Zoomミーティングのセキュリティ問題を解説!何が問題で利用者は対策で何をすればいいのか
こんにちは、JAPANISMです。
在宅勤務の増加により、Zoomミーティングが世界中で活用されております。しかし、先日Zoomミーティングのセキュリティホールがニュースでも取り上げられる程話題となりました。
今回は、世界中で起きたZoomミーティングのセキュリティ事故の事例をITエンジニアの私が解説します。その事例がどんな問題なのか、Zoom社がそれに対してどの様な対応をしたのか、また利用者側でできる対策についてお伝え致します。
Zoomミーティングのセキュリティホールを解説!何が問題で利用者は何をすればいいのか
この様な目次で上から順番にご説明していきます。
- セキュリティ事故事例1.部外者のwebミーティングへの参加
- セキュリティ事故事例2.エンドツーエンドでの未暗号化
- セキュリティ事故事例3.ZoomユーザIDの流出
- 結局今はZoomミーティングを使うべきなの?
セキュリティ事故事例1.部外者のwebミーティングへの参加
学校のリモート授業中に乱入
マサチューセッツ州の学校でリモート授業中に、何者かがミーティングに乱入し、不適切な画像を投下したり、教師の悪口を発言する事故がおきました。この事例はリモート授業だけではなく、各国で多発している様です。
Zoomの何が問題だったの?
✅Zoomの何が問題だったの?
・システム上、ミーティング参加時にパスワードが設定出来なかった。
→無料版のZoomではミーティングの参加時に、パスワードの設定が出来ませんでした。そのため、適当にミーティング番号を打ち込めば、どこかのミーティングに誰でも参加ができる状態でした。現時点では、Zoomの機能拡張により、パスワード設定が出来る様になりました。
・ミーティングの待合室が無かった。
→待合室とは、誰かがミーティングにアクセスした際に、ミーティングの開催者がその人を参加させるか否かを決定する機能です。この機能があれば、不審者がミーティングにアクセスした場合でも、不適切な画像等や悪口を発言する前に、ミーティングに参加させないことが出来ます。現時点では、待合室が導入されています。
利用者はどう対策すればいいの?
上記で記載した通り、①ミーティング参加時にパスワードを設定する。②ミーティングの待合室機能を利用する。ことでこの問題を概ね防ぐことが出来ると考えます。
セキュリティ事故事例2.エンドツーエンドでの未暗号化
Zoom社には、ミーティング内容が筒抜けの可能性があります。
エンドツーエンドでの未暗号化が出来ていないことで、Zoom社にはミーティング内容を聞かれてしまう可能性があります。
また、少し前に問題になったのは、Zoomミーティングの通信ではHTTPSによる通信自体の暗号化がされていますが、その暗号鍵が中国で発行されていたことが判明しました。そのため、中国政府がもし開示要請を出せば、Zoomミーティングの会議内容が中国に筒抜けという可能性がありました。
Zoomミーティングを各国政府も使用していたこともあり、この件はニュースでも取り上げられました。
Zoomの何が問題だったの?
✅Zoomの何が問題だったの?
・Zoomユーザにエンドツーエンドの暗号化をしていると公表していた。
→この問題は、Zoom側が公式サイトでエンドツーエンドの暗号化をしていると公表していたのにも関わらず、専門家の目線では一般的なエンドツーエンドの暗号化がされていないことが指摘されました。そのため、Zoom側のセキュリティに関する知見不足や虚偽の公表が問題となりました。現時点でも一般的な解釈のエンドツーエンドの暗号化はされていない(Zoom社側には会議の内容が見える状態)ため、利用者の利用方法を工夫するしかありません。ただし、この件に関しては、マイクロソフトのTeamsでもエンドツーエンドの暗号化はされておらず、リモート会議ツール全体の課題と言えるでしょう。
・Zoomユーザは中国で生成された暗号鍵の使用を事前に知りえなかった。
→通常であれば、中国で生成された鍵を使用する(中国政府に通信内容が渡される)可能性があることは、利用開始前に、Zoomユーザに同意を取るべきだと考えます。しかし、Zoom側はその辺りのユーザへの同意を取っていませんでした。そのため、ユーザにとっては、会議内容が中国政府に渡る可能性を考慮しなかったはずです。こういう背景から、世界の多くの企業が情報の機密性を考慮し、Zoomを使用しないことを新たに決めているのだと考えられます。ちなみに現時点では、中国で鍵が生成される問題はZoom側の対応で解決されています。
利用者はどう対策すればいいの?
