写真:アイキャッチ画像

Zoomの一連のセキュリティ・脆弱性の問題についてまとめ

2020/11/10

新型コロナウイルスで外出自粛、テレワーク推進によってZoomの利用者が爆増しましたが、20203Zoomのセキュリティ脆弱性が問題視されました。この問題を解決するために、Zoom90日セキュリティプランを開始し、安全性と個人情報保護への対策として多岐にわたる機能強化を実施しました。一連のセキュリティ問題は既に解決済み、または、解決予定としています。これらのセキュリティ問題には、どのような脆弱性があったのか、どのように問題を解決したのか、ポイントを解説します。

指摘されたZoomのセキュリティ脆弱性問題はなにがあったの?

テレワーク推進で特に注目が集まるZoomでは、セキュリティ脆弱性についての指摘がありました。Zoomはこれらの問題に迅速に、真摯に対応してきました。指摘された問題について時系列にピックアップし、ポイントを解説します。

Zoom Bombing

ミーティングID・パスコードやミーティングURLを知っている悪意をもった攻撃者は、ミーティングに参加し、画面共有機能を悪用して、不適切な画像や動画を共有できます。このZoombombingを防ぐには適切なミーティング設定が必要です。320Zoom社は適切な設定を行うためのガイドを公開し、Webinarを定期開催しています。これに加え、4月1日には教育機関における待機室機能を標準でオンにしました。48日ミーティング中のセキュリティコントロール機能を1つのボタンに集約し、これまでよりもホストがミーティング管理しやすくなりました。

Zoom iOSクライアントでのFacebook SDK利用について

ユーザーがZoomプラットフォームに簡単にアクセスするために、ZoomiOSFacebook SDK(ソフトウェア開発用キット)を使用して「Facebookでログイン」機能を実装していました。しかしながら、2020325日にFacebook SDKがサービスの提供に不要なデバイス情報を収集していることが判明しました。この問題が指摘されたのは、Zoomがこの仕組みをプライバシーポリシーに明確に記載していなかったことで問題になりました。このFacebook SDKによって収集された情報には、モバイルOSの種類とバージョン、デバイスのタイムゾーン、デバイスが使用するOS、デバイスのモデルとキャリア、画面サイズ、プロセッサコア数、ディスク容量などのデバイス関連情報が含まれていました。参加者、氏名、メモなどのミーティングに関連する情報やアクティビティは含まれていませんでした。この問題を受けて、ZoomiOSクライアントからFacebook SDKを削除し、不要な情報を収集しないようにしました。そして、ユーザーが引き続き「Facebookでログイン」できるように機能を再構築しました。2020327日には修正版をリリースし、この問題は解決しております。Zoomアプリはこの日以降にリリースされた最新バージョンにアップデートしてご利用いただくよう強くお勧めします。

この対応に加え、329日、プライバシーポリシーを更新し、どのようなデータを収集し、それがどのように使用されるかについて、より明確で透明性があるものにしました。Zoomはユーザーのデータを販売するつもりがないこと、過去にもユーザーのデータを販売していないことを明確にしました。

Windowsクライアント、Macクライアントの脆弱性

330日にMac用クライアントではローカルでの権限昇格などの脆弱性が、331日にはWindows用クライアントにおけるUNCパス処理に関する脆弱性が指摘されました。クライアントの脆弱性は41日に修正版をリリースして解決しています。

Geo-Fencing修正

通常のオペレーションでは、Zoomのクライアントはユーザーの地域または周辺にあるプライマリ・データセンターに接続を試みます。ただし、ネットワークの混雑などの問題で、複数回の接続を試みても失敗する場合には、Zoomのプラットフォームへのバックアップブリッジとして、複数のセカンダリ・データセンターに接続します。

しかし、2月にZoomは中国エリアでの大規模な需要拡大のために急速にデータセンターのキャパシティを追加しました。この時、中国にある2つのデータセンターを誤ってバックアップブリッジのホワイトリストに追加してしまいました。これにより、非常に限られた状況下で事象が発生する可能性がありました。プライマリ・データセンターが中国以外の場合、かつ、クライアントがプライマリ・データセンターを利用できない状況において、セカンダリ・データセンターが中国に接続される可能性がありました。

