ユーザーがアクセスすると待機室に表示され、開催者が右側の画面で許可を出すと参加できる

写真拡大

―[デジタル四方山話]―

 新型コロナウィルスの影響でリモートワークが拡大するとともに、ビデオ会議サービス「Zoom」のユーザーが急激に増えている。そんななか、2020年3月下旬にアメリカの高校でZoomを使ってオンライン授業を行っている時に、事件は発生した。

 身元不明のユーザーが会議に乱入し、冒涜的な言葉や教師の自宅住所などを叫んだというのだ。この荒し行為は「Zoombombing」(Zoom爆撃)と呼ばれ、次々と被害が拡大した。会議中に第三者が画面共有機能でポルノ動画を再生したり、大学のプレゼン中に注釈機能で人種差別用語を書いたり、ポルノ写真を表示したりしたのだ。

 この爆撃は、Zoomの不具合と言うよりも、開催者の設定の甘さが原因。Zoomは参加者がアカウントを持っていなくても、URLをクリックしたり、ミーティングIDでログインできるのが特徴。この手軽さが急速に広まった理由でもあるのだが、そのぶん第三者が乱入しやすくなる。

◆今からでもできるZoomの設定で見直すべきポイントは?

 まず、ミーティングに参加するためのURLをSNSなどのネットに公開しないこと。公開するにしても、参加して欲しい人たちとの限定共有にすべき。

 試しに、筆者がZoomのミーティングIDを自分のTwitterアカウントでツイートすると、ものの1分で外国の見知らぬ人が乱入してきて、英語で何かずっと話し続けてきて気持ち悪かった。リアルタイムでZoomのミーティングIDが投稿されているのを検索しているのだろう。これを取引先とのビデオ会議でやられたら、たまったものではない。

 パスワードがかけられていないミーティングには誰でも入室できた。ミーティングIDはたった9桁の数字のため、総当たりツールを使えば1時間にいくつもの不正アクセスできるミーティングを発見できた。とはいえ、すでにZoom側も対処済みで、現在はパスワードをなしにすることはできなくなっている。

 もちろん、ミーティングIDとパスワードをセットで公開してしまえば、誰でもアクセスできるので、繰り返しになるが共有先には注意すること。

◆不正に潜り込まれ悪用されても被害を最小限に抑える方法

 次に、何らかのルートでアクセス用のURLやパスワードが漏洩した場合に備えて、「待機室」機能を利用する。パスワードがOKでも、いきなり会議に参加できず、まずは開催者の許可をもらわなければならないのだ。こちらも、現在のZoomではデフォルトで有効になっている。解除は可能なので、念のため設定を確認しておこう。

 万が一、不正に潜り込まれたとしても、悪用したい機能が無効化されていれば被害は抑えられる。「ホワイトボード」や「注釈」「画面共有」「遠隔操作」といった機能は無効にしておこう。「チャット」や「プライベートチャット」で悪さをするケースも報告されているので、利用しないならこちらも無効にしておく。

 これで、Zoom爆撃は防止できる。超簡単にユーザーが集って会議できるということは、そのぶん変な人が乱入するのも簡単だということ。セキュリティと使い勝手はバーターなので、ある程度はきちんと自分でコントロールできるようにしておくことをするオススメする。

―[デジタル四方山話]―

【柳谷智宣】
お酒を毎晩飲むため、20年前にIT・ビジネスライターとしてデビュー。酒好きが高じて、2011年に原価BARをオープン。2年前に海底熟成ウイスキーを扱う「トゥールビヨン」を立ち上げ、現在販売中