テレワークでオンライン会議サービス「Zoom」を使用している方!要注意です。
最近、至るところでZoomのセキュリティ問題が危険視されるようになっています。
結論からいうと、現時点(2020年4月20日)ではテレワークでZoomを使うべきではありません。
今回はその理由について解説していきます。
Zoomとは?
Zoomとは、今年に入ってから急成長を遂げているオンライン会議サービスです。
これまでオンライン会議サービスはSkypeやTeamsなどが人気でしたが、簡単に使えることや使用する容量が少ないことから人気が爆発。個人間だけでなく法人でも幅広く利用されるようになっていました。
Zoomが支持を集めているのは、こんな理由からです。
- 届いたURLをクリックするだけで会議に参加できる
- 通信データ量が少ないため音声や画面が途切れにくい
- マイクやイヤフォンが自動で設定される
- 会議の録音や録画が簡単
- パソコンやモバイルなどどんな端末でも利用可能
特に①の「届いたURLをクリックするだけで参加できる」点がとても便利で、主催者以外はアカウントの作成や事前共有が必要ありません。この簡便さを打ち出したことが功を奏したといえるでしょう。
2019年12月では1000万人だったユーザー数は2020年3月時点で2億人を突破しており、使ったことのあるという方も少なくないかと思われます。
Zoomの危険性とは?
そんなZoomですが最近になってセキュリティに関する問題が数多く指摘されており、早くからZoomを導入していたGoogleや各国政府、大手企業が「Zoomの使用を禁止する」と発表しています。
いったいどのようなセキュリティ問題が挙がっているのでしょうか。パソコンにあまり詳しくない方にも伝わるように、わかりやすく解説していきます。
【解消】強制的にオンラインミーティングに参加させられる
これは、「ユーザーの許可なくカメラが有効化される脆弱性」が悪用されたケースです。
脆弱性とは「セキュリティホール」とも呼ばれる、プログラムの不具合や設計上のミスが原因となって発生した「情報セキュリティ上の欠陥」を指します。
悪意のあるWebサイトにアクセスすることで、強制的にカメラが起動したり、知らないWeb会議に参加させられたりしてしまうというものです。テレワークではあまり関係ありませんが、Zoomの信用度が疑われるような深刻なセキュリティホールであることに変わりはありません。
2019年7月にプログラムが修正されており、現在では本点におけるセキュリティ上の懸念は小さいと考えられます。ただし、普段からインターネットを使う際に心がけているように、「怪しいURLは絶対にクリックしない」ようにしましょう。
【解消】OSの資格情報を盗むことができる
これは、Windows・ソフトウェア版の「Zoom for Windows」で発見された脆弱性です。
Zoomではビデオ会議と並行してチャットもできるようになっているのですが、このチャットで悪意のあるコードの仕込まれたURLをクリックすることで、第三者がパソコン内のファイルにアクセスできるようになってしまうというものです。
この脆弱性は2020年3月24日に指摘され、2020年4月1日には修正されています。
この件に関しては、「会議中にチャットで知らない人間からURLが送られてきたら絶対に開かない」という「自分でできる対策」を今後も講じておくことがなにより重要です。要は「知らない人間から送られてきた添付ファイルつきのメールは絶対に開いてはいけない」ことと同じで、会社のセキュリティに関する研修などですでに学んでいるはずです。
【解消】Zoomの利用者データがFacebookに自動送信される
本件はアメリカで集団訴訟にまで発展したほどの大きな話題となりました。iOS版のZoomを起動したユーザーの利用情報が、Facebook社に(Facebookを利用していなくても)勝手に送信されるという仕様です。
「ユーザーの利用情報」とは、ここではユーザーのIPアドレス、iOSのタイムゾーン、iOSのバージョン、使用言語、使用端末の機種、通信キャリア、広告主IDを指します。
本件は最新バージョンのZoomアプリでは修正されているため、iOSでZoomアプリをインストールされている方は必ずアップデートしておきましょう。
セキュリティホールというより、Zoom社のプライバシーに対する姿勢ですね。
【未解決】企業のWeb会議なのにパスワードをかけていない??