4月2日、この過失を知ったZoomは、中国以外のユーザーのためのセカンダリバックアップブリッジのホワイトリストから、中国本土のデータセンターを外す修正を直ちに行いました。

この対応に加え、418日、使用するデータセンタリージョンを管理者が選択できるようにしました。選択しているデータセンタリージョンをユーザーが、ミーティング中に明示的に確認できるようになりました。データセンターリージョンの選択の方法については、サポート記事をご参照ください。

エンドツーエンド暗号化

Zoomはエンドツーエンドで暗号化されていると表現しておりましたが、一般的に受け入れられているエンドツーエンド暗号化の定義とは異なる使い方をしていたということで批判を受けました。

通常の会議では、Zoomのクラウドが暗号化キーを生成し、参加者がZoomに参加するときに、Zoomアプリを使用してそれらをミーティング参加者に配布します。Zoomのエンドツーエンド暗号化(以下、E2EE)を使用すると、ミーティングホスト側で暗号キーを生成し、公開暗号キーを使用してこれらのキーを他のミーティング参加者に配布します。つまり、Zoomはミーティングの内容を復号化するために必要な暗号キーを認識および所有しません。Zoomのサーバーには復号キーがないため、暗号化されたデータはZoomのサーバーを経由してもZoom側では復号できません。

ZoomのCEO EricS. Yuanは、「E2EE化は、Zoomを世界で最も安全な通信プラットフォームにするためのもう一つの進歩です。」と述べています。

このE2EEを使用するには、お客様自身がアカウントレベルでE2EEミーティングを有効にし、ミーティングごとにE2EEにオプトインする必要があります。

E2EEが有効になると、ミーティング画面上の左上隅にある緑色の盾に南京錠がかかっているロゴ(下記、右側画像ご参照)が表示されます。これまでの強化された暗号化を有効中の場合は、緑色の盾にチェックマークがついているロゴが表示されています。よく似たロゴですが、ロゴの種類でどの暗号化が有効になっているか一目で確認できます。

E2EEを有効にすると、ホスト前の参加、クラウドレコーディング、ストリーミング、ライブトランスクリプション、ブレイクアウトルーム、投票、1:1プライベートチャット、ミーティングの反応など特定の機能が無効になりますのでご留意ください。

今回、4つのフェーズのうち1つ目のフェーズを展開しております。今後、2021年に暫定的にロードマップに載っているフェーズ2の一部として、より優れたID管理とE2EESSO統合を展開する予定となっております。

参加者の集中をアイトラッキングで追跡(アテンショントラッカー機能)

参加者が画面から30秒以上視線をそらせている場合に、ホストはミーティングまたはウェビナーの参加者パネルでインジケーターを表示することができました。ホストからすると開催したミーティング/ウェビナーは、どれくらいの参加者が集中していたか把握することができ、便利な機能でした。

しかしながら、参加者側からするとプライバシーの侵害と感じる人もいるでしょう。このアイトラッキング追跡機能の存在が参加者にはわかりづらい仕様になっていた点で、Zoomのセキュリティ脆弱性が問題視された要因の一つとなりました。

そこで、42日、お客様のセキュリティとプライバシーへの取り組みの一環として、参加者アテンショントラッカー機能を削除しました。

Zoomのセキュリティ問題はどのように解決したの?

41日に90DaysPlanを開始しました。90日間新機能開発のためのリソースをすべてセキュリティ強化や透明性向上のために割り当てることを発表しました。また、CEO Ericおよび関係者は、週次で「Ask Eric Anything」ウェビナーを開催し、Planの進捗報告と質疑応答をしました。具体的に実行したことを以下に抜粋して説明をします。

AES256GCMを搭載したZoom5.0リリース

427AES256ビットGCM暗号化をサポートしたZoom5.0をリリースしました。67日には、エンドツーエンドの暗号化メッセージとクラウドストレージのシステムを開発するKeybaseを買収しました。

そして、530日には、AES256ビットGCMが必須になりました。エンドツーエンド暗号化を含めた今後の暗号化デザインのドラフトをGitHubに公開し、セキュリティ、暗号技術専門家、研究者等広範なフィードバックを求め、最終デザインを決定しました。617日には、エンドツーエンド暗号化Early Beta7月開始と、無償ユーザーへも提供する方針を発表しました。

