AES-256 GCM」にアップデートを行い、より強固な暗号通信が行われるようになりました。

Windowsユーザーの認証情報が盗まれる可能性がある問題

こちらの問題はWindowsユーザーが3月上旬までの古いZoomアプリを使用した場合に、セキュリティの脆弱性があるというもの。

UNCパスインジェクションというパスがチャット機能に実装されており、これを利用してクラック(ハッキング)されるとユーザーの認証情報(パスワードなど)が漏洩する可能性があるというものです。

ただしこのハッキングの成功には、事前にあらかじめマルウェアが仕込まれたWindows端末を使用している人が攻撃者と同じ会議に参加して、かつチャット上で細工されたパスをクリックすることで初めて成功するもので、実際の被害に遭う可能性は非常に低いとも言われています。

こちらも3月下旬にバージョンアップにより解決済みです。

画面共有時に「参加者追跡」機能を使い参加者がメインウインドウにいるかどうかを追跡できる問題

これはWeb会議を開催しているホストが参加者が画面共有時にその画面を”きちんと”見ているかどうかを確認できる機能でしたが、批判を受けこの機能を削除しました。

主な内容としてはメインのウインドウまたはモバイルアプリ画面から30秒以上離れるとホストにアラートがいくというもの。

この機能は参加者を不必要に監視するものである、また参加者にはこの機能がわかりにくくなっているという点が問題視されたようです。

“Zoom爆弾”と呼ばれる荒らしや会議ジャックされる事態の発生

最後5つ目は様々なWebニュースにもなったこの「Zoom Bombing(ズーム爆弾)」と呼ばれる第三者からの荒らし行為が多発に関してです。

荒らし内容は不適切な発言を繰り返す、ポルノ画像を貼り付ける、画面共有を行い赤く塗りつぶすなどいたずら書きをするなど。

このような”荒らし”が起きてしまっていた原因はいたずらです。

Zoomは会議を開催する際に会議室に入ることができるURLを参加者に送り、それを参加者がクリックすることにより入室、会議に参加することができました。

しかしこのURLを例えば第三者や掲示板、SNSに書き込んで不特定多数に知らせてしまう「いたずら」を行う人間が現れました。

動機としては「面白いから」「学校や企業を困らせたかった」など。

でもこのような攻撃は、実はZoomに元々ある設定や機能を適切に使えば、十分に防げるものだったのです。

  • 待合室機能を使う
  • 会議にパスワードを設定する
  • 会議室をロックする
  • メールドメインによる参加制限

待合室は参加者をいったん、待合室と呼ばれる場所に待機させることにより、不特定な人間の乱入を防ぐというもの。

ホストが待機室の参加者に入室を許可することで会議がスタートできる仕組み。

またURLだけでの参加ではなく、パスワードを使えば、セキュリティ面は格段に向上します。
Zoom 5.0では、会議にパスワードを掛けるのがデフォルトになっています。

さらに会議中にロックを掛けることで、それ以降の参加者が会議に入ってこられないようにすることも。本当の会議室のようですね。

より強固に制限したい場合には、ユーザーがアプリへのログインに使うメールアドレスのドメイン名を指定する機能もあります。

Zoom5.0ではこれらのセキュリティ設定を、会議中に簡単に設定ができるように「セキュリティ」アイコン一つで操作できるようにするなど、更なる問題解決に努めています。

Zoom 5.0のアップデート内容まとめ

これまで解説してきた問題は先ほどお伝えしたようにZoom 5.0へのバージョンアップによりほぼ解決されているとみなされており、さらにZoom社がプライバシーポリシーを強化することにより現在は指摘や批判はほぼ収まっています。

上記の懸念点に対する解決や対策内容とも重複しますが、最新バージョンアップ「Zoom 5.0」の中身をご紹介していきましょう。

最大の変更ポイントは5つ

AES 256ビットGCM暗号が採用 最新のGCM暗号化が採用され、より安全にミーティング開催が可能に
不正ユーザー通報機能 不正ユーザーをZoomに通報可能に
新しい暗号化アイコンが表示 暗号化され、安全であるミーティングということがわかるように新しい暗号化シールドのアイコンが表示されるようになります
データセンター情報保護の強化 ミーティングやウェビナーの通信が経由するデータセンターを選択可能に
ミーティングの終了/退席時のアクション改良 ミーティングを終了する際や退席する際のアクションが改良され、誰が退席したのかわかりやすく改良。さらにホストを簡単に引き継げるようになりました。

ユーザーのセキュリティコントロールが強化

セキュリティ問題解決のため以下の機能が一か所に統合されました

  • ホストによる画面共有の有効化、無効化
  • ホストによるチャットの有効化、無効化
  • 参加者の名前変更の有効化、無効化
  • Web会議の進行中に待機室の有無を設定できるように
  • 参加者が揃った状態で会議室をロックし不正参加者を防ぐことができる
  • 問題ある不正参加者の通報とブロック

ミーティング保護のための変更点

  • ミーティング参加前の待機室がデフォルトで有効化
  • ミーティングIDが11桁に変更
  • パスワードが複雑化(最少で6文字に変更)
  • クラウドに録画保存する際にパスワードにより暗号化
  • ミーティングを録画する際にどのユーザーが録画しているか記録可能に
  • ミーティング参加者のメールや名前などを事前登録可能に
  • その他、細かい調整

まとめ

以上がZoomが指摘されたセキュリティやプライバシーポリシーに関する問題点、そしてそれに対する対応と解決に関する情報をまとめました。

また4/27に行われたZoom 5.0バージョンアップでかなりこれらの問題は解決したと言えるのではないでしょうか。

ユーザーは必ずZoomを 5.0にバージョンアップして使用しましょう。

これらセキュリティやプライバシーポリシーに関する問題点を聞くとZoomに不安を覚えるかもしれません、しかしこれらセキュリティやプライバシーポリシーに関する問題は他のシステムにも起こり得る問題です。

事実Zoomはこれらの問題を早急に解決、克服したことで、他のWeb会議ツールやシステムを大きく引き離し、世界中で指示されるツールとなっています。

Zoomは簡単な操作性や利便性は他のWeb会議ツールとは一線を画すものです。

これからもZoomのセキュリティやプライバシーポリシーに関するアップデートは行われていくでしょうし、それを追いつつ個々のユーザーも効果的な対策を身につけていくのが良いでしょう。

ユーザーが行っていくべきセキュリティ対策

  • Zoom 5.0に必ずバージョンアップする
  • Web会議を行う際にはパスワードを設定する
  • 待機室で参加者を確認してから入室を許可する
  • 画面共有やチャットなど、不要な場合はホスト側で制限をかける
  • 招待URLやミーティングIDをSNSで公開しない

※記載されている会社名および製品名は、各社の商標または登録商標です。

symphonict

SymphonictとはNECネッツエスアイが提供する、「共創でお客様のビジネスに新たな価値を提供する」をコンセプトに先端技術やサービスを繋ぎ・束ねることでIT・デジタル変革技術やツール・システムを皆様にお届けするデジタルトランスフォーメーション(DX)サービス。→Symphonictに関してはこちら

※免責事項

本コンテンツは一般的な情報の提供を目的としており、法律的、税務的その他の具体的なアドバイスをするものではありません。個別具体的事案については、必ず弁護士、税理士等の専門家にご相談ください。

本コンテンツの情報は、その情報またはリンク先の情報の正確性、有効性、安全性、合目的性等を
補償したものではありません。

また、本コンテンツの記載内容は、予告なしに変更することがあります。