便利だけどセキュリティが心配かもしれないZoom
新型コロナウイルスの影響で、業務形態をテレワークにシフトさせる企業、リモートで授業を行う教育機関が増えている。働き方改革の一環としてテレワークを推奨する取り組みはこれまでも進められてきたが、新型コロナウイルスの影響で一気に加速した。これは日本に限ったことではなく、世界中で起こっていることだ。
テレワークやリモート授業を成功させるカギの1つは通信技術である。導入・利用が可能で、大人数が同時にアクセスできるビデオ会議やコミュニケーションツールの使用は必須だ。こうした状況の中、注目を集めているサービスの1つに「Zoom」がある。
Zoomは導入が簡単で利用方法も簡単。ビデオ会議に必要な機能が無償または廉価で提供されている。Zoomはこれまでも人気の高かったサービスだが、新型コロナウイルスのインシデントが発生して以来、さらにユーザーを増やしている。
しかしこのところ、Zoomのアプリケーションやシステムにセキュリティ上の懸念があるという報道が相次いでいる。Zoomは便利で使いやすいサービスだが、セキュリティ上の懸念があることは以前からも指摘されていた。
そこで本稿では、こうした経緯を踏まえつつ、Zoomを安全に使う方法を紹介しよう。
Zoomと脆弱性を取り巻く状況
Zoomが提供するプロダクトやアプリケーションにはこれまで何度か脆弱性が発見されている。例えば、CVEに登録されているZoomに関する脆弱性情報には次のようなものがある。
- CVE-2004-0680 - Zoom X3 ADSL modem has a terminal running on port 254 that can be accessed using the default HTML management password, even if the password has been changed for the HTTP interface, which could allow remote attackers to gain unauthorized access
- CVE-2014-5811 - The ZOOM Cloud Meetings (aka us.zoom.videomeetings) application @7F060008 for Android does not verify X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate
- CVE-2018-15715 - Zoom clients on Windows (before version 4.1.34814.1119), Mac OS (before version 4.1.34801.1116), and Linux (2.4.129780.0915 and below) are vulnerable to unauthorized message processing
- CVE-2019-13450 - In the Zoom Client through 4.4.4 and RingCentral 7.0.136380.0312 on macOS, remote attackers can force a user to join a video call with the video camera active
- The Zoom Client before 4.4.53932.0709 on macOS allows remote code execution, a different vulnerability than CVE-2019-13450
アプリケーションにおいて、脆弱性が存在することはそれほど珍しいことではない。問題なのは脆弱性の発見に対して迅速に対応が行われているかだ。Zoomはその点、比較的迅速に処理が進められているように見える。
また、Zoomの提供するライセンスやアプリケーションはしばしばプライバシーの問題が指摘されることがある。脆弱性も問題だが、第三者から指摘されるプライバシーに関する懸念の方が問題かもしれない。
例えば最近、ZoomのiOSクライアントにおいて、ユーザーデータがFacebookに送信されていた懸念があることが指摘され、Zoom Video Communicationsは次のブログで説明を行った。故意ではなかったようだが、Zoomには時々こうした杜撰な部分が見つかっている。
新型コロナウイルスの影響でZoomの注目度が高まると、複数のセキュリティファームがZoomにセキュリティ上の懸念があることを指摘するようになった。例えば、米国連邦捜査局(FBI: Federal Bureau of Investigation)が2020年3月30日(米国時間)に公開した次の記事が状況を端的に示しているように見える。FBIはZoomの問題点を突いた攻撃に対して使われる「Zoom爆撃」という言葉を引き合いに出し、Zoomがサイバー攻撃に悪用されていることを指摘した。
Zoom Video Communicationsはこうしたもろもろの指摘に答えるため、2020年4月1日(米国時間)に次のブログを公開した。今後3カ月間、諸所の問題に対処し、透明性を高める取り組みを行うといった声明文だ。
懸念の1つであるビデオ会議の暗号化に関しては、次のブログで説明されている。アップデートがは詳しく説明を行うことで、懸念を払拭することを狙っているようだ。
Zoom Video Communicationsはその後、ZoomのWindowsクライアントについて、脆弱性を修正したバージョン(Version 4.6.9 (19253.0401))を公開した。Zoomのセキュリティに関する懸念はその後も指摘が続いており、これまでよりも早いペースでアップデートが行われる可能性があり注意が必要だ。Zoomアプリケーションのアップデートやダウンロードに関しては次のページからたどることができる。
どのアプリケーションにも当てはまることだが、利用するアプリケーションは常に最新版にアップデートするようにしよう。