この迅速な対応が評価され、一度禁止をした組織も、設定の見直し等で利用を再開しています。同年10月、「エンドツーエンド暗号化」に記載しました通り、E2EEフェーズ1を展開しました。

ミーティング中、ホストが変更可能なセキュリティ設定を1つのボタンに集約

ユーザーインターフェースに新しくセキュリティアイコンを搭載しました。

「強化された暗号化」マークは、進行中のミーティングが暗号化されていることを示しています。

※ このマークがミーティング中、画面左上に表示されます。(2020年10月現在、エンドツーエンド暗号化がリリースされています。)

また、コントロールバーには、セキュリティ設定をまとめたセキュリティボタンが設置され、ホストおよび共同ホストは、ミーティングをロックする機能、待機室の有効化、参加者の画面共有、チャットへの参加、名前の変更、ミュート解除などの機能を管理するオプションを含め、ミーティング中の重要なセキュリティコントロールに一カ所にまとめ、アクセスを容易にしました。

 

 

詳細設定は、ミーティング中のセキュリティオプションをご参照ください。

「不正ユーザーを報告する」機能

ホストおよび共同ホストは、ミーティングの進行を邪魔するユーザーやインシデントをZoomTrust&Safety team(信頼性および安全性向上チーム)に報告できるようになりました。Zoomは報告を受けたあと、プラットフォームの悪用の疑いを審査し、適切な措置を講じます。機能の詳細および報告方法は、ミーティング中に参加者を通報するをご参照ください。

ミーティングのデフォルト設定をアップデート

ビジネスアカウントでは、パスコードおよび待機室はオン、画面共有は「ホストのみ共有可能」に設定されています。927日から待機室かパスコードのどちらかを設定する必要があります。この変更による待機室およびパスコードについてのよくあるご質問はサポートぺージをご参照ください。

データセンターのリージョン選択をカスタマイズ

Zoomは参加者にとってベストパフォーマンスが得られるデータセンターを都度選択していますが、管理者は、経由するデータセンターを選択できるようになりました。アカウント、グループ、またはユーザー、ミーティングレベルで、転送中のデータに関して特定のデータセンター地域をオプトアウトまたはオプトインできるようになりました。機能の詳細および設定方法は、開催するミーティングやウェビナーのデータセンターリージョンをカスタマイズできますか?をご参照ください。

ID、パスコードの複雑化

Zoomは基本的なパスワードの条件の他に、詳細なパスワード設定をカスタマイズできるようにしました。例えば、特殊文字を含む設定をしたり、パスワードが自動的に期限切れとなるようなサイクル設定を可能にしました。

927日以降、Zoomのすべての有料アカウントのすべてのミーティングにおいて、パスコードを利用、または待機室を有効化する必要があります。ユーザーはミーティングのセキュリティの選択を管理することができます。Zoomではそれを実現するために必要なセキュリティと使いやすさを考慮したオプションをデザインしました。詳細につきましては、ミーティングおよびウェビナーのパスコード高度なセキュリティ設定よくあるご質問「ミーティング待機室とパスコードの要件 (2020年9月27日より義務化)」をご参照ください。

安全にZoomを使うために何をしたらいいの?

Zoomは、指摘されたすべてのセキュリティ脆弱性を修正済み、または今後修正対応を予定しており、ユーザーが安心してZoomを使えるよう機能も改善しました。しかしながら、利用シーンに応じた適切な設定が必要となります。セキュリティ関連の設定可能な項目について、機能を紹介します。本記事で紹介する内容はすべての方に、すべてのミーティングで推奨を示すものではございません。ご利用用途、ユーザー様のセキュリティポリシーに合わせて最適な設定をご検討ください。

ID、パスワードまたはミーティングURLの管理を徹底する

ミーティングID、パスワード、ミーティングURLを知っていれば、誰でもミーティングに参加できます。これらの情報は参加者のみで共有し、第三者に転送したり、SNSに掲載をしないようにしましょう。また、WebページでミーティングIDを告知する場合には、参加者のみにパスコードを別途メールなどでお知らせするなど、第三者にミーティング情報を公開しないよう管理を徹底しましょう。

パーソナルミーティングIDPMI)を使って公開イベントを開催するのは避けましょう。イベントが終わった後に、Zoom上のスペースを荒らされるのは避けたいものです。ミーティングIDの生成方法はミーティングをスケジュールする方法で説明をしています。

