【Zoomの危険性と安全な利用法】セキュリティーを考察

テレワーク
2020.04.22
この記事は約6分で読めます。

今はテレワーク オンライン会議の代名詞ともなったZoom。
ニュースでは、Zoomの危険性が騒がれ、利用禁止になっている企業や組織もあるが、どこが危険で、どうすれば安全に使えるのか検証しました。
Zoomが、オンライン会議の代名詞になってしまったがゆえ、Zoomの危険性と言われてしまいますが、殆どは、オンライン会議ツール全てに共通する危険性で、主催者がちゃんとしていれば、安全は保てます。

 

Zoomを安全に利用する方法3つ

1.インスタントミーティングIDを使い、待合室をオフにしないこと。
 インスタントミーティングIDとは、先に紹介したものですが、主催者が作る会議室のIDです。
インスタントミーティングIDと違い、パーソナルミーティングIDというものがあり、これはアカウント毎に決められたもので、変更がきません。(有料プランの場合は変更可能)
パーソナルミーティングを、使いまわしていると、違うメンバーで会議をすればするほど、多くの人が会議室のIDを知ってゆくことになってしまいます。安全性が失われてゆきます。色んな人に住所を教えていっているようなものです。
インスタントミーティングにしておけば、会議のたびにIDを変えることもできますし、いくつかのIDを使い分けることも出来るので安心です。問題が起きれば(都合の悪い人に知れた場合)、IDを変更することが出来ます。
 待合室とは、会議室(ミーティング)に対して、アクセスを試みた参加者が、主催者側の許可を待つ部屋のことです。これがオンになっていることで、一人一人の参加者に対して参加を許可するか、しないかを選ぶことが出来ます。
2.会議室IDは、参加者にのみ教える。 公開はNG
会議室IDを教えてしまっても、待合室があればOKと思うかも知れませんが、参加者が多ければ多いほど、承認の作業も多くなり、そこにミスも起きやすくなります。
待合室に現れる参加者の名前は、必ずしも本名でないため、悪意のある人を間違えて承認してしまうこともありえるでしょう。
参加者はZoomのアカウント登録は必要ないため、参加の度に入力することが出来ます。本来の参加者と同じ名前で待機室に現れると、短時間で判別は難しいかも知れません。
※少人数であれば大丈夫ですが、大人数になると特に注意です。
※大人数の場合は、パスワードも併用することをおすすめします。
3.超重要なことは話さない。
国防に関するようなことや、他の企業から狙われるような機密情報は、避けたほうが良いでしょう。
殆どの人はそんなことは、関係ないと思いますが、銀行の暗証番号だったり、絶対に流れていけないものを載せるのは避けましょう。
これは、どんな通信手段でも一緒です。むしろ現実社会でも、ATMの前で暗証番号を口に出したり、メールで暗証番号を送ってはいけないのと同じです。

Zoomが危険と言われる理由

1.会議へ他社の乱入を許してしまう。(無料ユーザーが安易な設定で利用した場合)

Zoomでは、主催者が会議室を作り、その会議室(ミーティングID)を参加者に伝えることで会議が始まります。
ミーティングIDが、悪意のある第3者に漏れてしまい、ミーティングにロックや、承認機能、パスワードが設定されていない場合に、このようなことが起きます。

※2020年10月現在、初期設定で待機室が有効になっています。
ミーティング主催者が、ミーティングIDを公開するのを避けたり、承認に注意すれば大丈夫です。

 

2.無料ユーザーのトラフィック(通信)が、一部中国にある同社のサーバーを経由していた。

経由している=傍受されているというわけではないですが、中国への情報漏えいを心配する人には、怖いと思えることでした。
これについては、無料ユーザーであっても、中国以外のユーザーのトラフィックが中国を経由しないように、設定が変更されました。

 

3.エンドツーエンドでの暗号化と当初謳っていたが、その言葉から想像する、参加者同士が完全に最初から最後まで全ての通信で暗号化された通信を行えていたわけではなかった。

後日、Zoomの社長が謝罪と説明を行いました。
この説明で、電話回線を通じて参加している人の通信は暗号化されておらず、Zoomアプリを使ってインターネット回線の通話を行っているユーザーが暗号化の対象になっているとのこと。
電話回線分は、暗号化されていなかった。でもコレって当たり前ですね。普通に考えて、スパイとかでない限り電話回線は暗号化出来ないけれど、そこまで暗号化していると、解釈されてしまったのなら、謝罪しますということかと思います。

同じく、動画をクラウド録画する際に、暗号化された通信でサーバに接続し、サーバー上で動画をエンコードする際は一度動画の暗号化が解かれる。これは動画をエンコードするにあたり必要なことで、当たり前のことであるが、この時点がエンドーツーエンドではない。との指摘にも当てはまってしまう。エンコード後の保存時は暗号化されるので、仮にサーバー上の動画ファイルにアクセスされても、第三者が動画を見ることは出来ないという仕様です。

 

4.ユーザーアカウントが、ダークウェブで売られていた?
これもZoom日本法人社長 佐賀文宣氏の話によると、Zoomからの情報漏えいはなく、他社から漏れた膨大な数のユーザーアカウントとパスワードのリストを使い、Zoomに対して総当りでZoomのアカウントの存在チェックがかけられ、他社サービスと同じユーザアカウント パスワードの組み合わせを使っていた人が、サービスへのログインを許すことになったという経緯です。
いずれに対しても、該当ユーザのアカウント停止、パスワード変更の依頼など、しっかりとZoomは対応しています。
また、Zoomの会議に参加するだけの人は、アカウントを作る必要もないため、アカウントに関して心配するまでもありません。

Zoomのバックグラウンド

Zoomは中国系アメリカ人のEric Yuanが創業社長
元々は、Webex開発者、WebexがCiscoに買収されても開発者として携わっていたものの、新しいビデオコミュニケーションのソリューションを提供するということで独立。

企業向けのビデオ会議システムを中心に、提供していた。1日あたりのミーティングユーザー数が2019年12月に1000万人だったところから、2020年3月は3億人にまで急成長した。
その中で、ITリテラシの高くないユーザーも増え、企業ユーザーでは考えにくい使い方をされて、問題が発生したと考えられる。
問題のある使い方は、
ミーティングURLをWebに公開、パスワードを付けず、待合室も作らない等。

色々と報道された問題に対して、Zoomは素早く対応し、初期状態で問題が起きにくい高セキュリティー状態での提供となっています。高セキュリティーな分ユーザーの手間が増えてしまっているのが残念ですが。セキュリティと利便性のバランスは難しい問題です。

さらに、90日間のセキュリティー対策集中プランを経て、セキュリティー強化の集大成としてZoom 5.0をリリースしました。

 

まとめ

Zoomは、基本的な設定をを守っていれば、十分安全に使うことが出来るビデオ会議ツールです。
他のツールと比べて特別安全性が劣るということはなく、急にユーザー数が増えて、ユーザー層の変化に対応が追いついていない。必要以上に厳しい目にさらされてしまった、という状態だったと思います。
恐怖を煽るニュースに流されて、何となく避けるというのは、とても勿体ないことです。
しっかり調べて、納得した上で、使うか使わないかを判断すべきと思います。
非常に有用なビデオ会議ツールで、上記のような問題点を払拭できたので、私は使用することにしました。
https://itxdancer.com/tech/zoom-isnstruction-video/
タイトルとURLをコピーしました