Zoomのセキュリティについて(共同代表金山調べ)

最近、Zoomを利用したオンラインでのきょうだいのイベントが増えてきたように感じています。北陸きょうだい会でも、4月19日(日)に初めて開催させて頂きました。
(ご参加下さった皆様、ありがとうございました!)


↑開催時のスクリーンショット(加工済)。報告記事は、後日更新します。

当会で開催するにあたり、北陸きょうだい会の参加者の方に匿名でアンケートを取らせて頂いたのですが、その中で、Zoomのセキュリティへの不安の声がありました。

Zoomのセキュリティについて、当会共同代表の金山が調べたものをまとめておきます。参考になりましたら幸いです。
(※2020年4月19日現在の情報です)

==========

1.パソコンが乗っ取られる
https://blog.trendmicro.co.jp/archives/24590
リスク2参照
 
パソコンのユーザー名・パスワードが盗まれてしまうという不具合ですが、最新のソフトで解消済みです
https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html
 

2.50万件のユーザー情報が流失
https://ccsi.jp/1779/
⇒ 過去に流失したメールアドレス・パスワードによってランダムにアクセスされた結果です。確かにZoomは2ファクタ認証(パスワード+電話番号での認証など)やログイン通知などがないので可能性はあります。
パスワードの使い回し(複数のサイトで同一パスワードを利用しない)という基本的な対策でOKです。
 

3.WEBカメラが外部から操作されてしまう件について
https://japan.cnet.com/article/35139698/
⇒ 2019年7月時点で かつ Macのみの問題のようです。
 

4.Zoom Bombing
総当たりでパスワードのかかっていない会議に乱入するトラブル
現在はミーティングを新たにセッティングする際にデフォルトでパスワードが設定されますので、ミーティング・パーソナルミーティングIDにパスワードを設定するだけで充分です。
https://symphonict.nesic.co.jp/zoom/notification-002/
 

5.未解消の問題
エンドツーエンド(参加者と参加者間)での暗号化が行われていないという問題はあるようです。しかし、これは暗号化されていないということではなく、Zoomのサーバーと各参加者間では暗号化をされていますので、取り急ぎの問題はないと思います。(暗号化されていないのは、Zoomのサーバー内での通信です。ですので、Zoomのサーバーへの不正アクセスがなければ問題になることはありません)
※現実的な可能性の話として、Zoomの管理者がミーティングの中身を見ることは出来てしまいます。
https://wired.jp/2020/04/05/zoom-security-encryption/
 
ただし、このような処理(サーバー~ユーザー間の通信は暗号化されていて、サーバー側では平文(非暗号化)で取り扱う処理)については、現時点でも行っている事業者が多いのは事実です。
https://xtech.nikkei.com/it/article/COLUMN/20071210/289140/
 

6.データが中国に送信されてしまう
Zoomのサーバーの一部は中国国内に設置されています。これは、遅延低減のために致し方のないものですが、北米のミーティングが意図せずに中国のサーバーを利用しているケースがあるとの報道がされました。
有料ユーザーの主催するミーティングについては、早ければ4/18以降にオプトアウト(選択)が出来るようになります。
 

(総括)
また、日本国内において情報セキュリティ関連の警告を出しているIPA(独立行政法人 情報処理推進機構)、JPCERTの両方からは「1.」についての情報しか出ておりません。
アメリカのNIST・US-CERTにも掲載されておりませんでした。(ただしNISTにおいて、いくつかの脆弱性報告は上がっておりました。脆弱性報告そのものは直ちにすべてのユーザーに危害が及ぶものではなく、特定の環境などでの問題を指摘するものでした)
 
現状、未発見のセキュリティーホール(不具合)がある可能性も考えられますが、絶対的なユーザー数は正義です。逆にユーザー数の少ないサービスだから安心とも言えず、多いからこそ多角的な検証がされてより安全になっていくとお考え下さい。
 
いずれにしても、パーフェクトはありえないので個室の居酒屋で話をしている程度のセキュリティだと考えるとよいと思います。薄い襖の向こう側で誰かが立ち聞きしているかも・・・くらいの。

==========

あくまでも参考程度に、ご覧頂ければと思います。

4/21 22:30追記
内容についてご指摘を頂きました。

データが中国を経由する件については、すでに改修済みとのことでした。
https://ccsi.jp/1591/

また、この記事の通りであれば改修後は無料ユーザーであっても、中国のサーバーに接続されることはなさそうです。
(本文にも書きましたがインターネットの仕組み上、離れた場所にあるサーバーを経由すると大幅に遅延・データの消失が生じます。何度かZoomミーティング中の遅延量をモニターしておりましたが、おおむね20~30msの間であり、一般的に中国国内であればもう少し大きな値になると思われます)


また、エンドツーエンドの暗号化について、当初Zoomが実際にはクラウドツーエンド(サーバーと利用者間の暗号化)であるにも関わらず、エンドツーエンド(利用者と利用者間の暗号化)であると説明していたために、説明と実態が異なるとの指摘を受けたものであります。

実際に、このエンドツーエンドの暗号化を実現できているサービスは、FaceTimeやSkypeなどで、現在、競合となるMicrosoft Teamsなどでも実現できていないのが現状です。
また、実際にこのエンドツーエンドの暗号化であることが、ユーザーがZoomを選択する上での条件に必ずしもなりえないことから、本文中では割愛させていただきました。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です