サインインしたユーザーのみが参加できるようにする

招待されたメールアドレスでZoomにログインせず、ミーティングに参加しようとした場合、以下のメッセージが表示されます。

ミーティングに招待した人だけを参加させたいときに、便利な機能です。Zoomアカウントを持っていない方は、アカウントを作成し、サインインをする必要があります点、ご留意ください。機能の詳細および設定方法は、ミーティングやウェビナーの認証プロファイルを使用するをご参照ください。

待機室を有効化

待機室機能は、その名の通り、ミーティングに入室する前のバーチャルな待機室で、ホスト側の準備が整うまで、ゲストがミーティングルームに参加するのを阻止します。誰を参加させるかどうかを判断する権限は、ホスト側にあります。不要なゲストを参加させないようにするためにも有効な方法です。

また、この機能では、アカウント内のユーザーは、ホストの承認なしに入室できるなどのオプションも備えています。詳細な設定の方法は、サポート記事をご参照ください。

会議開始後、参加者が全員そろったら、ミーティングをロック

参加者全員そろったら、ミーティングをロックします。ミーティングにロックをかけると、ミーティングIDおよびパスコードを知っていても、新しい参加者がミーティングに参加できないようにします。ミーティングロックはミーティングコントロールのセキュリティオプションから設定ができます。詳細は、ミーティング中のセキュリティオプションをご参照ください。

参加者をミュートにする

ホストは各参加者、またはすべての参加者を一括でミュート/ミュート解除できます。参加者からのノイズなどをブロックできます。また、ミーティング作成時にオプションで、[エントリー時に参加者をミュートする]を有効にできます。 

画面共有はホストのみにする

ホストは参加者がミーティングを妨げる目的などで勝手に画面共有をしないようブロックする設定ができます。ミーティングの妨げになる画面共有をブロックできます。また、参加者が画面共有をする場合には、ホストは、ミーティング中に参加者が画面共有できる設定に変更できます。

注釈機能をオフにする

注釈機能を利用すると、画面共有中に参加者と一緒に注釈を使って、コンテンツに書き込みをしたり、コメントをつけることができます。便利な機能ではありますが、ミーティングをさまた新型コロナウイルスで外出自粛、テレワーク推進によってZoomの利用者が爆増しましたが、2020年3月Zoomのセキュリティ脆弱性が問題視されました。この問題を解決するために、Zoomは90日セキュリティプランを開始し、安全性と個人情報保護への対策として多岐にわたる機能強化を実施しています。一連のセキュリティ問題には、どのような脆弱性があったのか、どのように問題を解決したのか、ポイントを解説します。

その他推奨設定

その他用途に合わせて以下のオプションもありますので、ご参照ください。

※ 総務省がテレワークセキュリティの手引き(チェックリスト)関連資料として、設定解説資料を作成しています。

まとめ

Zoomは、第三者機関の専門家や代表ユーザーと協力して包括的なレビューを迅速に行いました。ユーザーの皆様が安心して利用できるよう、Zoom利用におけるセキュリティとプライバシーを理解し、セキュリティ保護に努めています。2020年3月に指摘されたセキュリティや脆弱性に関する問題は解決され、またはすべて解決する予定です。Zoom セキュリティアップデート状況についてまとめた資料はこちらからダウンロードできますので、ぜひご覧ください。
また、弊社では1か月間無料ですべての有償機能をお試しできるトライアルライセンスを提供しています。Zoomを使ってみたい方、ご利用について提案をして欲しい方は、営業担当までお気軽にお問い合わせください。

以上、最後までお読みいただきありがとうございました。

 

 

江川奈那/Nana Egawaの写真

この記事を書いた人

江川奈那/Nana Egawa

エンタープライズ事業本部 第二営業部所属。
2018年Zoomビジネス立ち上げ時から担当しています。
主にFAQサイトの「よくあるご質問」などのWebコンテンツを執筆していますので、Zoomの使い方などのノウハウはお任せください。
不定期ですが、Zoomの新機能、最新情報をお伝えしていきます。

  • 顧客満足度 No.1
  • Fortune 500の58%が利用

※Fortune 500:全米上位500社がその総収入に基づき
米フォーチューン誌によりランキング付けされる

オンラインミーティングツールzoom

まずは無料トライアル