見出し画像
Photo by ia19200102

ZOOMのセキュリティは何が危ないと言われているのか

須田浩巳

今をときめく?オンライン会議システムZOOM。
今月初旬あたりから特に、セキュリティが危ない!といろいろな場所で記事になっています。

今回は、その中からわかりやすいと感じた優良記事をピックアップして、サマリを書いていきます。
何が危ないのか?利用者は何に気を付ければいいのか?

ZOOM使って大丈夫?結論は

シチズンラボのリポートでは、以下のような強固なセキュリティーを必要とする場合ではZoomを使用しないよう勧めている。
・スパイ活動を心配する政府
・サイバー犯罪や産業スパイを懸念する企業
・センシティブな患者情報を扱う医療関係者
・デリケートな話題に取り組んでいる活動家や弁護士、ジャーナリスト
機密情報をやりとりするのでなければ、脆弱性や設定に気をつければZoomを利用しても問題ないと考えている。

日経クロステック4/13 勝村 幸博 氏
https://xtech.nikkei.com/atcl/nxt/column/18/00676/041200044/?P=2

の意見に同意して、私個人は今時点ではこれからも便利に使う予定です。
以下、ちょっと長くなりましたが、参考記事からトピックスをまとめました。

ZOOMの動向

ーZOOMの利用者は、2019年12月は多くても1日当たり1000万人だったが、2020年3月には2億人以上に増加
ー利用者の急増に伴って研究者などがZoomを精査するようになり、セキュリティーに関する問題が次々と報告されている。
ーなお「Zoomについては2019年にも、Mac版クライアントでWebカメラやマイクがハッキングできる脆弱性などが公表」ということで、ZOOMのセキュリティの課題は以前からある
ーZoomは4月1日から90日間かけてセキュリティやプライバシーに関する機能改善を行っている

ZOOMセキュリティ問題は3つ+その他

(1)Zoomの暗号化は強固でない
→だから機密のやりとりは避けること
(2)Zoomのクライアントソフトに危険な脆弱性が見つかっている
→アプリを利用する場合は、常に最新のものを使用する。PCならアプリではなく、ブラウザを利用しよう。
(3)開催する会議の設定に不備があると第三者に「乱入」される
→会議には必ずパスワードを設定し、URLやパスワードは適切な参加者のみに教える。
→ミーティングIDは毎回自動的に生成する。
→「待機室」の機能を使い、承認したユーザーのみが参加できるようにする
→参加予定者が集まり会議が開始したらロックし、想定外の参加者が入れないようにする(こんなことできるんだ?) など
(4)ZOOMのログインパスワードが流出した
パスワード流出問題は、ZOOMに限った話ではなくすべてのネットサイトで可能性があります。利用者側の問題として、同じパスワードを流用しない、複雑なレベルのパスワードにする(意味のつながらないコードにする)、2段階認証にするとかの対策が必要です。
※これはウェブサービスすべてに言えるセキュリティリスクです。
(5)フィッシング詐欺がある
zoomのURLをクリックすると詐欺サイトにつながり、誤って入力すると個人情報やクレジットカード情報等が抜かれてしまうというものです。
信頼ある人の会議、事前に会議をすると約束した人のURLしかクリックしない(信頼ある人でも、なりすましなどもあるということを頭に入れておく)等の自己対策が必要です。
※ZOOMでなくても、散見される詐欺。気を付けましょう。

もっとかみくだいて

●パスワードは、他のところでは使っていない強力なパスワードにしましょう。また、アカウントを2段階認証/2要素認証で保護してください。
●ログインIDとパスワードのほかに、パーソナルミーティングID(PMI)が渡されます。このIDは、公開しないようにしましょう。
●Zoomへの登録には@gmail.com や@yahoo.comのようなメジャーなドメインか、会社のメールアドレスを設定しましょう(同一ドメインを使っている会議参加者の連絡先に自動的に登録してしまうという問題があるそうです。メジャードメインの場合は個人情報の詳細を非公開の状態にした上で、Zoom用に使用を推奨)
●偽のアプリが出回っています。Zoomを使うならば、WindowsやMacの場合は公式サイト(zoom.us)から、モバイルデバイスの場合はApp StoreまたはGoogle Playからダウンロードしましょう。
●Zoom会議のリンクを公にするのは避けましょう。SNS等で会議URLを公開するのは「Zoombombing」と呼ばれる「荒らし行為」のリスクが高まります。
●会議の入室パスワードを設定しましょう(アカウントのログインパスワードとは異なりますので注意)
●待機室(主催者から承認を得るまで待機させる機能)を活用しましょう。待機室(主催者から承認を得るまで待機させる機能)を活用しましょう。会議中に迷惑な人は待機室へ退去させることもできます。
●必要がないのであれば、画面共有機能は主催者のみに限定する
●アプリではなく、できるだけウェブブラウザ(google chromeとかのことです)を利用する。
●ビデオ会議サービス(ZOOMに限らず)は、内容は筒抜けの可能性がある(エンドツーエンドの暗号化がなされていない)ことを理解する。
●内容は筒抜けの可能性がある(エンドツーエンドの暗号化がなされていない)ことを理解する。

やり方は?

ここがわかりやすい

ぼく「何度も聞かれるのでZOOMの”安全な設定"まとめ教えます」【待機室,2要素認証など】
https://qiita.com/YukiiM/items/7ae3756b645975a2f1e9

●ミーティングのパスワード設定方法
●待機室を有効にする
●2要素認証(2ステップ検証)
●参加者へのZOOMアカウントログイン強制
について書いてあります。

これらの記事を参考にまとめました

Zoom:セキュリティとプライバシーの10のヒント(4/10掲載)
https://blog.kaspersky.co.jp/zoom-security-ten-tips/28055/

安全なテレワークのために:「Zoom」のリスクとセキュリティを理解する(トレンドマイクロ 4/15)
https://blog.trendmicro.co.jp/archives/24590
(セキュリティソフトウェア会社が発信する記事)

ビデオ会議「Zoom」は本当に危ないのか? 3つのセキュリティー問題でこれが怖い(日経クロステック 4/13)
https://xtech.nikkei.com/atcl/nxt/column/18/00676/041200044/?P=2
(ちょっとかためだけど、事象がまとまってる)

さらっと長くなりましたが、参考になりましたら幸いです。

2020年4月19日記事まとめ

この記事が気に入ったらサポートをしてみませんか?