ZOOMのセキュリティ問題と、利用に際し気をつけておくこと

新型コロナウイルスの世界的な流行により、テレビ会議システム「ZOOM」の利用者が急速に増えているが、それに伴い、ZOOMのセキュリティ問題が発見されている。

新興のネットサービスにはよくあることで、サービスの普及が進んでいく段階で、今まで見過ごされていたセキュリティホールが顕在化し重要な問題として急浮上してくるのだ。

ZOOMは今後90日間はセキュリティホールの改修に集中すると発表している。また、セキュリティ研究者もZOOMのセキュリティ問題に注目しているとのことで、かなり早いペースでセキュリティホールの改修は進んでいくとみてよい。
Zoom、機能追加を90日間凍結--セキュリティ問題の解決に集中

よって、ZOOMのセキュリティ問題に関して言えば「常に最新のアップデートを適用する」ことだけに注意すれば、一般の利用者はさほど気にする必要はない、といえる。
（流出するとウン十億の損失を生むような情報を扱っている企業については話は別。スペースXやNASAはZOOMの利用を禁じている。）
スペースＸ、ビデオ会議アプリ「ズーム」を禁止　安全性懸念で

結論は以上であるが、具体的にZOOMがどの程度のセキュリティリスクを抱え、利用する際には何に注意しておくべきかを正しく理解するためには、それぞれのセキュリティ問題について正しく理解しておくことが必要だろう。
そこで、既に解決済のものも含めて、発表されたZOOMが抱えるセキュリティ問題について解説を加えていきたい。

ZOOM爆撃

ZOOM爆撃は厳密な意味ではセキュリティ問題ではなく、もっと幼稚な嫌がらせであるが、一般利用者がもっとも多く直面する問題でもあると思う。
ZOOM爆撃とは、要するに「悪意のある第3者が、勝手にテレビ会議に入ってきて、差別的発言やショッキングな画像を見せたりといった嫌がらせを行う」ことだ。
Zoom爆撃と予防策についてまとめてみた

対策はシンプルで、
1.会議にパスワードをかけること
→4/5確認時点で、会議にはデフォルトでパスワード必須となっており、その設定を解除できなくなっている。

2.待機室を利用すること
参加者をいきなり会議に参加させるのではなく、ホストによる参加承認というワンクッションを挟むための機能。
→4/5確認時点で、デフォルトで「開始時に参加者を待合室に待機」の設定となっている。解除は可能。

3.ホストより前の参加者の参加を無効にする
「ホストより前の参加者の参加を有効にする」チェックが外れていることを確認しておく

他に、会議のURLを公開せず、参加者だけに見られるような形で知らせること（DMなど）というのも挙げられるが、個人的にはこれはあまり重要でないかな、と思う。
上記の対策をしておけば参加予定でない人間の侵入を防げること、攻撃者はURLをサーチしているわけではなく、会議URLの記法と無差別攻撃によって攻撃対象を探している可能性が高いことがその理由だ。

[Windows版限定]UNCパスの処理に関する脆弱性

Windows版限定ですが、チャット機能をおいて、悪意のあるユーザーが用意したURLリンクをクリックすることで様々な「悪さ」をされてしまうセキュリティ問題がありました。

こちらは問題が修正されたバージョンがすでにリリース済なので、最新のアップデートを適用すれば問題ありません。
Zoom の脆弱性対策について