話題の話

zoom爆弾の詳細は?安全性を高めるセキュリティ対策方法まとめ!

すずっちがビデオ会議をする場合に最近はzoom一択でしたが、その理由は画質がキレイで音声も良質で、データの保存容量も他の同システムに比べて格段に小さなサイズで高画質が保存できたからで、現在もプロ版を利用中ですが、昨今の社会事情でzoom利用者が急増して、セキュリティホールが見つかり、zoom爆弾なる問題が出てきたという話。

現在もzoomのプロ版を利用しているすずっちが、2020年4月に騒がれているzoom爆弾の詳細を調べてまとめました。また、zoomを利用する時に安全性を高める設定や、設定可能なセキュリティ対策方法もまとめました。この設定ならzoom爆弾は防げると思います。

zoom爆弾とは?zoomセキュリティ問題について

ビデオ会議システムのzoomといえば、昨今利用者が拡大しているクラウドサービス。

わかりやすい数字で見ると、

  • 2019年12月に1日の利用者は最大約1千万人だったが、
  • 2020年3月の1日の利用者は最大2億人

というように、利用者が急拡大中。

新型コロナウィルスの感染拡大により、テレワークや在宅勤務が広がっているという社会背景もあり、一気にユーザが増えると同時に、トラブルも増えてきた様子。

注釈、zoomの使い方や設定については、ネットに詳しい記事が出回っているので、そちらの参照をオススメします。

 

zoomといえば、ビデオ会議システムとして、他のビデオ会議システムより圧倒的に安定していて、小さな容量で高画質な動画やきれいな音声を保持できる特徴があり、これが最大のストロングポイントだったのですが、早さや便利さとトレードオフした部分にセキュリティ面の問題があるようで、最近はzoom爆弾の事例が増えているという話も。

 

ただ、先に結論を言っておきますが、すずっちが調べた処、

後述する設定を正しくして利用すれば問題は防げる

と言えると思いますので、すぐさまシステムを乗り換えるなどするよりも、まずは設定見直しで試してみて、それでも遭わなければシステム変更を考えるというステップが良いのではないかと個人的には思います。

反論ある方はコメント欄から、コメント頂ければと思います。

 

zoomのセキュリティ問題事例

起きている事例としては、zoom会議に

  • 会議に第三者が参加できチャットも可能(パスワードなし会議への参加)
  • チャットに攻撃的なメッセージや画像リンクを張れる
  • (設定許可されてる場合)注釈機能で画面にイタズラ書きをできる
  • zoomチャットからリンクをクリックしたユーザのWindows認証情報を盗める

攻撃的なメッセージという部分は、参加者の住所をさらしたり、侮辱行為やポルノ画像の投稿、犯罪行為など、場合によっては問題のある使われ方がしていて、米国ではこういった行為に対して、米司法省が『zoom爆弾は犯罪』という声明を発表して、警告するほど、問題化している様子。

ちなみに米司法省によると、

Zoom会議に侵入して侮辱的な言動をとる行為には、ハッキングやハラスメントを処罰するのと同じ法律を適用可能

ということですので、他のサーバにハッキングした人と同レベルの犯罪として日本でも処罰される可能性があります。

 

チャットのリンクからWindows認証情報を盗む方法は、UNCパスインジェクションと呼ばれる脆弱性を利用されているのですが、

(公式に改善されるまで)URLをチャットで利用しない会議ルール

も、大事だと思います。

XXインジェクションというのは、ブラウザでも昔はやった方法で、開発現場ではSQLインジェクションなんてものも昔からある大事な対策方法なのですが、1利用者としてはURLリンクをチャットで使ったら問題起きる可能性があるということ、覚えておけばよいと思います。

 

また、MIT Technology Reviewというサイト(外部サイト)によると、zoomに対して集団起訴が起こされるかも(外部記事)との記事が書かれています。

特に米国は起訴社会なので、この手の行動は早いのかもしれません。以前、米国ではマクドナルドのドライブスルーでコーヒーをこぼした利用者が起訴をして3億円の賠償で和解した的な話もありますし。

zoom爆弾へのセキュリティ対策方法まとめ

zoom爆弾をふくんだzoomのセキュリティ対策をする為の方法をまとめましたので、zoomを普段、活用している方はご参考に。

1.ビデオ会議する場合に自動生成ミーティングでパスワード設定を行い、関係ない人にはURLを教えない

ミーティングを作成する時に、パスワード設定のチェックを入れて自動生成ミーティングを作成すれば、パスワード付ミーティングになります。また、ミーティングIDは絶対に個人ミーティングIDを利用せずに、自動生成のIDを利用してください。

