ESET/マルウェア情報局
「Zoom」が抱える5つの問題と対策方法
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Zoomのセキュリティ問題とは?」を再編集したものです。
新型コロナウイルス(COVID-19)の感染拡大を封じ込めようとする取り組みの中で、数えきれない人々が自宅待機を余儀なくされています。そのため、仕事、教育、娯楽で使用されるテレビ会議ソフトウェアの需要が爆発的に高まっています。突如脚光を浴びることになったコミュニケーションツールのうち、現在最も注目されているのがZoomでしょう。
人、そして企業の間で急激に需要が高まったことで、このプラットフォームが直面しているプライバシーとセキュリティーの数々の問題が明らかになりました。Zoomは今や、英国政府の閣僚会議でも使用されました(興味深いことに、英国国防省は従業員にこのアプリの使用を禁止しています)。
Zoom社は、プライバシー擁護団体、セキュリティー専門家、米国の州検事総長、米国の議員、FBIなど、さまざまな分野から猛烈に批判されています。ここ数日悪い知らせが続いており、同社は対応を迫られています。
同社の創設者兼CEOのEric S.Yuan氏は4月1日、この問題について謝罪し、Zoomのセキュリティーとプライバシーを強化するための方策を説明しました。Yuan氏はまた、90日間の機能凍結を発表し、「信頼、安全性、プライバシーの最大の問題に注力する」ためにすべてのエンジニアリングリソースを注ぐと付け加えました。
Zoom社が対処を迫られている5つの主な問題は、次のとおりです。
・Zoomのプライバシーポリシー。iOSバージョンのZoomアプリは、Facebookアカウントを持っていないユーザーのアナリティクスデータもFacebookに送信することが、Zoomのプライバシーポリシーに記載されていない、と3月26日のViceのレポートは伝えています。同社はこの問題を認め、iOS用のFacebook SDK(ソフトウェア開発キット)を削除しました。Zoom社は現在、カリフォルニア州で集団訴訟を起こされています。
・The Interceptの調査によると、Zoom社の主張に反して、Zoomアプリのビデオ会議と音声会議はエンドツーエンドの暗号化をサポートしていません。Zoom社は後に謝罪し、釈明しましたが、それはトランスポート暗号化(TLS)を使用しているという内容でした。最大の違いは、後者の場合、ユーザーのコミュニケーションをZoom社が入手できる点です。
・Zoomアプリには複数のセキュリティー脆弱性が含まれていることも判明しましたが、それらの脆弱性はすべて短期間で修正されました。ZoomのWindowsクライアントは、UNCパスインジェクションの脆弱性の影響を受けることが判明しました。この脆弱性により、ユーザーのWindowsログイン認証情報が流出し、さらには当該ユーザーのデバイス上で任意のコマンドが実行される可能性もありました。ZoomのMacOSクライアントが影響を受ける別の2つの脆弱性により、ローカルの攻撃者が脆弱なコンピュータを制御する可能性がありました。
・同社はまた、「参加者追跡」機能も削除しました。これは、会議の主催者が画面共有モードにしているときに参加者が本当に注意を向けているかどうかを確認できる機能です。
・FBIは、トロール(荒らし)やいたずら目的のユーザーがプライベートな会議や授業に侵入し、不快な画像を表示したという複数の報告を受けて、「ZoomBombing(Zoom爆弾)」と呼ばれるこの現象に対して警告を発表しました。
Zoomの1日あたりのユーザー数は過去3ヵ月間で1000万人から2億人に急増したことから、上記の問題は膨大な数の人々に影響を及ぼした可能性があります。Yuan氏自身が認めているように、Zoomはこの予期せぬ成功に対応しきれていません。
Yuan氏は次のように述べています。「現在、以前とは桁違いに増えたユーザーが、私たちが予想していなかったさまざまな方法でZoomを利用しています。そのため、このプラットフォームを構想したときには予期しなかった課題に直面しています。」
対策
ビデオ会議に限らず、リモートワークの時代を迎えた今は、あらゆるものについてプライバシーとセキュリティーを見過ごしてはなりません。どれほど機能豊富で格好のよいソフトウェアであっても、新たな脅威をもたらす可能性があり、新たな責任が伴います。Zoomの使用に際してセキュリティーとプライバシーを保護するために実行できる最も効果的な対策には、次のものがあります。
・会議をパスワードで保護する、あるいはZoomの「待機室」機能を使用して参加者を事前審査する。
・主催者への画面共有を制限する。
・Zoomの最新バージョンを実行する。
・リンクやミーティングIDをソーシャルメディアで共有しない。
・Zoomアプリの突然の成功につけ込もうとするZoomをテーマにした悪意のあるドメインが急増しているため、参加者を招待するときはリンクではなくミーティングIDを使用する。
ビデオ会議アプリの使用時に安全を確保するには、この件について詳細に解説した次の記事もお読みください。