「Zoom」のセキュリティ・脆弱性の問題とは?ウェブ会議に使っても大丈夫?

「Zoom」のセキュリティ・脆弱性の問題とは?ウェブ会議に使っても大丈夫?

テレワークの推進などによってZoomの利用者が急激に増えましたが、セキュリティの脆弱性が指摘されることがありました。

この問題を解決するためにZoom社は、2020年4月にアップデートを行いましたが、「そもそもセキュリティ・脆弱性にどのような問題があったのか」「具体的にどうやって脆弱性が解決されたのか」と考えている人もいるでしょう。

そこで今回は、Zoomのセキュリティに関する脆弱性について詳しく解説します。

この記事は、次のような人におすすめの内容です。

  • Zoomのセキュリティの脆弱性が気になる人
  • Zoomのセキュリティ・脆弱性がどのように解決されたか知りたい人
  • Zoomを使った会議を考えている人

指摘されたZoomの脆弱性・セキュリティは解決に向かっている

Zoomのセキュリティや脆弱性が専門家から問題視されるようになったのは、2020年3月頃のことです。同年4月に4回のアップデートに行い、5月には指摘されたセキュリティや脆弱性に関する問題への対策は完了、または計画済みとなっています。

多くの企業がテレワークを導入し、web会議システムであるZoomの利用者は急激に増加しました。2019年12月現在の利用者はのべ1000万人ほど(1日あたり)でしたが、2020年4月にはのべ3億人に達したのです。

しかし、web会議システムZoomの需要が高まるにつれて、専門家からセキュリティや脆弱性に関する問題が指摘されたという流れです。

4月27日にアプリのバージョンアップが行われてからは、脆弱性などに関する世界的な批判は急速に収まっています。

Zoomのセキュリティ・脆弱性に関する問題は5つ

では、2020年3月頃に指摘されたZoomのセキュリティや脆弱性の問題とは、具体的にどのようなものだったのでしょうか。

この記事では、web会議システムZoomのセキュリティ・脆弱性に関する大きな問題を5つ解説します。

Facebookに利用情報が送信される?

これは、ユーザーがZoomアプリを開いたときのデータをFacebookに送信していた問題です。送信されたデータは個人情報ではなく、Zoomの利用端末に関する情報です。具体的には、Zoomの使用デバイスの種別や通信会社などの名前が送信されていました。

特に問題されたのはFacebookの利用者だけでなく、アカウントを持っていないZoomの参加者の端末情報も送信されていたことです。

認証情報が盗まれるリスクがある?

2020年3月上旬までに配信されたZoomアプリをWindowsのユーザーが使った場合に、セキュリティの脆弱性が指摘された問題です。

Zoomの機能を利用してユーザーがハッキングの被害にあった場合に、IDやパスワードのなどの認証情報が流出するリスクがあります。

この手口のハッキングは、あらかじめユーザーの使用するWindows端末内に悪質なコードであるマルウェアがなければ成り立ちません。そのため、Zoomの脆弱性が原因で情報が盗まれる危険性は低いという指摘もあります。

いずれにしても、Zoom社が行ったアップデートによって、この脆弱性の問題は3月中に解決されています。

暗号化がされていない?

暗号化とは、特別な処理によってあるデータを別のデータに変換してセキュリティの維持やプライバシーの保護をするものです。変換したデータに合った「鍵」を使うことで、元のデータを復号できます。

web会議システムZoomは「エンドツーエンド」と呼ばれる高度な暗号化によって、情報を守っていると主張していました。しかし実態は、暗号化は行われていたものの、その解除のための鍵をZoomのサーバーで管理するシステムになっていたのです。

このシステムでは、厳密なエンドツーエンド方式で情報が守られているとは言えないため、世界中から批判を受けました。

「Zoom Bombing(爆弾)」に遭うことがある?

「Zoom Bombing(爆弾)」とは、いわゆる荒らし行為です。大学の講義や市民講座などに対し、参加する予定ではない第三者が入ってきて、社会的に不適切な画像を張り付けたり、不快な発言をしたりなどの被害が多発したことが問題になりました。

操作に不慣れな一般利用者が、Zoom会議のURLをSNSや掲示板などに公開してしまったことで、上記のようないたずらが多発し、「Zoom Bombing(爆弾)」という呼称が生まれました。

元々、Zoomには第三者が会議に介入しないようなセキュリティ機能がありましたが、知らずに使用した人が被害に遭ったようです。

メインウインドウから参加者を追跡できる?