上記はブラウザでミーティングを作成する場合の画面キャプチャですが、スマホで作成する場合も同様の設定があるので、画面をチェックください。

zoomではパスワードなしの会議の場合、参加者がURLリンクのクリック1つでネット会議に参加できる機能があり、これは便利なのですが、URLリンク1つではセキュリティを担保できないので、パスワードをつける設定で会議を行うべきです。

また、対策はされはじめているようですが、zoomの会議のIDが任意の数字で作られているのですが、この任意の数字を適当に入れてログインしようとするユーザもいるようで、会議あにパスワードをかけていないと、現在はURLがバレると会議に関係ない人が参加できてしまいます。なので、パスワードをつけてください、という事です。

おそらく、社会問題化しつつあるので、今後、会議はパスワード必須になる可能性もあると思います。少なくとも、私がシステム設計してたら必須にしますけどね。

 

また、zoomのミーティングIDがわかると面倒事が増えるので、

会議に参加予定でない人にはミーティングIDを教えない

という事も大事です。URLを教えない行動も大事だし、不用意にzoomの画面キャプチャを他の人に見せないという事も大事になります。

 

補足として、zoom社は待機室機能というのをセキュリティ対策で追加するようですが、この待機室機能に脆弱性があるとカナダのトロント大学の研究者が指摘しているので、すずっちは待機室機能を使わない方が良いと思っています。

2.PCクライアントやスマホアプリを最新にする

現在、zoom社として、セキュリティ問題が会社として最重要課題となっていて、元々予定していた機能向上のアップデートをすべて中止して、セキュリティ対策に会社一丸で望まれている状況です。

 

ですが、そのセキュリティ対策の恩恵を受けるには

  • PCの場合はクライアントアプリのアップデートが必須
  • スマホの場合はアプリの更新が必須

という条件があるので、しばらくはアプリが最新かどうかを意識して使ってください。

 

なお、zoomのチャット画面でURLを張られて、そのURLをクリックした場合に、WindowsクライアントからWindows認証情報を含めた個人情報が取得できるという問題が明らかになっていて、現在、チャットのURLをクリックできないように最新のクライアントアプリでは制限されているようです。

3.会議の全員が参加したら会議をロックする

会議に全員が参加している場合、他の人が参加できないようにロックする機能がzoomにはついていますので、そのロック機能を使いましょう、ということです。

PCなら、

参加者の管理ボタン⇒参加者の下部のその他⇒ミーティングのロック

で設定できますが、スマホでも同様の機能があると思うので必要に応じて利用ください。

数名で知った人と会議する場合、パスワード付けずに周知して人数集まったらロックするという方法が、楽に利用でき、建設的じゃないかと思います。

 

なお、zoomの場合、ミーティング(無料、有料プランで作成可能)であっても、有料プランでしか作れないセミナーであっても、ミーティングを作成した人は、誰が参加者なのか確認可能なので、ロックする前には参加者が誰なのか、確認しておいた方がいいと思います。

例えば、山田さんにURLを教えていても、zoomだと山田さんがスティーブという名前でログインする事も出来るので、場合によっては、参加者のユーザIDのネーミングルールについて、予めわかるように事前説明しておいた方が良いかもしれません。

4.決して個人ミーティングIDを共有しない

1でも説明しましたが、会議を作る際に、自動生成されるミーティングIDを使っておこなう方法と、個人ミーティングIDを使う方法があります。

このうち、個人ミーティングIDを使う場合、常に同じIDを使い回すことになるため、Aさんとだけ個別会議したいのに、以前に個別会議をしたBさんが入ってこれてしまい、問題が出る可能性があります。

まとめ

zoom社のオンライン会議を使うにあたり、問題になっているzoom爆弾を回避する為の設定方法や運用方法をまとめました。個人的には、

新しいオンライン会議システムを検討するコストより、zoomの設定や運用を見直してオンライン会議を行った方が建設的で時間やリソースのコストロスが少ない

と思いますので、うまく活用できる部分は活用すればよいのではないかと思います。

ただ、私もzoomのプロ版を使っていますが、”zoomサイトにログインしてもバグの情報や、セキュリティ対策情報など全然公開されていない点”は、いけていない点だなと思います。日本のサイトなら、まず用意される情報なのに。

うまく設定さえすれば、zoomは時間を効率化してくれて、かつ会議情報も保存してくれる便利なツールだと思いますので、今後もパスワード付で会議を行うか、2,3名なら人数集まったらロックする機能を利用すればよいと思います。