新型コロナウイルス(COVID-19)の世界的な流行により、日本でも多くの企業がテレワークへの移行を進めています。
この状況で特に注目を集めているのが、WEB上で会議を行えるミーティングツールの存在。
中でも「Zoom」は人気が高く、品質の高さや導入の手軽さから、幅広い企業・団体間で利用されています。
しかし利用者が急増したことで、不正ログインや情報流出といったセキュリティホールの問題が懸念されるようになりました。
ここでは、Zoomで指摘されているセキュリティホールの内容と、現在の対策状況について解説。
スムーズにWEB会議が進められるよう、セキュリティホールに関連する正しい知識とZoomの安全な使い方を覚えておきましょう。
Contents
Zoomにおけるセキュリティホールの問題
Zoomは以前より高機能なミーティングツールとして人気を集めていましたが、2020年に入ってから急激に利用者数を増やしています。
まずは、Zoomの利用が拡大した背景と、セキュリティホールの概要について詳しく見ていきましょう。
テレワーク需要の高まりとともに注目を集めたZoom
Zoomの導入が急速に進んでいる大きな理由の1つが、新型コロナウイルスの流行です。
世界的な感染拡大によって日本国内でも緊急事態宣言が発令され、多くの企業や店舗、活動が自粛に追い込まれました。
そんな中で注目を集めるようになったのが、ZoomをはじめとするWEB会議・ミーティングツール。
ZoomにはWEB会議・テキストチャット・画面共有などの機能が備わっており、自宅にいながら遠隔地の相手とコミュニケーションをとることができます。
導入も比較的簡単なため、自宅待機を実施している企業を中心に利用が拡大しているのです。
セキュリティホール(脆弱性)とは
新たな働き方をサポートするツールとして注目されるZoom。
一方で、利用者が急増した2020年3月~4月にかけ、セキュリティホールや脆弱性の問題が相次いで指摘されるという事態も起きています。
セキュリティホールとは、コンピューターのOSやソフトウェアに発生するセキュリティ面の欠陥のこと。
プログラムの不具合や設計上のミスによって、本来は操作できない部分を操作できてしまうといった状態を指します。
また外部からの攻撃に対する弱点となる部分を脆弱性と呼びます。
利用者の増加と同時に悪意のあるユーザーの利用が増えたことも、セキュリティホールの問題が表面化した原因の1つと言えるでしょう。
Zoomが指摘を受けたセキュリティホールの具体的な内容と対策について、次の項目で確認していきましょう。
指摘されたセキュリティホールの一覧と対策
Zoomはセキュリティホールや脆弱性の指摘内容について謝罪と対策を発表しました。
そして90日間にわたってZoomの機能を凍結し、新機能の追加に費やしていたリソースの全てをセキュリティ強化に当てたのです。
現在は強化後の最新版Zoom(バージョン5.0)が発表され、セキュリティホールの心配もなくなりました。
では、具体的にどのようなセキュリティホールが指摘されたのか、その内容を詳しく見ていきましょう。
Facebookへの情報流出
ZoomにはFacebookのアカウントを使ってログインできる機能が備わっています。
この際、ユーザーが利用しているデバイスの情報などがFacebookへ送信されているという指摘がありました。
Facebookアカウントを持っていないユーザーであっても、デバイスの情報が流れていたとされ、Zoomはこのセキュリティホールについても謝罪しています。
対策としてZoom側はFacebookの提供する開発ツール(SDK)の使用を中止し、プログラムを修正しています。
またFacebook側へ過去の情報も含め全て削除するよう依頼も進めているようです。
なお、上記でFacebookに送信された情報はあくまでデバイスのOSなど端末に関する情報であり、個人情報は含まれていないとのことです。
Windowsのログイン認証情報の流出
Windows版のZoomアプリにおいて、UNC(Universal Naming Convention)パスの処理に関する脆弱性も明らかになりました。
悪意のあるユーザーが書き込んだUNCリンクにアクセスすることで、ログイン認証情報を盗まれる可能性があるといった内容です。
現在はUNCリンクがクリックできないように変更されており、脆弱性の問題は解決しています。
但し、上記の攻撃が成立するには、事前に攻撃される端末が特定のマルウェアに感染している、という条件が前提となるため、実際に攻撃を受けるリスクはかなり低いものだったようです。
