【Zoom】セキュリティについてと改めて気をつけたいこと(2020.04.28時点)
利用拡大に伴い、脆弱性やミーティングルームでの迷惑行為などが指摘されていた「Zoom」について、4月の頭から非常に多くのアップデートがありました。
パスワードや待機室について書いた以下のnoteは1万回以上読まれており、セキュリティへの関心の高さが伺えます。
今回は、前回のnoteを出して以降に出てきたZoom関連の話題について、引き続き気をつけたいことやアップデートされた内容を書いていきたいと思います。
大前提として、常にアプリの最新化を
4月の上旬よりかなりの頻度でZoomはアップデートされています。
その中で様々なセキュリティの対応がされているので、常に最新版になるように意識しておくのが大切です。
(4/28現在の最新バージョンは5.0になります)
接続先の制限
一時期、Zoomのデータの送信先が様々なリージョン(国)にわかれていることについて、問題が指摘されていました。
現在は、ユーザーごとに特定リージョンの接続制限機能のON/OFF、その中でもリージョンごとのON/OFFの切り替えが可能になりました。
アカウント設定 - ミーティングにて(詳細)の中に該当項目「Select data center regions for meetings/webinars hosted by your account」があるので気になっていた方は確認してみてください。
以下はONにした時のデフォルトの設定。
アプリ側からのセキュリティ設定変更
先日のアップデートにより、ミーティングのホストはZoomのアプリからもセキュリティ設定の変更ができるようになっています。
参加者が揃い次第ミーティングに鍵をかけたり、待機室の有効化、参加者ができることの制限をすぐに行うことが可能です。
(セキュリティが表示されない方は最新版にアップデートしてください)
Zoomの通信について
通信の暗号化があまりされていなかったと指摘されていたZoomですが、通信に詳しいエンジニアの方とお話させていただく機会があり、以下の図のような情報を提供いただきました。
提供元:ITコンサルタント 上ケ平さん
①のようなEnd to Endでの暗号化は、どのサービスでもデフォルトではされておらず(機能が制限される為)、Webexにオプションとして実装されています。
一般的には②のような全経路での暗号化が望まれており、Microsoft Teamsなどはこれを実装しています。
Zoomは現在は②と③の中間と言われており、全経路の暗号化についても実装を進めている段階になります。
余談ですが、③の通信は主にメールがこれに該当しています。
これまではパスワード付きのファイルを送るなどのセキュリティ対策がありましたが、同じ経路で送っている場合、経路自体を盗聴されるとパスワードも漏れてしまうので意味が無いとされています。
このように、自分が普段何気なく使っているものもセキュリティレベルを知っておくのも大切だということがわかります。
先日報じられたパスワード流出について
以下のサイトや他の情報ソースを調べてみると、流出したユーザー情報はZoomからの流出ではなく、他のサービスで流出したユーザー情報をZoomのログインで試し、存在がすることが判明することがわかったものになります。(クレデンシャルスタッフィング攻撃、パスワードリスト攻撃というもの)
このユーザー情報は4/1以前のものとのことで、4/1以前にユーザー登録をした人の中で他のサービスと同じメールアドレス/パスワードの組み合わせを使いまわしている人は注意した方が良いというものです。
このような事例もあるように、まったく同じメールアドレス/パスワードの組み合わせを複数のサービスで使いまわすのは、セキュリティリスクを高める行為になるので注意が必要です。
また、急激に普及した為に様々なセキュリティリスクが指摘されたZoomですが、他のミーティングツールでもセキュリティの問題の指摘は出てきており、一概に「Zoomは危険」「〇〇は安全」とは言えません。
どのツールを使うにしても、基本的な自衛の知識を自分が持つことで、安全にツールを使うという意識がこれから更にオンライン化が進む時代においては大切になります。
(俗に言う ITリテラシー)
その他
最近のアップデートされた機能について、既にまとまっているサイトがありましたので、どんなものが実装されたのか知りたい方はそちらを参照していただければと思います。
日々、様々な機能が出てきているので、必要なものがあれば設定を見直し、自分が望む状態にすることが大切だと考えます。
また、基本的なZoomのセキュリティのことについては、以下の一般社団法人ITC-Pro東京主催のセミナーにて、お話させていただいています。
冒頭10分で基本的な話、その後は参加者の方からの質問を受けながらセキュリティ情報を共有していますので、何かの役に立てば幸いです。
以上!
この記事が気に入ったらサポートをしてみませんか?