安全に利用するためには?Zoomのセキュリティ対策を詳しく解説
さまざまなビデオ会議ツールが存在しているなか、全世界で3億人以上が使用しているという「Zoom」のセキュリティはどのような対策が取られているのでしょうか。過去に起きた事例と共にZoomのセキュリティ対策をご紹介します。
目次
Zoomのセキュリティ問題とは
Zoomは、リモートワークが導入されてきた2020年3月から4月にかけて、一部セキュリティ面の脆弱性による問題が発生しました。これにより、2020年5月にセキュリティを強化するための大幅なアップデートが行われ、現在では脆弱性による危険性がグンと低くなりました。過去に起きたZoomの問題点と解決策を紹介します。
Windowsの認証情報が盗まれる危険性
Windows版のZoomで、不正のUNC(Universal Naming Convention)パスを使ったURLをクリックさせると、ユーザー名やパスワードなどの情報が漏洩してしまう可能性が指摘されました。この現象は、チャット機能にUNCパスを仕込んだURLをWindowsユーザーにクリックさせれば認証情報を盗むことが可能となります。
この問題が明らかになってわずか1日経った、2020年4月2日のリリース「Windows版Zoomアプリ(Ver4.6.9)」にて修正されています。
参照:zoom サポートページ
Macクライアントの脆弱性
過去にZoom Meeting for Macのインストーラーが、ユーザー承認を取らずにアプリをインストールするという問題視されていました。その結果、ローカルアクセスが可能な、悪意のあるユーザーが管理者の権限を取得し、カメラ及びマイクへアクセスできてしまうという問題が生じました。
この問題に対しては、インストーラーが刷新され、インストール時に管理者の承認が得られるようになったため、権限昇格に関する脆弱性が解決されました。
エンドツーエンド暗号化
E2EE(エンドツーエンドの暗号化)とは、会議のオーナーが暗号キーを生成するため、その鍵を知らない人は、例えZoom社内の誰かであっても会議のデータが閲覧できなくなる機能を指します。この機能を有効化にすると、セキュリティは強化されますが、オーナーより先に会議に参加することやクラウド録画、1対1のプライベートチャットなどが利用できなくなります。
Zoomは「通信はエンドツーエンド方式で暗号化されている」と述べましたが、正しく行われていなかったため、問題視されてしまいました。
これに対し、約半年かけて2020年10月26日のリリース「Zoom(Ver5.4)」で、E2EEが導入されました。
Facebookへデバイス情報が漏えい
以前iOS版のZoomのアプリでは、Facebook SDKを利用したソーシャルログイン機能が搭載されていました。これにより、意図せずにユーザーが使用しているデバイス情報がFacebookに渡っているという問題が発生。ユーザーの名前や電話番号などの個人情報が漏洩したわけではないですが、Zoomのプライバシーポリシーに記載がなかったため、このように大きな事態となってしまいました。
現在は、ZoomでFacebookのSDKの使用を取りやめ、Facebookに対して情報を削除するように要請をしました。
一部通信が中国を経由
北米のZoom利用者のデータが、中国のデータセンターを経由していたことを明らかになり、映像や音声のデータが中国で漏洩している可能性があると問題になりました。
それを受けZoomは、一部の通信が中国を経由していることを認めたが、特例且つバグだったと公表しています。以降は無料プランのユーザーであれば、サーバーをそれぞれの地域に合わせて自動設定され、有料プランに加入しているユーザーであれば、データセンターの地域を選択することができるようになりました。
Zoomを安全に利用するためのセキュリティー強化方法
IDやパスワードの管理を徹底する
これはZoomに限らない話ですが、IDとパスワードの管理はセキュリティ対策をする上で欠かせません。外部に漏れないよう徹底するのはもちろん、不正アクセスが無いよう英数字を混じえた複雑なパスワードにするのがおすすめです。
また、Zoomは会議にパスワードをつけられる機能があります。第三者の侵入をできる限り防ぐために、会議に鍵をかけ、参加者にURLのみを共有するだけでなくパスワードも共有するようにしましょう。
会議のURLをチェックする
