●次々と脆弱性が見つかるZoom、アップデートに注意

○便利だけどセキュリティが心配かもしれないZoom

新型コロナウイルスの影響で、業務形態をテレワークにシフトさせる企業、リモートで授業を行う教育機関が増えている。働き方改革の一環としてテレワークを推奨する取り組みはこれまでも進められてきたが、新型コロナウイルスの影響で一気に加速した。これは日本に限ったことではなく、世界中で起こっていることだ。

テレワークやリモート授業を成功させるカギの1つは通信技術である。導入・利用が可能で、大人数が同時にアクセスできるビデオ会議やコミュニケーションツールの使用は必須だ。こうした状況の中、注目を集めているサービスの1つに「Zoom」がある。

iOS向けZoomクライアントアプリ

Zoomは導入が簡単で利用方法も簡単。ビデオ会議に必要な機能が無償または廉価で提供されている。Zoomはこれまでも人気の高かったサービスだが、新型コロナウイルスのインシデントが発生して以来、さらにユーザーを増やしている。

しかしこのところ、Zoomのアプリケーションやシステムにセキュリティ上の懸念があるという報道が相次いでいる。Zoomは便利で使いやすいサービスだが、セキュリティ上の懸念があることは以前からも指摘されていた。

そこで本稿では、こうした経緯を踏まえつつ、Zoomを安全に使う方法を紹介しよう。

○Zoomと脆弱性を取り巻く状況

Zoomが提供するプロダクトやアプリケーションにはこれまで何度か脆弱性が発見されている。例えば、CVEに登録されているZoomに関する脆弱性情報には次のようなものがある。

CVE-2004-0680 - Zoom X3 ADSL modem has a terminal running on port 254 that can be accessed using the default HTML management password, even if the password has been changed for the HTTP interface, which could allow remote attackers to gain unauthorized access

CVE-2014-5811 - The ZOOM Cloud Meetings (aka us.zoom.videomeetings) application @7F060008 for Android does not verify X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate

CVE-2018-15715 - Zoom clients on Windows (before version 4.1.34814.1119), Mac OS (before version 4.1.34801.1116), and Linux (2.4.129780.0915 and below) are vulnerable to unauthorized message processing

CVE-2019-13450 - In the Zoom Client through 4.4.4 and RingCentral 7.0.136380.0312 on macOS, remote attackers can force a user to join a video call with the video camera active

The Zoom Client before 4.4.53932.0709 on macOS allows remote code execution, a different vulnerability than CVE-2019-13450

アプリケーションにおいて、脆弱性が存在することはそれほど珍しいことではない。問題なのは脆弱性の発見に対して迅速に対応が行われているかだ。Zoomはその点、比較的迅速に処理が進められているように見える。

また、Zoomの提供するライセンスやアプリケーションはしばしばプライバシーの問題が指摘されることがある。脆弱性も問題だが、第三者から指摘されるプライバシーに関する懸念の方が問題かもしれない。

例えば最近、ZoomのiOSクライアントにおいて、ユーザーデータがFacebookに送信されていた懸念があることが指摘され、Zoom Video Communicationsは次のブログで説明を行った。故意ではなかったようだが、Zoomには時々こうした杜撰な部分が見つかっている。

Zoom’s Use of Facebook’s SDK in iOS Client - Zoom Blog

新型コロナウイルスの影響でZoomの注目度が高まると、複数のセキュリティファームがZoomにセキュリティ上の懸念があることを指摘するようになった。例えば、米国連邦捜査局(FBI: Federal Bureau of Investigation)が2020年3月30日(米国時間)に公開した次の記事が状況を端的に示しているように見える。FBIはZoomの問題点を突いた攻撃に対して使われる「Zoom爆撃」という言葉を引き合いに出し、Zoomがサイバー攻撃に悪用されていることを指摘した。

FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic - FBI

Zoom Video Communicationsはこうしたもろもろの指摘に答えるため、2020年4月1日(米国時間)に次のブログを公開した。今後3カ月間、諸所の問題に対処し、透明性を高める取り組みを行うといった声明文だ。

