新型コロナウイルスの感染はいまだ収束せず、仕事にプライベートにWeb会議は手放せない状況だ。新型コロナウイルスの感染拡大に伴い、Web会議ツール「Zoom」は利用が爆発的に増え、さまざまなセキュリティの問題が起きた。その影響から、Zoomの開発元はプライバシー保護を怠ったなどとして、米国で起こされていた集団訴訟をめぐり、和解金8500万ドルの支払いで仮合意したと報じられた。
セキュリティの問題が起こったことから、Zoom側もセキュリティを強化するために、さまざまな改善策を打ってきた。こうしたことも踏まえ、本稿では、カスペルスキーの公式ブログの記事「本当に安全なZoom会議を開催する方法」を参考に、あらためてZoomを安全に利用するポイントを紹介しよう。
ミーティングごとにリンクを作成
Zoomでミーティングをセットアップする時は、パーソナルミーティングID(PMI)か、使い捨てのリンクを使用する。PMIはユーザーのアカウントにひも付いており、最後にログインしてから1年間は有効である。そのため、PMIを使って開催されたミーティングに1度でも出席したことがある人は、以降、自分が招待されていないミーティングに同じPMIで接続できてしまう。
そのため、セキュリティを考慮するなら、パーソナルリンクではなく、ミーティングごとに別のリンクを作成するようにしたい。作成にかかるのは数秒程度で済む。
入室できる人を制御
Zoomでミーティングをセットアップしたことがある人ならご存じだろうが、参加者へ個別にリンクを送ったとしても、その人以外の人がそのリンクを使ってミーティングに入ってくることは可能だ。
そこで、活用したいのが「待機室」だ。待機室を有効にすると、ホストが氏名とニックネームを確認して入室を許可するまで、参加者は待機室で待つことになる。全員に対して待機室を有効にするか、Zoomアカウントにサインインしていないゲストに対してのみ有効にするかを選択することも可能だ。
-
7月には、Zoom Roomの複数の参加者を1台のカメラで撮影し、最大3本のビデオストリーミングを送信することで、リモートの参加者にルーム内の参加者の様子をダイナミックに表示する機能が、ベータ版として公開された
Zoomミーティングをロック
全員が入室したら、招待していない人が参加できないようにミーティングをロックするのも手だ。これにより、ミーティングのリンクを部外者に知られても、リンクからミーティングに入ることはできなくなる。ロックは、[Zoom Meetings]の[ミーティングをロック:]を有効にすればよい。
先述の集団訴訟の論点の1つでもある、会議に乱入して場を荒らす行為「Zoombombing」への対抗策として、ロック機能は有効だ。
エンド・ツー・エンドの暗号化を有効化
Zoomでは秘密鍵をサーバに保管する「ポイント・ツー・ポイント暗号化(P2PE)」が使われてきた。P2PEは単純なデータ傍受を防ぐが、Zoomサーバがハッキングされると、会話の内容を攻撃者が復号できてしまっていた。繰り返しになるが、集団訴訟でも、原告は「Zoomの暗号化について誤解を招く主張をしていた」と主張している。
そのため、Zoomの開発元は、鍵の保管場所をユーザーのデバイスに限定する「エンド・ツー・エンド暗号化(E2EE)」を追加した。E2EEを有効にすると、錠の付いた緑色の盾の形のアイコンがZoom画面の左上に表示される。このアイコンは、そのミーティングが保護されていることを意味する。
なお、カスペルスキーは、E2EEが既定では無効になっていないことに注意するよう、指摘している。というのも、E2EEが有効になっていると、LyncやSkypeのクライアントを使っている人、オンラインバージョンのZoom Webクライアントを使っている人、サードパーティのZoom用クライアントを使っている人がミーティングに参加できなくなるためだ。
チャネルの安全性を確認
サイバー攻撃の手法に、通信しようとしている主体の間に入り込み、一方になりすます「中間者攻撃」があるが、この手法を用いて、通信チャネルに割り込んでいる部外者がいないかを確認することが可能だ。
それには、主催者が盾型のアイコンをクリックすると表示されるセキュリティコードを読み上げ、参加者は自身のセキュリティコードと一致するかどうかを確認すればよい。
セキュリティコードは、出席者のデバイスに接続するE2EEのメカニズムと関連しており、主催者の鍵がミーティング参加者の鍵と一致すれば、エンドデバイス間の接続は侵害されていないということだという。誰かが間に入り込んでいる場合、数字の並びは変わってくるとのことだ。
