新型コロナウィルスの影響によるリモートワークの拡大で、利用者が急増しているZoom。便利な機能が多い一方で、多くのセキュリティ上の脆弱性が見つかっており、世間を騒がせています。
どんな脆弱性が見つかっているのか、わかりやすく解説している動画があるので、本日はそちらをご紹介します。(動画は最後に貼付あります)
急増するZoomの利用者
2019年12月ころには平均1000万名/日くらいだったのが、2020年3月には毎日2億名のユーザーが利用している。
アプリのダウンロードページも、アクセスが500%以上に増加しており、世界中で注目されていることがうかがえる。
Zoom is Malware
利用ユーザーが急増すると、一方で、様々な問題が白日の下にさらされるのはよくあること。このZoomもやはりここ1か月で多くの脆弱性が見つかり指摘された。
短期間に多くの脆弱性や、広告プラットフォームへのユーザー情報共有の事実が浮き彫りになったことで、セキュリティの専門家からは「Zoom is Malware」と呼ばれるようになってしまった。
現在までに指摘されているZoomの脆弱性
ここからは動画内で解説されているZoomの脆弱性やセキュリティ上の危険を抜粋。
個人情報の必要以上の収集
動画、文字起こし、メモの共有など、必要以上に広範囲なデータの収集を行ったとして非難された。(中略)どうやら収集した会議や個人情報のデータを、広告に使用していたことが明らかになったんだ。
無償提供されるオンラインツールが、広告配信のために個人情報を活用するというのはよくある話。利用者が急増したことによってこの問題が指摘されるようになったのだろう。
ZoomのiOSアプリがFacebookに個人情報共有
ズームのiOSアプリにも重大な問題があって、SDKと呼ばれる、ソフトウェア開発キットというものがあり、ズームはフェイスブックSDKを使っているのだが、アプリの利用者は、ユーザーがリンクされたフェイスブックアカウントを持っていない場合でも、フェイスブックのソーシャルネットワークに分析データを送信していたことが判明した。つまりフェイスブックにデータを売っていたということだな。
個人情報の取り扱い上、広く使われるツールとしてはこのあたりも厳しく見ておくべきだ。
参加者のおおよその居場所がわかってしまう
ズームには出席者追跡機能というものがあったのだが、この機能を有効にすると、通話中に参加者がメインのズームウィンドウから離れているかどうかをホストが確認できるようになる。おおよその位置がわかるってわけだな。
これも個人情報の特定につながりかねない。
マルウェアと同じ仕組み?
さらにとあるセキュリティ研究者によれば、MacOSのマルウェアで使用されているものと同じ仕掛けを用いて、ユーザーの介入なしにMacアプリをインストールすることを発見した。つまり許可なくアプリのインストールを許可してしまうということだな。
Zoom自体がマルウェアというわけではないが、マルウェアと同じ仕組みにが利用されていて、それを悪用されればサイバー攻撃にも活用できてしまう危険性がある。
Zoomを通して相手のパソコンのログイン情報を取得できる
遠隔で攻撃者が被害者のWindowsパソコンのログイン情報を盗み、システム上で任意のコマンドを実行することを可能にするバグ。さらにこれで攻撃された後、ルート権限を取得しマックOSのマイクとカメラにアクセスを許し、ズームの会議を記録する。
遠隔でログイン情報が取得できるということはズームを通したハッキングが可能になるということだ。このバグは非常に危険と言える。
ZoomBombing
オープンな会議または保護されていない会議に対して、不適切なデフォルト設定を利用することで、まったく知らない赤の他人に対しても画面共有することが可能になり、それによってビデオ通話のハイジャックを可能にしてしまう機能があった。実際これを悪用され、静的なコンテンツを勝手に他人のルームで放送したり、人種差別的な発言をするハッカーらが出現した。
これは利用ユーザーの使い方やリテラシーも問われる点。設定などで回避できるリスクもあるので、使い方などしっかり勉強してから使った方がいいかもしれません。
リンクトインを通して同意なしでも個人情報にアクセス可能
LinkedInのプロフィールに自動的に照合する非公開のデータマイニング機能が発見された。(中略)つまりリンクドインのアカウントを持った状態でズームを使うと、匿名だろうがなんだろうが身元が他のやつに簡単にバレるってことだぜ。
これはユーザーに公開されていない機能として、ユーザーの同意なく個人情報にアクセスできてしまうことが問題。これを悪用されれば外に出したくない情報が漏洩してしまう可能性もある。
ユーザーの電子メールと写真をネット上で公開していた
ズームは何千ものユーザーの電子メールアドレスと写真をインターネット上で漏らしており、見知らぬ人が互いに通話を開始できる状態だったことを明らかにした。
これは完全に企業としての管理体制の問題。スタートアップだからこそ、完全な体制を整えられているとは言えないのかもしれない。
ズームで作成したビデオ録画ファイルが公開されていた
ワシントンポストによれば、ズームが自動的に適用する一般的なファイル命名パターンを検索することにより、ズームで作成されたビデオ録画を、公にアクセス可能なアマゾンストレージパケットで見つかった。
大切な情報を含む会議情報などが漏洩する危険性があるため、利用する企業側としては大きな問題になるポイント。企業として別のツールを使った方がいいという判断もあるかもしれない。
2020年4月上旬にパッチの適用
ここまで上げたセキュリティ上の問題については、大方、この前のパッチ適用によって改善されているとのこと。問題発見から対処は悪くないスピードではないだろうか。
しかし、今後も新たにセキュリティ上の脆弱性が発見される可能性がある。むしろ筆者はまだまだ氷山の一角ではないかと考えている。
Zoomを安全に利用するための対策
とはいえ、全てZoomが悪いというわけでもない。使い方や設定などの問題で防げる部分も少なくない。しっかり使い方を意識して利用することを意識するべきだ。下記に、対策をまとめる。
- チャットのオートセーブ機能のオフ
- 出席者追跡機能のオフ
- カメラに映りこむものから居場所が特定されないように注意
- 可能な限り会議へのリンクやIDは公開しない
- 信頼できる人に直接送る
最後に
リモートワークの環境を整備する中で、どのツールを使うべきかはセキュリティの面も十分に意識して考えてほしい。また、ツールだけの問題でなく、利用方法の問題もあることを意識しておくことが重要だ。
ちなみに、筆者としての個人的なオススメはマイクロソフトが出しているOffice365に含まれる「Teams」のビデオ会議ツールだ。大勢向けのウェビナーには向かないが、セキュリティ面での設計は優れているように感じる。
また、ファイル共有機能など含めて、リモートワークをするための業務基幹システムとしても活用できるので、この機会に統合すると便利ではないだろうか。このあたり、Googleは検証してないので分からないが、Googleでもいいのかもしれないが。
とにかく、ツールを選ぶ際は、セキュリティ面を意識してほしい。