Zoomのアプリをインストールし、会議URLを共有するだけですぐにビデオ会議が行えるのもZoomの魅力的なポイント。URLを偽装して巧妙な詐欺サイトへと誘導するケースもあるので、URLを開く前にチェックしましょう。
※会議URLのドメインは「https://layers.zoom.us/」
公共のフリーWi-Fiを使用しない
カフェやレンタルオフィスなどのWi-Fiを繋げてミーティングを行うのは、不正アクセスされるリスクがあります。不特定多数の人が繋げているため、大事なビデオ会議では自宅や会社など、複雑なパスワード入力が必要なWi-fiやルーター自体にセキュリティ対策がされているWi-Fiにつなげて実施するようにしましょう。
Zoomアプリは常に最新のものにアップデートする
先ほど紹介したように、Zoomには過去にセキュリティ面の問題が指摘され、さまざまなアップデートが行われてきました。Zoomは、他者に指摘されていないバグをも自ら公表しており、日々細かいチェック体制を取っています。
上記被害に合わないよう、アップデートは最新のものにすることをおすすめします。
<Zoomのバージョンを確認する方法>
1.Zoomを開き、右上のアイコンをクリック
2.アップデートを確認
3.「最新の状態を保っています」と表示されれば最新バージョンとなります。
ここでバージョンが古い方はインストールしてバージョンを更新しましょう。
ビデオ会議をロックする
Zoomは参加者全員が揃ったら、それ以外の参加者の侵入を防ぐために新たな参加者の入室をブロックすることができます。会議のIDとパスワードを知っているユーザーでもロック中に入室することはできません。機密性の高いミーティングや、参加人数を簡単に確認できる場合はこの機能を使っておくのが安全でしょう。
ただし、ロックできるのは会議のオーナーまたは共有オーナーのみとなります。
<ビデオ会議のロック方法>
1.ミーティング中、画面下のメニューバーに表示される「セキュリティ」をクリック。
2.「ミーティングをロックする」をクリック
待機室を活用する
Zoomは「待機室」という機能があり、オーナーが参加者の入室を承認しない限り、会議に入室できない機能です。万が一第三者がアクセスしてしまった場合でも、オーナーが待機室にいる段階で入室を防ぐことができます。また、第三者を間違えて会議に入室させてしまった場合でも、待機室に戻すことが可能です。
この機能を使用し、オーナーは参加者が揃ったことを確認したのちに、上記のロックを使用すれば高確率で不正な侵入を防ぐことができるでしょう。
<待機室機能を有効にする方法>
1.Zoomでミーティングを開始する。
2.「セキュリティ」をクリック。
3.「待合室を有効化」をクリック。
※有効化を解除をすれば待機室を経由せず入室できるので、シチュエーションに応じて設定しましょう。
ユーザーを限定する
Zoomはビデオ会議に参加するユーザーを限定することが可能です。事前に参加者のメールアドレスと登録しておけば、そのアカウント以外の人はミーティングに入室することができません。メールアドレスを登録する手間はかかりますが、第三者の侵入を確実に防ぐことができるので、機密レベルの高いミーティングの際は、ぜひ使いたい機能です。
<ユーザーを限定する方法>
1.Zoom(https://zoom.us/) にログインする
2.「ミーティング」をクリックし、ユーザーを限定したいミーティングを選択するか、「ミーティングをスケジュールする」から新規作成をする。
3.登録にある「必須」にチェックをつける。
4.最下部の[保存]をクリック。
5.会議参加者に登録リンクを共有し、参加者にミーティングへの登録を入力してもらう。
6.オーナーが承認すれば会議への当日会議への参加が可能。
画面共有はオーナーのみの設定にする
Zoomは、会議の参加者がだれでも自身の画面を共有することができます。ですが、スムーズな進行を行う場合や参加者が画面共有をする可能性がないことが確定している場合は、あらかじめオーナーのみが画面を共有できる設定をしておくと安心です。
<制限の設定方法>
1.ミーティングを開始し、「画面共有」の右側にある「^」をクリック。
2.「高度な共同オプション」を選択し、「共有できるのは誰ですか?」にある「ホストのみ」をクリックする。
万全な対策で安全なビデオ会議を
Zoomは、過去に多くの脆弱性を指摘されてきましたが、ユーザーが増加した今では万全なセキュリティ対策がされています。ですが、各機能や設定方法をオーナーがしっかり把握してこそ安全なビデオ会議が行えるので、セキュリティ対策を常に意識することが大切です。