A Message to Our Users - Zoom Blog

懸念の1つであるビデオ会議の暗号化に関しては、次のブログで説明されている。アップデートがは詳しく説明を行うことで、懸念を払拭することを狙っているようだ。

The Facts Around Zoom and Encryption for Meetings/Webinars - Zoom Blog

Zoom Video Communicationsはその後、ZoomのWindowsクライアントについて、脆弱性を修正したバージョン(Version 4.6.9 (19253.0401))を公開した。Zoomのセキュリティに関する懸念はその後も指摘が続いており、これまでよりも早いペースでアップデートが行われる可能性があり注意が必要だ。Zoomアプリケーションのアップデートやダウンロードに関しては次のページからたどることができる。

New Updates for Windows - Zoom Help Center

どのアプリケーションにも当てはまることだが、利用するアプリケーションは常に最新版にアップデートするようにしよう。

●Zoomを安全に使うための4つのポイント

○Zoom爆撃とは

脆弱性によって悪用方法が異なるので、その点に関しては個別のセキュリティ情報をご覧いただくとして、本稿執筆時点で特に問題視されている「Zoom爆撃」について説明しておく。これは、Zoomのビデオ会議機能に対する荒らし行為を指している。

Zoomのビデオ会議はその特性上、当てずっぽうに会議IDを入力していると、公開されている見知らぬ人の会議に参加できてしまう。攻撃者は他人の会議に乱入する際に複数の方法を用いて、乱入した会議で不愉快な発言をしたりポルノデータを流したりといった迷惑行為を行っている。

Zoomの利用は新型コロナウイルスの影響で、これまでビデオ会議を使ったことがなかった層に一気に広がった。こうした状況を受けて、荒らし行為も急増したようだ。これはZoomの脆弱性の影響というよりも、Zoomのデフォルト設定がこうした迷惑行為を招きやすいものだったことに原因があると考えられる。

○Zoomを安全に使用する方法

Zoomを安全に使う方法としては、FBIが公開した先程の記事に掲載されている内容がわかりやすい。FBIはZoomを安全に使う方法として、以下を推奨している。

会議は不特定多数がアクセスできるパブリックなものとして公開しないこと。プライベートな会議を使用する(「会議室に入るためにパスワードを要求する」または「待合室機能を使って参加者を制限する」)。

会議室のURLをソーシャルネットワークサービスなどで広く公開しない。URLは会議に参加するユーザに直接提供する。

画面共有機能はホストのみで機能させる。

常に最新のアプリケーションを使っているかどうかを確認する。

FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic - FBI

Zoom Video CommunicationsはZoomアプリケーションの変更に取り組んでおり、安全な設定をデフォルトにするような変更を行っている。この取り組みは今後さらに進められることが予測されており、その意味でも常に最新のバージョンを使い続けたほうがよいと言える。

パスワードを使わなければ会議できないようにすると、ホストもゲストも操作は面倒になるが、これはビデオ会議を使用する必要最低限のマナーだ。Zoom爆撃を受けないためにも、プライベート会議を使うことや不特定多数がアクセス可能な場所で会議用のURLを貼り付けることは避けるようにしよう。

○機密性の高い通信はどうするか

Zoomは手軽で無料または廉価というところが魅力だ。また、実際問題として、Zoomしか現実的な選択肢がないというユーザーも多い。「そうしたユーザーがなるべく問題を発生させないようにしてZoomを使うにはどうすればよいか」というのがこの記事の趣旨だ。

とはいえ、どんなことがあっても外部に漏れることが許されない機密性の高いビデオ会議が必要なのであれば、現状では、Zoom以外の選択肢も検討したほうがよいだろう。

セキュリティと利便性は相反する面が強い。セキュリティを堅牢にしていけば、それに従ってどんどん使いにくくなる。そうなると、そのサービスや機能は誰も使わなくなってしまう。かといって、誰でも使える簡単な状態にすれば悪用もされやすくなる。この辺りはバランスの問題だ。

自分には何が必要で、それを満たすにはどの機能を使えばよいか、目的と利用するサービスの中身をよく知って、その上で利用するサービスや機能を選択していこう。