パスコーソフトウェア

育児まっただ中のSEパスコーが経験したIT・子育てについての経験をお届けするブログ。趣味であるバイクにあまり乗れないことから、欲しい物のレビューを書くことで楽しんでいる。バイク関連がメインコンテンツになりつつあります。

MENU
トップ > SEの日常 > 日本中で利用拡大中!!ウェブ会議システムZoomのセキュリティ脆弱性について

日本中で利用拡大中!!ウェブ会議システムZoomのセキュリティ脆弱性について

SEの日常 Teams

f:id:pastel_soft:20200405080113p:plain

大流行しているWEB会議Zoomについて

無償提供という企業努力によって、テレワークをするために欠かせないWEB会議システムの1つ、Zoomの利用が一気に拡大しました。

このブログを読んでくださっている皆様の中にも、Zoomを使ってweb会議をされている方も多くいらっしゃると思います。

そのZoomに、セキュリティー脆弱性、つまり弱点があるというニュースと、その後にZoom社から対応指針を示した報告が上がってきましたので内容をお知らせいたします。

大人気のWEB会議システムZoomのに発見された脆弱性

経済産業省配下にある、情報処理技術者試験を行っているIPAという組織から、次のような内容で、セキュリティー脆弱性が報告されました。

Zoom は、ビデオ会議アプリです。

Zoom の Windows クライアントのチャット機能に、UNC(Universal Naming Convention)パスの処理に関する脆弱性が確認されています。

悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする可能性があります。

今後被害が拡大する可能性があるため、早急に対策を実施して下さい。 

Zoomを利用することで次のリスクがあり、ニューヨーク市では大学などに対してZoomの使用を禁止している状況にあります。

  • 情報を他社が見えなくする暗号化の方式に問題があり、Zoom社でデータの内容が見れてしまう
  • ビデオ会議に乱入されてしまう、Zoom爆弾(ズームボンバー)が発生する
  • パソコン内のデータを不正に盗まれてしまう
  • 利用ユーザーのデータをFacebookに提供している(使途不明)

 

次のような方が脆弱性による被害を受ける可能性があるということになります。

  • OSがWindowsのPCを使っている 
  • Zoomを利用している
  • Zoomのチャット機能を利用している
  • ハイパーリンクをチャットに貼り付けることがある

こういった状況下で、アンチウイルスソフトが入っていなかったり、Windows Updateが最新になっていないなどの状況にあるPCは非常に危険です。

 

更に加えて、Macユーザーにも脆弱性の影響が出たという情報も入っています。

  • Macユーザーがウェブカメラやマイクを乗っ取られる危険性がある

利用が急拡大している=悪意のあるユーザー(=悪い人)にとって、チャンス拡大ということでもあることを知っておくのが良いでしょう。

今、Zoomの脆弱性は悪意のあるユーザー非常に多くの人に影響を与えられる大チャンスなのです。

これらの脆弱性を利用して、ズームボンバーと呼ばれている悪意のある行為がはびこっています。どんな事ができてしまうのかというと、招かれざるゲストがビデオ会議に参加し、罵声を浴びせたり、ポルノを共有したり、人種差別的な発言をしたりするというものです。

高いセキュリティで守られているはずのZoomでのWEB会議に、招いてもいない人が入れてしまうというのは、セキュリティに穴がある(セキュリティホールがある)といわざるを得ませんね。ウイルスなどを送りつけられるリスクもあります。早急な修正がもとめられます。

Zoom社は急ぎ、コメントを発表

利用ユーザー拡大中というビジネスチャンスのタイミングで、大きな脆弱性が発見されてしまったわけですから、Zoom社も早急に対応せねばなりません。

すかさず、コメントが発表されました。

内容を簡単にまとめてみます。

  • ZoomのWEB会議が2019年12月末時点で1日に1000万人以上に使われており、大きな責任を感じている。2020年3月には3億人を突破した。
  • 利用ユーザーの急拡大の状況下でも快適に使えるよう、Zoom社内は必死に対応を行っているが、セキュリティ上の脆弱性が発見されることになり申し訳なく思っている。
  • 大手企業向けに設計・構築したZoomが、一般市民に、しかも短期間でこのように大量に使われることを想定できていなかった。大企業のビジネス用途では考えにくい利用方法をされることにより脆弱性が発見された。(当サイト追記:表現は前向きですが、脆弱性が発覚したことに変わりはありません。)
  • 機能拡大を最優先して対応してきたが一時停止し、脆弱性の対応に全力で取り組むことを約束する

 

こういったものでした。

日本に限らず、世界中で新型コロナウイルスの影響により外出自粛/禁止の要請や指示が出ている中ですので、Zoomが大至急、安心して使えるようアップデートされることが望まれますね。

ITに対してアンテナの高い方は、修正が行われるまで一時的にZoomの利用を中止した方がおられるかもしれません。では、いつ修正されるのでしょうか。

Zoomのセキュリティ上の脆弱性は90日以内に修正する

Zoom社は90日以内に対応を行い安全に使ってもらえるようにすると発表をしています。すなわち、今の所最大で90日間はリスクがあるまま使うことになるということです。

上記以外にも、Zoomで録画した動画が全世界に公開状態になっているなどのセキュリティ上の問題が連続して勃発している状況にあります。

順次対応をしていく、という発表はされているものの、機密情報のやりとりなどを行うのは控えておくのが良いと考えられます。

 

所感

私パスコーは通常はマイクロソフトのTeamsを使っているのですが、先日ベンダーとのやりとりで初めてZoomを経験しました。

Teamsに負けず劣らず快適に使うことができました。Zoomは画面共有のスピードが速く、会議開始までの待ち時間が短いというメリットがあるように思います。便利ですね。

 

とは言え、今回のセキュリティ上の脆弱性は非常に大きなもので、見過ごすことはできません。ビジネス用途で使うのはパスコーは可能な限り控え、Zoomの招待が届いた際にはTeamsの招待リンクでお願いできないか確認することにします。

WEB会議の録画をすることもありますし、全世界に公開されるとよろしくないですもんね。

無償ですから、何かがあっても償ってもらうことはもちろんできません。安全性など、高いレベルを要求するのであれば利用するサービスにはお金を払って安全なサービス利用をするのが良いですね。

Teamsについて、なんて読むの?と聞かれることが非常に多いのでこちらの記事に書きました。チームスは間違いですのでご注意を。。。

www.pastel-software.work

 

最後までお読みいただきありがとうございました!

では、また次の記事で。

参照:https://zoom.us/

参照:https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html