Zoomは主催者が会議を立ち上げる際に「会議ID」と呼ばれる9〜11桁の数字が割り当てられ、参加者が会議に参加するために「パスワードを入力させる」ことができます。
これらのIDやパスワードが「(悪意のあるツールを使って)何回も自動入力を試みることで入室できてしまう」ことが指摘され、Zoomは「何度も繰り返し入力できない」仕様へと変更を行いました。
パスワードについては、会議を立ち上げる際に「標準でパスワードの設定を求める」ように仕様になっています。さらに「待機室」機能によって、参加者を一時的に待機させ、主催者の許可を得て入室できる仕様も追加されました。
これらの3点によって、第三者が勝手に会議へ参加し、悪意のある行為を働く「Zoombombing(Zoom爆弾・Zoom爆撃)」と呼ばれる問題を解決できる…はずでした。
が、面倒さを嫌ってこのパスワード設定を怠っている企業が多く存在することが判明するとともに、パスワード設定を行っていない会議に参加できてしまうツールの存在も明らかになっています。
この問題はZoom自体というより、オンライン会議サービス利用者のセキュリティに対する意識に起因するものです。
Zoomを利用する際は推測しにくいパスワードを必ず設定することでこの問題は防ぐことができます。
メールアドレスの流出
海外セキュリティ企業が2020年4月に発表したニュースが非常に衝撃的です。
Zoomに登録したメールアドレスが流出し、そのうち50万件がインターネット上で販売されているというものです。
流出の原因は「会議サービスに適切な暗号化がされていないこと」とされており、こちらは有識者とZoomとの間で意見が食い違っています。
ちなみにZoomにメールアドレスの登録が必要なのは主催者のみです。
結局Zoomは安全?
現時点(2020年4月20日)では、Zoomが「安全であるとはいえない」状態です。
特に暗号化の面で懸念が残ります。
ただし、フリーアドレスを利用してオンライン飲み会などプライベートな催しを行う場合でのリスクは低減されています。それでも「パスワード設定」は忘れずに行ってください。
Web会議を実施・参加する際に注意すべきこと
これから企業内でも周知されていくかと思われますが、「企業でWeb会議を行う際に個人ができるセキュリティ対策」をきちんと理解し、遵守することが重要です。下記にまとめました。
- ソフトウェアが常に最新バージョンであることを確認する(起動したらアップデートを行う)。
- 自分宛てに送られてきた会議召集のURLがなりすましや未知の人物でないことを相手に確認する。
- 会議には必ずパスワードを設定し、URLや会議ID、パスワードは適切な参加者のみに教える。
- 画面共有は基本的に主催者のみにする(想定外の画像共有を防ぐため)。
- 参加者が会議に出入りしたときに音を鳴らし、すぐに気がづけるようにする。
- Zoomでは「待機室」の機能を使用し、承認したユーザーだけが参加できるようにする。
- 参加予定者全員を召集して会議が始まったら会議をロックし、想定外の参加を防ぐようにする。
おすすめのオンライン会議サービスはある?
Zoomのセキュリティ懸念を受けて、他社サービスの利用に注目が集まっています。
そこで、現在利用しやすいオンライン会議サービスを紹介します。
Google Meet(旧「ハングアウト」
「Google Meet(旧グーグルハングアウト)」は、Googleが提供するWeb会議サービスです。4月16日には「Gmail(G Suite登録のメールアドレス含む)」からURLをクリックすることで会議に参加できる機能を追加するなど、よりシームレスに利用できるようになっています。
また、Google社はもともと社内でZoomを利用していた(現在はセキュリティ問題を受けて社内利用を禁止しています)こともあってセキュリティにより注力しているほか(Googleのサービスで情報流出というのは致命的です)、機能面でZoomの人気となっていた「バーチャル背景」も近日中に利用できるとアナウンスされています。
バーチャル背景はユーザー待望の機能ということもあるので、アップデートの際には本サイトでも紹介していきます!
まとめ
現時点で、企業利用においてZoomはあまり推奨できません。今後の発表と有識者の見解を待ちましょう。
代替としては「Google Meet」のほか、Microsoft社が提供する「Teams」などもあります。
なお、サービスを利用する際には機能比較以上に個人のセキュリティ意識がなにより重要です。サービス提供者がどれだけ策を講じたとしても、利用者の意識が低ければ個人情報や機密情報の漏洩を防ぐことはできません。
メールやSNSなどサービスが進化するに伴い、ルールも次第に整備されていきます。しかし今回は事前準備の期間がなく急に各社で導入せざるを得なくなったことから、社会的に明確なルールが設けられてないという状況です。
事故は、起きてから考えるようでは手遅れです。自分でできる対策はしっかりと練っておきましょう。