2020年9月17日技術ブログ

Zoomを安全に使うには？

コロナ禍で脚光を浴びたZoom。これまで指摘されたさまざまな問題と、Zoomを使用する際の注意点をまとめる。また、本稿の詳細版とサイバーセキュリティの最新トレンドを掲載している「グローバルセキュリティ動向四半期レポート」も併せて紹介したい。

Zoomって結局何が問題？

新型コロナウイルスの感染拡大に伴って広まったテレワーク（リモートワーク）で利用者が急増したWeb会議ツール“Zoom”。アカウントを持っていなくても、会議主催者が設定した会議URLとパスワードさえあれば会議に参加できる使いやすさが特徴の1つですが、Web会議を安全に行うために必須の「機密性」（※1）を脅かす問題が次々と明らかになったことで、Zoomの使用を問題視する声が多く聞かれるようになりました。本稿では、Zoomに指摘された問題を、Zoom自体の問題と、ユーザ側の問題に分けて説明します。なお、この記事の詳細版はグローバルセキュリティ動向四半期レポート2020年第1四半期版（※2）に掲載していますので、ぜひそちらもご覧ください。

（1）Zoom自体が持つ問題

会議のエンドツーエンド（E2E）の暗号化が正しく行われていなかった（※3）

E2E暗号化とは、通信の送信者と受信者のみが鍵を持ち、暗号化されたデータを復号できる仕組みです。Zoomの公式サイトには「会議はE2Eで暗号化されている」と説明されていましたが、実際には正しく暗号化が行われておらず、Zoom社や第三者による会議の盗聴が技術的に可能であったことが判明しました。

会議が、本来接続しないはずの中国のデータセンタを経由していた（※4）

北米で実施した会議の暗号化鍵が、本来経由しないはずの北京にあるサーバを経由して送られていることが判明しました。中国サイバーセキュリティ法に基づき、Zoomの中国拠点は中国政府からの情報開示要求に応じる義務があります。そのためユーザの機密情報が中国政府に渡るおそれが高いとされ、セキュリティ上の懸念が一気に広まりました。

ユーザの同意を得ずに端末情報がFacebookに送信されていた（※5）

iOS版のZoomアプリにFacebookアカウントでログインするために使用されていた機能によって、ユーザの端末データがFacebookに転送されていたことが判明しました。このことはプライバシーポリシーに明記されていなかったため、訴訟に発展する問題となりました。

待機室のユーザが会議の内容を盗聴できることが分かった（※6）

Zoomサーバから待機室（悪意のある不正な参加者を会議から排除するために作られた機能）にいる全ユーザへ、会議の復号鍵が自動的に送信され、会議内容が盗聴される可能性があることが分かりました。

ここに挙げた問題は、すでにZoom社によって対処されています。Zoomを使用する際は、必ず最新バージョンにアップデートしてから使いましょう。

（2）ユーザの使い方によって発生する問題

最新版のZoomアプリを使用していても、ユーザの使い方により機密性が脅かされる問題もあります。

Zoom Bombing（Zoom爆弾）

SNSなどで共有されていた会議参加用URLを入手した攻撃者が会議に乱入し、暴力的な画像を画面上に表示したり、ヘイトスピーチを伴う暴言を吐くなどの嫌がらせが多数報告されました。単なる迷惑行為と捉えられがちですが、本来会議に関係ない第三者が会議に入り込むことは情報漏えいなどの原因にもなるため、機密性への影響が懸念されます。

どのように使えば安全？

「Web会議サービスを使用する際のセキュリティ上の注意事項」がIPAによってまとめられています（※7）。ここではその中でも、Zoomを使用する際に大前提として把握しておくべき注意事項と、Zoom爆弾のようにユーザが最低限注意しなければ回避できないリスクにどう対処するかをまとめます。

大前提として注意すべきこと

アプリのバージョンや端末の状態を最新に保っておくことは、Zoomに限らずあらゆるツールを使用するうえで重要です。

IPAによる注意事項のうち、Zoom爆弾のリスクを回避するためにユーザができること

Zoomの各種設定は、組織のZoomアカウントの管理者によって一括で設定し、ユーザごとに変更できないようにロックすることができます。左の項目のうち上段の5項目は、Zoom爆弾のリスクを回避するために必須と言えます。
下段の3項目は会議によって状況が異なるため、各ユーザ（会議主催者）が適切に設定するようにしましょう。

おわりに

社内の会議にZoomを使用して良いかどうかの基準は、会議の種別や機密性の度合い、業界の特性などを考慮する必要があるため世の中一律に定めることは出来ません。組織ごとに方針やルールを明確に定めた上で、それに沿った使い方をするようにしてください。上で紹介したように、管理者が設定を一括で行いロックしておくことで、一人ひとりのユーザが特別な考慮をしなくても安心して使うことができます。
本記事や、本記事で取り上げなかったZoomの脆弱性、Zoomの使用を制限している国の情報など、より具体的な情報を掲載したグローバルセキュリティ動向四半期レポート2020年第1四半期版も参考にしながら、自分たちの環境でZoomをどのように考え、扱うのかをいまいちど見直してみてはいかがでしょうか。

※Zoomは、Zoom Video Communications, Inc.の登録商標です。
※Facebookは、Facebook, Inc.の登録商標です。

※1情報セキュリティの3要素の1つ。機密性、完全性、可用性の3つは、情報セキュリティ対策を考えるうえで確保すべき要素と言われている。

https://www.nttdata.com/jp/ja/data-insight/2018/1210/

※2サイバーセキュリティに関するグローバル動向四半期レポート（2020年4月～6月）

https://www.nttdata.com/jp/ja/news/information/2020/091101/

※3The Intercept

https://theintercept.com/2020/03/31/zoom-meeting-encryption/ （2020/3/31）

※4Citizen lab

https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/ （2020/4/3）

※5Mother board

https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account （2020/3/26）

※6Citizen lab

https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/ （2020/4/8）

※7情報処理推進機構

https://www.ipa.go.jp/security/announce/webmeeting.html （2020/7/14）

お問い合わせ