Zoomの利用者が会議にしっかり参加しているか確認できる機能も問題視されました。この機能は、会議の開催者が画面を共有したときに参加者が画面から30秒以上離れていた場合に、開催者に対して通知がいくものです。

開催者側からすれば便利な機能だったかもしれませんが、参加者側からすると「監視されている」「プライバシーの侵害」と感じる人もいるでしょう。また、この追跡機能の存在が参加者には分かりづらい仕様になっていた点も、Zoomのセキュリティや脆弱性が問題視された要因の1つです。

改善されたセキュリティ・脆弱性のポイントを解説

これまでに解説した問題を受け、Zoom社は2020年4月にセキュリティ・脆弱性を改善する対策を行いました。セキュリティ・脆弱性に関するバージョンアップのポイントは、次の5つです。

  • 暗号化を最新のものにアップデートした(AES-256 GCM)
  • Facebook社製の通信プログラムが削除された
  • データセンター(通信を経由するところ)を選択できるようにした
  • Zoom上で不正ユーザーの通報・ブロックが可能になった
  • アイコンで暗号化をチェックできるようになった

上記の他にも、会議前の待機室がデフォルトの設定になったり、ID・パスワードの複雑化が行われたりなどの対策もとられました。

web会議システムの利用者が急増したこともあいまってZoomのセキュリティ・脆弱性の問題が大きく取り上げられましたが、2020年5月現在はすでに対策が完了しています。迅速な対策をとったことで、多くの企業でweb会議システムZoomを利用した会議がより安全に行われていると言えるでしょう。

また先日、Zoom社は年内にも正式なエンドツーエンドの暗号化通信をすべてのユーザーに提供すると発表しており、今後さらに安心して使えるツールになっていくものと思われます。

セキュリティを高めて安全にZoomを使う対策

web会議システムZoomのセキュリティや脆弱性に関する問題は、急速に対策が進められています。しかし、利用者自身もZoomを安全に使えるように日ごろから意識することが大切です。

この記事では、自分で行えるweb会議システムZoomのセキュリティや脆弱性に関する対策を5つ解説します。

セキュリティ問題について理解する

まずは、web会議システムZoomのセキュリティ・脆弱性に関する問題についてあらかじめ知っておきましょう。セキュリティや脆弱性に関する問題の原因をチェックしておけば、リスクを避けられる可能性がぐっと上がります。

Zoomのセキュリティ・脆弱性に関する問題だけでなく、最新の詐欺や攻撃の手口を知るのがポイントです。特に詐欺の手口にはいろいろな種類があり、巧妙なので常に最新の情報を確認することをおすすめします。

最新バージョンのZoomをインストールする

Zoomのセキュリティや脆弱性に関する問題は解決されましたが、対策されたツールを使うには新しいバージョンのアプリをインストールする必要があります。

すでにZoomを利用していて2020年4月以降にアップデートをしていない人は、この機会に最新版のweb会議システムを入手しておきましょう。対策がされていない古いアプリをそのまま使い続けていると、セキュリティ面や脆弱性に不安が残るので十分気を付けてください。

また、Zoom社は日々セキュリティの向上や脆弱性の改善などに取り組んでいます。今後もアップデートされたアプリが配信されるので、「自分が利用しているZoomが最新のものか」を定期的に情報を確認しましょう。

会議のURLをきちんとチェックする

Zoomは、URLを参加者に共有することでウェブ上で会話できるシステムです。しかし、このURLを偽装して悪質なサイトにつながるものが送られてくる詐欺の手法があるので注意が必要です。

偽のURLを誤ってクリックしてしまうと、プライバシーに関する情報が抜き取られたり、データが盗まれたりなどのリスクがあります。

URLのドメインをよくチェックすると正規のものとの違いが分かります。Zoomのセキュリティを高くするためにも、共有されたURLはよく確認するようにしましょう。

IDやパスワードの管理を徹底する

Zoomの脆弱性を回避したり、セキュリティを高くしたりするためにも、日ごろから使用するIDやパスワードの管理を設定することが大切です。いずれも参加者以外に流出すると、Zoom爆弾に遭うリスクが高まるので注意しましょう。

また、Zoomの会議に参加するときは、パスワードを入力しないと参加できないようにセットするのもおすすめです。ちなみに、バージョンアップされたweb会議システムZoomでは、この設定がデフォルトになっています。

画面共有はホストのみの設定にする

Zoomは会議に参加する人全員の画面を共有できますが、個人的な情報が流出する可能性があります。そのため、あらかじめ「ホストのみ」に設定しておくと、セキュリティ面で安心できます。Zoomの設定から「高度な共有オプション」を選択し、自分に合った設定する変更しましょう。

まとめ

テレワークの急速な浸透によって、web会議システムZoomの利用に注目が集まっています。2020年3月頃に指摘されたセキュリティや脆弱性に関する問題は解決されたので、今後はより安心してZoomアプリを活用できるでしょう。

Zoomは企業だけでなく、個人的な利用も可能なアプリです。幅広い活用ができるツールなので、まだ利用したことがない人はこの機会に使用を開始してみましょう。たくさんの人と画像やファイルの共有ができますし、ビデオ通話のように対面でコミュニケーションが取れて非常に便利です。

オプション機能も豊富なので、必要に応じて利用してみるといいでしょう。

※本コンテンツに記載されている会社名、サービス名、商品名は、各社の商標または登録商標です。

symphonict

SymphonictとはNECネッツエスアイが提供する、「共創でお客様のビジネスに新たな価値を提供する」をコンセプトに先端技術やサービスを繋ぎ・束ねることでIT・デジタル変革技術やツール・システムを皆様にお届けするデジタルトランスフォーメーション(DX)サービス。→Symphonictに関してはこちら


閉じる

Zoomの国内販売店第一号。契約企業数5,000社突破!国内、アジアNO.1実