日経Xtechが「ビデオ会議「Zoom」は本当に危ないのか? 3つのセキュリティー問題でこれが怖い』と解説。機密情報をやりとりするのでなければ、脆弱性や設定に気をつければZoomを利用しても問題ないとおもうし、少人数での利用は無料なので、有り難い。難点は、Skypeなどに比べて、使い難い。そしてヤバいのは、以下の3点という。
(1)Zoomの暗号化は強固でない
(2)Zoomのクライアントソフトに危険な脆弱性が見つかっている
(3)開催する会議の設定に不備があると第三者に「乱入」される
以下、日経Xtecgの引用:::::::::::::::::::::::::::::::::::::::::::::::::::
新型コロナウイルス対策のテレワーク急増により、米ズーム・ビデオ・コミュニケーションズ(Zoom Video Communications)が提供するビデオ会議「Zoom」の人気が高まっている。2019年12月は多くても1日当たりの利用者が1000万人だったが、2020年3月には2億人以上に増加したという。
利用者の急増に伴って研究者などがZoomを精査するようになり、セキュリティーに関する問題が次々と報告されている。そういった報告に関する記事を読んで、「危なそうだからZoomを使うのをやめよう」と思っている人は少なくないだろう。
だが、Zoomのセキュリティー問題は多数あるために誤解が生じているようだ。きちんと理解した上で利用するかどうかを判断する必要がある。
個人的には、機密情報をやりとりするのでなければ、脆弱性や設定に気をつければZoomを利用しても問題ないと考えている。
セキュリティー問題を過小評価するのは危険だが、過大に評価して怖がりすぎるのも禁物だ。「ビデオ会議はセキュリティーの懸念があるらしいから、(新型コロナの感染リスクはあるが)対面で打ち合わせをしよう」といった事態になるのを心配している。
エンド・ツー・エンドの暗号化ではなかった
Zoomに関するセキュリティー問題は多数報告されているが、代表的なものとしては以下が挙げられるだろう。
(1)Zoomの暗号化は強固でない
(2)Zoomのクライアントソフトに危険な脆弱性が見つかっている
(3)開催する会議の設定に不備があると第三者に「乱入」される
(1)については米国のWebメディアであるインターセプト(The Intercept)などが記事にして話題になった。
例えば、ズームは「エンド・ツー・エンドの暗号化」をサポートしていると主張していたが実際にはサポートしていない。
エンド・ツー・エンドの暗号化とは、利用者以外は情報を復号できない暗号化を指す。ビデオ会議なら、会議の参加者だけが暗号鍵を共有し、やりとりする情報を暗号化および復号する。サービスの提供者であっても情報を復号できない。
ところが、実際はズームの鍵管理サーバーが暗号鍵を生成および管理し、会議の参加者に送っているという。ズームはやりとりする情報を復号できるのだ。
それだけではない。カナダのトロント大学シチズンラボ(Citizen Lab)の調査リポートによると、73ある鍵管理サーバーのうちの5つが中国に設置されているようだとしている。そして、中国以外にいる参加者同士の暗号鍵が、中国の鍵管理サーバーから送られていたという。
中国の鍵管理サーバーの暗号鍵が中国政府当局と共有された場合、ビデオ会議の内容が中国政府当局に筒抜けになる恐れがある。
これについてズームは、中国のサーバーを増強した際の設定ミスと説明。現在ではこの問題は解消したとしている。
そのほかシチズンラボのリポートによると、暗号化に使用しているAES(Advanced Encryption Standard)の鍵長は256ビットだとズームは説明していたが、実は128ビットだったという。
今のところ鍵長が128ビットでも安全とされている。例えば米国立標準技術研究所(NIST)は、128ビットAESの使用推奨期間を「2030年超」としている。とはいえ多くの組織や企業は256ビットに移行しているのが実情だ。
また、暗号の利用モードがECB(Electronic Codebook Mode)だった。ECBだと暗号文に平文と同じパターンが現れるので望ましくない。現在ではECB以外のCBC(Cipher Block Chaining Mode)などを使うのが一般的だ。
