テレワークを安全に:「Zoom」のリスクとセキュリティを理解する-セキュリティブログ
新型コロナウイルス(COVID-19)の世界的な流行は、在宅勤務者、つまりテレワーカーの急激な増加という状況を生み出しています。同時に、テレワークを支える会議システム(サービス)にも注目が集まっており、ビデオ会議(Web会議)アプリの中でも「Zoom」は利用者が2億人を突破するなど急激な普及が報じられています。
このように大きな注目を浴びたソフトやサービスには、便乗した攻撃を狙うサイバー犯罪者の注目も集まるため、様々な角度からセキュリティリスクが増大する傾向が見られます。今回は明らかになったZoomのセキュリティ問題を知ると共に、対策の心がけについてまとめます。
そもそもZoom問題とは
このZoom、去年12月時点では1日当たり延べ1000万人のユーザーが会議に参加している状況でした。しかしながら、4月には1日あたり延べ3億人のユーザーが利用し、一気に30倍にも膨れ上がりました。
このような状況もあり、2020年3月から4月にかけてアプリの脆弱性やセキュリティ上の懸念、プライバシー面での問題などが顕在化し、世界中から次々と指摘される事態が起こったことにあります。
その後、Zoomはこれらの問題解決の為に90日間の機能凍結を実施、2020年4月末には「Zoom 5.0」へバージョンアップし、一連のセキュリティやプライバシー面での懸念はほぼ解決されたと評価されています。
では、そのセキュリティやプライバシー面での問題とはどのようなものだったのでしょうか。
大きく問題点を挙げると以下の5項目になります。
- “Zoom爆弾”と呼ばれる荒らしやWeb会議ジャックされる事態の発生
- Windowsユーザーのネットワーク認証情報が盗まれる可能性がある問題
- ZoomアプリのWeb会議が厳密にはエンドツーエンドの暗号化通信となっていない問題
- 画面共有時に「参加者追跡」機能を使い参加者がメインウインドウにいるかどうかを追跡できる問題
- iOSバージョンのZoom アプリのユーザーの分析情報がFacebookに送信されていた
図1:「Zoom」の認証情報を狙うフィッシングサイトの画面例
■リスク1:「Zoom Bombing」
Zoomに便乗する攻撃として、Zoomのインストーラとコインマイナーをバンドルするサイバー犯罪者の動きは以前からありましたが、現在メディアで最も大きく取り上げられているリスクは「Zoom Bombing(ズーム爆弾、ズーム爆撃)」と呼ばれる迷惑行為でしょう。これはZoomでのWeb会議に招かれていない第三者が勝手に会議に参加し、不適切な画像や動画を画面共有するなどの方法で、会議全体に対して嫌がらせをする迷惑行為の総称です。
開催者が会議に対してパスワードを設定していない場合、ミーティングIDさえわかれば誰でも会議に参加できる仕様の危険性は、Zoomに限らず以前から指摘されていました。(これはTeamsでも同じかと思います。)
つまり、この迷惑行為自体は以前から可能であったはずであり、最近の顕著化はまさにZoomの利用者が増え注目が集まっていることの証明とも言えます。
また、パスワードを設定していたとしてもパスワードを含む会議のURLを不必要に公開してしまった場合には、望まれていない参加者が乱入してくる可能性が生じます。そして同様の方法で会議に参加した悪意の第三者は、ズーム爆撃のような単なる嫌がらせ行為だけではなく、潜伏してZoom会議の内容を盗み聞きして情報漏えいさせる、データや参考資料などに偽装したマルウェアを他の参加者に送付するなど、より悪質な行為も可能となるのです。
■リスク2:脆弱性
Zoomについては2019年にも、Mac版クライアントでWebカメラやマイクがハッキングできる脆弱性などが公表されていますが、2020年に入り大きな注目を浴びた後にも複数の脆弱性が公表されています。
中でも最も影響が大きい脆弱性として、Windows版クライアントにおけるUNCパス処理に関する脆弱性があります。
この脆弱性により、攻撃者は細工したURLをZoomメッセージで送りつけて受信者にクリックさせることにより、Windowsの認証情報を盗んだり、任意のプログラムを実行させたりすることができます。
また、Mac版クライアントでもローカルでの権限昇格などの脆弱性が指摘されています。