この問題に関しては、ミーティング内容がZoom側に漏れる前提で利用するしかないと考えます。また、中国への情報漏洩は防げても、以前アメリカのデータセンターで通信の暗号鍵を生成していることには変わりありません。そのため、アメリカ政府が開示要求を出せば、アメリカ政府にはミーティング内容が渡ると言えるでしょう。その辺りのリスクを考慮し、Zoomを使う必要があります。(本当に機密にしたい会議では、Zoomを使わず、オフラインで実施するのも一つの手かもしれません。)
セキュリティ事故事例3.ZoomユーザIDの流出
ZoomのユーザIDとパスワードが流出し、海外のサイトで売買されていることが判明しました。
Zoomの何が問題だったの?
✅Zoomの何が問題だったの?
・Zoom側のサーバの脆弱性を突かれて、ユーザ情報が盗まれた。
→この問題は、Zoom側のユーザIDやパスワードを管理しているサーバが攻撃され、IDやパスワードが流出しました。そのため、Zoom側のセキュリティ対策が甘かったと言えるでしょう。
・在宅勤務用の世界的なニーズの急増にシステムが追いついていない。
→そもそもZoom社自体は、この様な世界的なニーズの急増を想定していた訳では当然ありませんでした。そのため、世界規模の在宅勤務を想定したシステムとして作られている訳ではないと思います。世界のニーズに合わせて、その都度発生したセキュリティ問題に対して突貫工事でシステム改修している状況は、当たり前といえば当たり前な状況です。むしろZoom側のエンジニアは精力的にシステム改修されていると個人的には思います。
利用者はどう対策すればいいの?
この問題に対して利用者側が出来ることは、①パスワードを強固な物に設定する。(長い文字列や記号等々を含める)、②Zoomで機密情報を扱うミーティングは避けることだと思います。パスワードを盗まれない工夫をしつつ、もし盗また場合も、情報として価値がない状態を保つ(例えば、Zoomの登録情報で個人情報や会社の機密情報を記載しない)ことが大切だと思います。
結局今はZoomミーティングを使うべきなの?
機密情報や個人情報を扱うミーティングでは使わない方が良い
本日の結論となりますが、私の考えとしては、少なくとも会社のミーティング用としてはZoomを使うべきではないと思います。今回ご紹介したセキュリティ事故の事例を初め、現段階でセキュリティ問題が起き続けているからです。
用途を使い分ければ良いツール
とはいえ、Zoomは無料で使用できますので、用途を使い分けて使う(例えば、家族への安否確認、Zoom飲み会等)には良いツールだと思います。ただし、ミーティング内容は流出する前提で、この様な用途でも、過度な暴言や、個人情報を発言することは避けた方が無難だと思います。
1年後には、会社用としても活用できそう
Zoomもセキュリティ問題に何も対応していない訳ではなく、日々発見されるセキュリティ問題に対して精力的に改善を行っています。また、バグの早期発見を目標に、各企業と連携し、脆弱性発見プログラム強化に取り組み始めている様です。
この様な継続改善により、1年後にはセキュリティ対策が強化されたリモートミーティングツールとして進化している可能性が高いです。
最後に
今回は、世界中で起きたZoomミーティングのセキュリティ事故の事例を解説しました。まだまだセキュリティに関しては脆弱なZoomですが、将来の機能拡張に期待致します。
以上です。最後まで読んで頂き有難うございます。
JAPANISM