以上のようにZoomの暗号化はものすごく強固とはいえないので、国家機密や価値の高い知的財産をやりとりするのは控えたほうがよいだろう。各国の政府機関や機密情報を扱うことが多い企業がZoomの使用を禁止するのはうなずける。
だが、ビデオ会議のすべてが機密情報をやりとりするわけでない。公開しても問題のないような授業や講義、友人同士のオン飲み(オンライン飲み会)、簡単な打ち合わせといった用途なら、強固なセキュリティーは不要だろう。
それに、Zoomのセキュリティーに前述のような問題があるとしても盗聴にはコストがかかる。一般の人が手軽に盗聴できるわけではない。
コスト度外視で入手したい機密情報ならいざしらず、Zoomでやりとりされている情報のほとんどは、攻撃者がコストをかけてまで盗聴したいものではないだろう。
「盗聴されることのリスク」と「Zoomの利便性」をはかりにかければ、ほとんどのビデオ会議はZoomの利便性のほうが勝つはずだ。
シチズンラボのリポートでは、以下のような強固なセキュリティーを必要とする場合ではZoomを使用しないよう勧めている。
・スパイ活動を心配する政府
・サイバー犯罪や産業スパイを懸念する企業
・センシティブな患者情報を扱う医療関係者
・デリケートな話題に取り組んでいる活動家や弁護士、ジャーナリスト
一方で、友人との連絡や、公開の場で開催されるイベントや講義などにZoomを使う場合には問題ないとしている。
脆弱性対策と乱入対策は不可欠
機密情報を扱わない場合でも、(2)と(3)への対策は不可欠だ。これらはエンド・ツー・エンドの暗号や中国政府当局の話とは次元が異なる。
(2)Zoomのクライアントソフトに危険な脆弱性が見つかっている
(3)開催する会議の設定に不備があると第三者に「乱入」される
例えば2020年4月初め、ZoomのWindows版クライアントソフトに危険な脆弱性が見つかったとして情報処理推進機構(IPA)が注意喚起をした。細工が施されたリンクをクリックするだけで認証情報を盗まれる恐れなどがある。
また、Mac版クライアントソフトにも管理者権限を奪われるなどの脆弱性が見つかっている。
これらを解消するための修正プログラム(パッチ)が既に公開されている。また最新版では解消されているので、最新版をインストールするようにしよう。
とはいえ、脆弱性を解消することや最新版を利用することはセキュリティー対策の基本である。Zoomのクライアントソフトに限った話ではない
最近ではZoomクライアントソフトの偽物やウイルス入りクライアントソフトも出回っているようだ。セキュリティー企業のトレンドマイクロやカスペルスキーなどが報告しており、公式サイトやApp Store、Google Playから正規ソフトをインストールするよう呼びかけている。
ただこちらについてもZoom固有のセキュリティーリスクではない。人気のあるソフトに付き物のリスクといえよう。
一方、第三者によるビデオ会議への乱入はZoom固有のセキュリティーリスクといえるだろう。アクセス可能なビデオ会議に第三者が勝手に参加し、不適切な動画を流したり暴言を吐いたりする。この乱入行為は「Zoombombing(Zoom爆撃)」と呼ばれる。
例えば米連邦捜査局(FBI)は2020年3月末、高校などが実施していたビデオ会議の授業への乱入が相次いでいるとして注意喚起を出した。
対策は、ビデオ会議を識別するためのミーティングIDを公表しないことや、会議の参加にパスワードを設定すること。パスワードを設定しておけば、ミーティングIDが分かってもビデオ会議に参加できない。
参加者を事前にチェックできる「待機室機能」を使うことも効果がある。ただしシチズンラボの研究者が同機能には脆弱性があると指摘。2020年4月3日に公開した情報では、同機能は使わずにミーティングパスワードの設定でセキュリティーを強化するよう勧めている。脆弱性の詳細については明らかにしていない
中小企業のテレワークがなかなか進まない、というデータから座談会はスタート。
「テレワークに対応できない上司には、周囲の働きかけで強制的にでも対応してもらう必要がある」と語る富士通・中山氏
KTKC・飯塚氏から「テレワーク時の就業規則に困ったら、厚生労働省の指針をコピーペーストするところから始めたら良いのでは?」という提案がなされた。