Zoomは既にこれらの脆弱性に対処した最新バージョンを公開しているため、利用者にはバージョンアップが強く推奨されます。
■リスク3:フィッシング
サイバー犯罪者は、一般のインターネット利用者が注目する内容に便乗し、フィッシングなどのネット詐欺を仕掛けます。ビデオ会議ソフトなどを撒き餌にして利用者の関心を惹き、認証情報や個人情報の詐取やマルウェア拡散を目的とした不正サイトへ誘導する可能性があります。当然、これらの攻撃対象はZoomに限った話ではありません。ただし、Zoomに関してもサイバー犯罪者は便乗した攻撃を狙っているものと考えられます。
例えば、2020年頭からこれまでに”zoom”の文字列を含む新ドメインは3300も確認されており、そのうちの7割近くが3月中に作成されたものであるとの報道がありました。もちろん、これらの新ドメインすべてが不正な目的で作成されたものとは言えませんが、このような注目された話題に対しサイバー犯罪者が便乗する傾向は、これまでにも見られてきたことです。
また、パスワードを含むZoomアカウント情報が、ダークウェブ上で2000件以上公開されていたとの報道もありました。
このような傾向からZoomの利用者は、サイバー犯罪者がZoomの認証情報やWeb会議の情報を狙い始めていることを認識し、情シスとしても有効な対策について注意していく必要があります。
■被害に遭わないためには
Zoomの利用者は上記のリスクを避けるために、以下の心がけを忘れないように実践することが求められます。
- 常に最新バージョンのZoomを使用する:
脆弱性のアップデートを含め、最新版のZoomでは様々なセキュリティ向上が行われています。また最新版入手の際には、常にZoomの公式サイトから入手しましょう。 - Zoom会議のURLをよく確認し、安易にクリックしない:
サイバー犯罪者は正規に似せたドメインを利用し、偽のZoom会議URLを送ってくる可能性もあります。クリックする前に正規のものかどうかを再確認するようにしましょう。 - フィッシングなど、最新の攻撃手口を知り、騙されないよう注意する:
Zoomだけではありませんが、詐欺の手口を知っておくことで、自分が直面した際に被害を回避することに繋がります。
特に法人利用においては、Zoom会議をよりセキュアなものにするために、以下の設定について再確認が必要です。
- 会議には必ずパスワードを設定し、URLやパスワードは適切な参加者のみに教える:
会議にパスワードが設定されていない場合、ミーティングIDがわかれば誰でも会議に参加できてしまいます。最新版のZoomではパスワード設定がデフォルトとなっています。
また、パスワードを設定していたとしても、URLやパスワード自体がわかれば結果は同様です。Zoom爆弾などのリスクを避けるためにも、メールではURLをやり取りしないなど、これらの情報は参加者以外に広めないように心がけましょう。 - 画面共有を「ホストのみ」に設定する:
画面共有の設定を「ホストのみ」にしておくことで、招かれざる参加者が勝手に画面共有することを防ぐことができます。
もし、他の参加者に共有してもらうことが必要な場合には、「他の人が共有している場合に共有を開始できるのは誰ですか?」の設定が「ホストのみ」となっているか確認してください。
図2:「高度な共有オプション」の設定画面例
また、状況によっては以下の運用も考慮してください。
- ミーティングIDを毎回自動的に生成する
- 「ファイル転送」を無効にする
- 参加者が会議に出入りしたときに音を鳴らし、気づけるようにする
- 「待機室」の機能を使い、承認したユーザーのみが参加できるようにする
- Zoomにログインしている認証されたユーザーのみが参加できる設定する
- 参加予定者が集まり会議が開始したらロックし、想定外の参加者が入れないようにする
新型コロナウィルス(COVID-19)の蔓延を防ぐにはテレワークは欠かせないツールですが、それが原因で被害にあっては元も子もなくなってしまいます。
やみくもに「安全じゃないから使わない」ではなく、その理由を理解し、正しく使っていれば、なにも問題はないのです。
本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/24590
この情報は役に立ちましたか?