Zoom爆弾やアプリの脆弱性、防ぐにはどうする
Zoom Video Communications カントリーゼネラルマネージャー佐賀文宣氏/右上は著者
−−現在Zoomユーザーはどのくらいいますか。
グローバルの1日あたりのミーティング参加者数は2020年2月に1700万人だったところ、3月に2億人、現状では3億人に広がりました。日本の数字は非公開ですが、世界同様に急増しています。10ライセンス以上をご契約している企業は2020年1月に3500社でしたが、利用者の増加に伴い顧客数も急増しています。何よりも無料ユーザーと学校向け(緊急事態で無料提供中)が爆発的に伸びています。
−−脆弱性についていくつか指摘されています。
ほとんどの指摘に対しては対策ずみです。現時点では心配なくお使いいただけます。
−−どんな指摘がありましたか。
代表的なものに個人や学校で利用中に部外者が乱入するケースがありました。いわゆる「bombing(爆弾)」といわれる問題で、これはZoomに限らずどのビデオ会議システムでもあり得ることなのですが、セキュリティ設定を正しく使えば起こりません。例えばミーティングに参加するにはパスワードを必要とする、待機室を用いて入室を許可制にする、画面共有ができるのはスピーカーのみなどの運用をしていれば、部外者の妨害を防げます。ミーティング情報がSNSに流出したために部外者に乱入されたケースもあったようです。
そこで私たちは初期設定を変更しました。ミーティングのパスワード設定や待機室の使用をデフォルトにするなどです。ホストが使う画面にはセキュリティ機能(設定や部外者を退出させる)のアイコンをわかりやすい位置に表示するように改良しました。他にも「Zoomミーティングを安全に実施するための 10 の方法[*1]」文書、安全に使うためのセミナーなど安全に運用するための普及啓発を進めています。
−−アプリの脆弱性に関する指摘がありました。
重要な更新があるとポップアップで通知するなど、常に最新版に更新いただくことをお願いしております。アプリは最新版をお使いください。Zoomのインストールを装う不正プログラムも出回っています。プログラムはダウンロードセンター[*2]から入手してください。
[1] Zoomミーティングを安全に実施するための 10 の方法
[2] ダウンロードセンター
アプリに関する問題は主に2つありました。1つはWindowsのUNC(Universal Naming Convention)パスの脆弱性を悪用したものです。チャットに投稿されたUNCリンクをクリックするとユーザーのWindowsログインクレデンシャル(認証情報)が攻撃者に渡るというものでした。現在ではUNCリンクがハイパーリンクにならない(クリックできない)ように変更ずみです。
もう1つはiOSアプリからFacebookアカウントでログインする時、ユーザーが使うデバイス情報などがFacebookに渡ると指摘がありました。ZoomではFacebookのSDKを使うことをやめてプログラムを修正し、Facebookには情報を過去も含めて削除するように依頼しています。Facebookに流れた情報はデバイス情報で、ログインクレデンシャルではありません。SDKの仕様を理解していなかったところは私たちの責任ですので、プログラムの修正とFacebookへの削除依頼という対応をさせていただいています。
−−Zoomでログイン時に多要素認証の仕組みはありますか。
現状では多要素認証の仕組みはありません。ご要望はいただいているものの、まだ提供予定ではありません。企業で使うなら安全にシングルサインオンできる何らかの仕組みがあるので、これまで必要と考えていませんでした。ご要望はいただいていますし、日本のZoomからも要望しているところです。
4月から3ヶ月間はセキュリティ強化に専念する
Zoomのアップデート情報、質問への回答は「Ask Erck」で公開されている ⇒ Youtubeライブ配信
−−エンドツーエンドで暗号化できていないと懸念する人もいるようです。
エンドツーエンドの暗号化はできる場合とできない場合があり、それをひとくくりにできると説明してしまったのが弊社の落ち度でした。
