【Zoom】セキュリティ問題って解決したの?最新情報を調査

Zoom セキュリティ 問題 解決

テレワークの普及とともに爆発的に広がったビデオチャット(Web会議)サービス「Zoom」
その簡単な操作方法やバーチャル背景などのユニークな機能によって完全な一強となる…かに見えましたが、セキュリティに重大な脆弱性が複数存在することが判明し、Google社はじめ多くの企業が利用を禁止しました。

関連記事

テレワークでオンライン会議サービス「Zoom」を使用している方!要注意です。 最近、至るところでZoomのセキュリティ問題が危険視されるようになっています。 結論からいうと、現時点(2020年4月20日)ではテレワークでZo[…]

Zoomは危険!?セキュリティ問題

という記事を書いたのが4月末。
あれから2ヶ月経ちましたが、Zoomのセキュリティ事情は今どうなっているのでしょうか?
そして一番気になる部分かと思われますが、「ビジネスで使用してもよい」のでしょうか?

そこで今回は、「企業利用で使えるようになったかどうか」という観点で、2020年6月30日現在の状況を再調査してみました。

セキュリティ問題①:エンドツーエンドの暗号化

Zoom セキュリティ 問題 解決

Zoomの通信は、エンドツーエンドというセキュリティ技術で暗号化されていません。
結論からいうと、この問題は未解決です(2020年6月30日現在)。

本件に関しては6月17日の対応状況報告で、以下のように発表されています。

当社は無料および有料のすべてのユーザーにエンドツーエンドの暗号化を追加料金なしの高度な機能として提供することにしました。

エンドツーエンドは高度な技術で、この暗号化が実装されることで第三者が通信内容を傍受することはできなくなります。
当初、Zoomはエンドツーエンドを有料ユーザーにのみ提供すると説明していましたが、方針を転換したようです。

おそらく、ネットワークに関する専門知識を持たない一般ユーザーにまで「Zoomはセキュリティ的に危ない」と認知されてしまったことから、他のソフトウェアより高度なセキュリティ機能を持たざるを得なくなってしまったのでしょう。
実際、対抗馬である「Google Meet」や「Microsoft Teams」はエンドツーエンドを実装していません(ただし暗号化はされています)。

話を戻すと、エンドツーエンドの実現は決定したものの実装はまだです。
逆にいえばこれが実現すればセキュリティの暗号化レベルは他のビデオチャットよりも高いものになります。

セキュリティ問題②:暗号化の強度

Zoom セキュリティ 問題 解決

こちらは解決(アップデートで強化)しました。
ソフトウェアが5.0にアップデートされ、2020年5月末時点で最新版未満のバージョンが使えなくなっているはずです。

会議画面を開いたとき、左上に緑のシールド(盾)マークが表示されていれば強度な暗号化が確保されていることになります。
これらは先述の「Google Meet」や「Microsoft Teams」と同水準です。

セキュリティ問題③:通信が中国を経由

Zoom セキュリティ 問題 解決

国の印象というややバイアスのかかった情報ではありますが、Zoomの通信は当国を経由するものになっていました。
本件も解決しており、アメリカ・カナダ・ヨーロッパ・インド・オーストラリア・中南米・日本・香港に置かれているサーバーから各通信の地域に合ったサーバーに自動接続されるようになっています。

中国はネットワーク技術が極めて進歩している国でもあり、同時にかなり無法地帯とも呼ばれる国でもあります。
実際に個人情報が漏洩したというニュースもあるので、できれば…ではありますね。

セキュリティ問題④:Zoom bombing(Zoom爆弾)

Zoom セキュリティ 問題 解決

一番の問題と言われていた「ズーム爆弾」です。
Zoomを使ったビデオチャットに第三者が勝手に参加(乱入)し、不快な画像を表示させたり、同じく不快な音声を放送するなどすることで、Web会議の進行が妨げられたり、参加者が不快な思いをしたりするというものでした。

この問題への対処として「待機室」機能が設けられ、第三者が入室した際には主催者の許可なく会議に参加できないという措置がとられましたが、ここにも脆弱性があり、待機室から会議の内容が盗聴されてしまうリスクも指摘されていました。
ここまで抜けているとたしかに恐ろしいですね…。

そしてこれら一連の脆弱性はすべて修正され、現在は待機室でも盗聴されることなく、承認制が敷かれています。
また、ミーティングルームにはパスワードを設定することができるので、二重の強化がされています。

よって、本件も解決されたといってよいでしょう。
実際、Zoom爆弾による被害はここ最近まったく耳にしていません。

セキュリティ対策事項まとめ

Zoom セキュリティ 問題 解決

現在ではセキュリティの脆弱性に関するほとんどの部分が修正されています。
気になるのはエンドツーエンドの実装なのですが、先述のとおり、他のビデオチャットツールでもエンドツーエンドが実装されていないことを考えると条件としては変わらない状態です。

もし注意するとすれば「URLや会議ID、パスワードを誤送信しない」という点ですね。
これは人的ミスで大いに起こりうるものです。
筆者はプライベートで相手がZoomを指定してきた際、しばしばLINEでこれらがコピペして送られてきていました。

LINEは基本的に友人としかつながりのないチャットツールですが、ビジネスにおいてはこれがメールや別のチャットツールになるわけで、誤送信というセキュリティリスクがここで生まれます。

「待機室」機能があることから、もし予期せぬ闖入が試みられても主催者はその人間を参加させないようきちんと手段をとることができます。
しかしユーザーは、連携するサードパーティーのセキュリティについても危惧しなければなりません。

ビジネスシーンでパスワードをかけた圧縮ファイルを送ることがありますが、その際、別のメールでパスワードだけを送信するという文化があります。
この是非(有効性)については疑問視されている部分も正直大きいのですが、Zoomがさらに信頼を勝ち得るとしたら、こういった情報伝達が別のアプリとシームレスにつながることでしょう。

そういった意味でGoogle MeetはGoogleカレンダーやGmailと連携していますし、Microsoft TeamsはOutlookと連携しています。
目視でコピー&ペーストをしなくても、自動的に連携され、送信できるという部分は地味ながら非常に大きなメリットです。

結論:会社のGoogle/Microsoftツールの対応状況で検討すべし

現在、Zoomのセキュリティレベルはとても高くなっています。
ただし、競合であるGoogle MeetやMicrosoft Teamsには自社のメールやチャットツール、カレンダーと連携する機能があるため、誤送信によるセキュリティリスクを抑えることが可能です。

企業であれば前者はG Suite、後者はMicrosoft 365といったツールが自社に導入されていることもあるかと思われますが、その場合であれば現段階ではまだZoomの使用を控えたほうがよいでしょう。

また、世間的に「Zoomは危ない」という認識が広がってしまったことも大きく、取引先の担当者をZoomに招待することで、「御社のセキュリティ意識は大丈夫ですか?」と思われてしまうリスクが正直なところ重要です。
例えば日本や他国の政府レベルでZoomの利用を再開したといったニュースが報じられれれば、今後はそういった先入観も払拭されていくでしょう。
今のところは静観しつつ、代替ツールで現状維持をしたほうがよいと考えます。