エンドツーエンドによる暗号化の不完全性
エンドツーエンドによる暗号化とは、参加者同士の間で通信内容が暗号化されている状態のこと。
Zoomは「エンドツーエンドで暗号化している」と発表していましたが、実際は端末間の暗号化は行われていたものの、厳密にはエンドツーエンドの暗号化とはいえないものでした。
例えばクラウド上で録画などの操作を行う際は、一度クラウド上で暗号化を解かなければいけないといったケースがあります。
このとき、暗号化が解除されている部分へZoomの管理者などがアクセスできる可能性があるのです。
Zoom側は表現の誤りを謝罪し、年内提供を目標にお客様側で暗号鍵の管理ができる仕組みの開発を進めています。
中国のデータセンターへ接続される可能性
Zoomはサービスの負荷を軽減するため、世界17か所のデータセンターと連携を行っています。
日本国内での負荷が高まった場合に海外のデータセンターへ接続する形となっており、通常は海外のデータセンターへつながることはありません。
しかし2020年2月に中国のデータセンターを拡張した際、特定の条件下において中国のデータセンターへつながる状況となっていたのです。
Zoomは人為的なミスであったと謝罪を行い、プログラムが修正された現在は中国のデータセンターへつながることはなくなりました。
また、4月からは接続先のデータセンターをユーザーが限定できる機能も提供されています。
Zoom製品を安全に利用するためにできること
Zoomは現在もセキュリティ強化のためにリソースを割き、指摘された問題以外のリスクも踏まえ徹底的な見直しを進めています。
使いやすさ重視のアプリからセキュリティ重視のアプリに生まれ変わることで、よりビジネスシーンでの活躍の幅が広がるようになるでしょう。
とは言え、悪意のあるユーザーも新たな方法での迷惑行為を企てる可能性は十分に考えられます。
迷惑行為のリスクを避けるためにも、以下のようなポイントに注意しながら利用しましょう。
最新バージョンがリリースされたら必ず更新する
Zoomではセキュリティホールや脆弱性の改善が行われた新しいバージョンの発表が行われています。
現在の最新バージョンは「5.0」となっており、2020年5月30日までにアップデートするよう告知が出されました。
既に期日が過ぎているため、古いアプリをアップデートしないと会議に参加できなくなっています。会議前ではアップデートする時間を取られるため、事前にZoomの公式サイトからアップデートを行うようにしましょう。
ZoomのミーティングIDやURL、パスワードは限られた人にのみ知らせる
Zoom Bombingなどの攻撃を避けるため、会議には必ずパスワードを設定し、参加者以外に情報が流れないよう注意しましょう。
また参加者側は、送られてきたURLが正規のものであるか、ドメイン名や差出人を確認することをおすすめします。
偽のURLを誤ってクリックし、重要な情報が盗まれてしまうといったトラブルに注意が必要です。
まとめ
- 2020年3月~4月にかけてZoomのセキュリティホール(プログラム上の欠陥)が相次いで指摘された
- 現在はセキュリティホールの問題が改善された新バージョン「5.0」が発表されている
- 常に最新版をインストールするなど、個人でも安全な利用を心がけることが大切
Zoomは少人数の利用から大規模な企業のミーティングまで、様々なシーンで活用できるアプリです。
現在はビジネスの場でも安心して利用できる状態になっているので、ぜひこの機会に導入を検討してみてくださいね。
※記載されている会社名および製品名は、各社の商標または登録商標です。
SymphonictとはNECネッツエスアイが提供する、「共創でお客様のビジネスに新たな価値を提供する」をコンセプトに先端技術やサービスを繋ぎ・束ねることでIT・デジタル変革技術やツール・システムを皆様にお届けするデジタルトランスフォーメーション(DX)サービス。→Symphonictに関してはこちら
※免責事項
本コンテンツは一般的な情報の提供を目的としており、法律的、税務的その他の具体的なアドバイスをするものではありません。個別具体的事案については、必ず弁護士、税理士等の専門家にご相談ください。
本コンテンツの情報は、その情報またはリンク先の情報の正確性、有効性、安全性、合目的性等を
補償したものではありません。
また、本コンテンツの記載内容は、予告なしに変更することがあります。
Zoomの国内販売店第1号。ついに契約企業数22,000社突破!!