Zoomに限らず、クラウドの会議サービスでは、クラウド上で録画や何らかの処理をするならクラウド上でいったん暗号化を解く必要があります。こうしたケースも含めて「エンドツーエンドで暗号化している」と申しあげたのが誤りでした。クラウドに録画する場合はサーバーで暗号化が解かれ、その後また暗号化されます。
暗号化には鍵管理の問題もあります。暗号鍵をZoomが管理するためZoomが会議を参照できてしまうという指摘があります。できないようにするために、お客様自身が暗号鍵を管理する方法があります。技術的に可能です。実際にごく一部の高い機密性を必要とする顧客で実施されていますが、一般向けには提供していません。そこでお客様自身で暗号鍵の管理をできる仕組みを提供すると発表したところです。年内提供予定で準備中です。
−−Zoomのクレデンシャルがダークウェブに流出しているという指摘もありました
Zoomからお客様のクレデンシャルが流出した事実はありません。一般的にサイバー攻撃者は盗んだクレデンシャルを別サイトでも試します(筆者注:パスワードリスト攻撃)。パスワードを使い回すユーザーがいるため、総当たりよりログインの成功率が高くなるからです。ダークウェブにあると言われているデータは他で盗まれたクレデンシャルを使い、Zoomにログインして成功したアカウントのリストの可能性があります。
現在は第三者機関と連携し、不正ログインを防ぐように対応しています。盗難が疑われるアカウントにはメールでパスワードを変更するように通知したり、何度もパスワードを変えてログイン試行する不審なアクティビティには応答までの時間を長くするなどです。もともと攻撃を防止する仕組みがありましたが、強化しています。
−−セキュリティに関する指摘はおおよそ網羅できたでしょうか。
中国のデータセンターに繋がっていたのも大きく問題視されました。これは弊社に非がございました。
もともとZoomはどんなに負荷が高まろうともサービスを止めないように、世界17ヶ所のデータセンターが連携しています。日本で負荷が高まり国内のデータセンターで処理できない場合、例えばアメリカなどレスポンスがいいデータセンターに接続します。
2月に世界中で、特に中国で需要が急増して中国のデータセンターを拡張しました。もともとジオフェンシング(地域ごとにデータセンターに仮想的な壁を作る)があり、日本のミーティングが中国のデータセンターに繋がらない仕様になっていたのですが、人為的なミスで2月のある時期から特定の条件で中国のデータセンターにつながりうる状況になっていました。4月頭に指摘があり、翌日には設定を修正し、今では日本から中国につながらないようになっています。
なお現在、有料ユーザー限定ですが、国内で負荷が高まった時に接続したくないデータセンターの地域を明示的に選択できるようにしています。
−−国を越えてデータセンターで連携しているのですね。ミーティング参加者の国や地域が多岐にわたる場合はどうなるのですか?
まずは最寄りのデータセンターにつながります。世界17ヶ所で連携し、パフォーマンスを落とさないようにしています。Zoomでは独自の技術でできるだけ遅延が起こらないようにしています。
−−Zoomは手軽さや大勢で利用可能などの良さがあります。飲み会やおしゃべりならいいけど、セキュリティが不安だからビジネスの利用には抵抗があるというイメージができてしまった気がします。
今まで指摘された問題については、最新バージョンにアップデートいただければ全て修正されていますので、安心してお使いください。
CEOのエリック・ユアンが4月頭に「最も安全な(ミーティングの)ソリューションになるために、4月から3ヶ月間は他の開発を止めてセキュリティ機能強化に注力する」と宣言しました。指摘された問題以外にもリスクを徹底的に見直すべく、外部からのアドバイザーも入れています。最も安全な製品に生まれ変わるいいチャンスだと捉えています。
これまでは使いやすさを前面に開発を進めていましたが、今はセキュリティが第一優先です。指摘された部分は早く正し、透明性を持って伝えることに努めていこうと思っています。
- 編集部注:本記事の取材の直後にZoomは「Zoom5.0」とセキュリティの強化策を発表した。詳しくはこちら
