テレワーク時代におけるZoomの脆弱性とその対策とは 製品・サービスの活用方法
2020年6月9日
テレワーク時代の到来
新型コロナウイルス感染症(COVID-19)の感染拡大を防ぐため、日本政府は在宅で勤務するテレワークを推進しており、その必要性はさらに高まっているといえます。
今回の緊急事態宣言を機に、「必ずオフィスに出勤しなくてはならない」という働き方そのものが変わってきていることは、皆さまも肌で感じられているのではないでしょうか。
今後はメジャーな働き方の選択肢として、テレワークが浸透していくと考えられます。
今回はこのテレワーク推進に伴って、重要度や利用が増したビデオ会議ツール「Zoom」の脆弱性に焦点をあてたコラムを掲載します。
ビデオ会議アプリの注目度が高まる
Zoomは、テレワークが推進されてから注目度が高まってきており、多くの企業で導入されているようです。
しかし、2020年3月頃からZoomに多数の脆弱性が存在するという問題が多数のニュースサイトで散見され、セキュリティ面からもさらなる注目が集まるようになりました。
2020年4月3日には、IPA(独立行政法人 情報処理推進機構)からZoomに関する情報が公開されています。
このIPA情報では、一部のみが掲載されておりますが、その他の脆弱性も多数指摘されている状況です。
Zoomの脆弱性
今回、話題となっていた主要な脆弱性について、整理を進めます。
| No | 脆弱性 | 概要 |
|---|---|---|
| 1 | Zoomの通信がエンドツーエンドの暗号化に該当しない | 暗号化キーがZoomのサーバに保管されているため、Zoom社において、復号することが可能である。 「エンドツーエンドの暗号化」とは、通信をしている2台のPCがあった場合に、この2台のPC以外で復号化する手段が存在しないことを意味する。 Zoom社から暗号鍵が流出し、通信内容が盗聴された場合、通信を復号されて、会議内容が漏れる可能性がある。 |
| 2 | 暗号強度 | Zoom社は、AES-256の鍵長で暗号化していると主張していたが、AES-128 で暗号化している通信が確認された。 また、暗号利用モードとして、ECBモードが利用されていることが確認された。 ECBモードによる暗号化はパターンが存在するので、パターン解読により攻撃者に復号される危険性があると、研究者の見解が表明されている。 誤った鍵長の情報を公開していたことが大きな問題であった。 また、暗号利用モードについては、通信が盗聴されていた場合、暗号化を解読され、会議内容が漏れる可能性がある。 |
| 3 | Zoomの通信が中国を経由 | 設定ミスにより、通信が中国を経由していた。 中国へ通信している場合、当局に通信内容が検閲される可能性が存在する。 |
| 4 | Zoom bombing (Zoom爆弾) |
Zoomで行われるミーティングで本来参加を想定していない第三者が参加することができる可能性がある。 これにより、第三者が意図しない動画などを再生されてしまう可能性がある。 なお、ポルノ動画を流されたという荒らし行為の被害報道が確認された。 |
| 5 | Windows環境において、UNCパスの不正リンクによる情報漏えい | UNC(Universal Naminb Convention)パスを使った不正なリンクをZoomのチャットで送り、クリックさせることで、クリックしたユーザのWindowsアカウントの認証情報を盗まれる可能性がある。 ※ 前述のIPA記事と同一の問題 |
| 6 | 待機室で承認されていないユーザが会議の内容を盗聴可能 | Zoom bombingの対策として導入されたが、脆弱性が存在していた。 Zoomサーバは待機室にいる全ユーザに、ミーティングの復号化キーを自動的に送信していた。 これにより、参加を承認されていなくても、会議の内容を盗聴できる危険性がある。 |
| 7 | Mac環境におけるインストールプログラムの不備 | Zoomのインストールプログラムが、システム要求の様にみせかけて、管理者パスワードの入力を求められる。 これと併せて悪用することで、管理者権限で任意のコードを実行することができる可能性がある。 |
| 8 | Mac環境において、攻撃者がカメラやマイクにアクセス可能 | Mac端末のカメラやマイクを不正に操作される可能性がある。 |
| 9 | iOS環境において、Facebookにユーザ情報を送信 | iOS環境において、Facebookアカウントを持っていないユーザのユーザ情報を、ユーザに無断でFacebookに送信される可能性がある。 |
Zoomの対応状況
これらの各脆弱性は、報道直後からZoom社が随時対応しています。
現在公開されている最新バージョンでは、おおむね対策が講じられており、セキュリティ面での集中的な改善計画も発表されています。
未解決であるエンドツーエンドの暗号化については、対策ロードマップなどが公開されており、Zoom社は対応方針を表明しています。
これらを踏まえ、各脆弱性の対応状況を整理します。
| No | 脆弱性 | 対応状況 |
|---|---|---|
| 1 | Zoomの通信がエンドツーエンドで暗号化されていない | 【未解決】 すべての有料アカウントに対してエンドツーエンドの暗号化を提供していると発表された。 エンドツーエンドの暗号化に関するドラフト案が公開されている。 なお、Zoom以外の全てのビデオ会議ツールが、エンドツーエンドの暗号化をサポートしているわけではなく、未サポートの製品もある。 <エンドツーエンドの暗号化を未サポート> ・Google Meet ・Microsoft Teams ・Slack <エンドツーエンドの暗号化をサポート> ・Google Duo ・Skype for business ・Webex ・FaceTime <参考情報> |
| 2 | 暗号強度 | 【解決済み】 修正バージョンの公開済み(2020/4/27) 公表していた鍵長のAES-256 GCM暗号化がサポートされると表明された。 システム全体のアカウント有効化は2020年5月30日に実施される予定である。 |
| 3 | Zoomの通信が中国を経由 | 【解決済み】 機能追加(2020/4/20) アカウント管理者および有償アカウントのアカウントは、特定のデータセンター地域を設定することができるようになった。 注意が必要なミーティングの際は、利用時に設定が必要である。 <参考情報> |
| 4 | Zoom bombing (Zoom爆弾) |
【解決済み】 待機室を利用することで、関係者以外を参加できないようにする。(No.6の脆弱性が存在していた) また、パスワード付きのミーティングルームを作成し、パスワードを知らないユーザを参加させないようにする。 <参考情報> |
| 5 | Windows環境において、UNCパスの不正リンクによる情報漏えいの危険性 | 【解決済み】 修正プログラムの公開(2020/4/4) |
| 6 | 待機室で承認されていないユーザが会議の内容を盗聴可能 | 【解決済み】 Zoomサーバ側のプログラム修正(2020/4/7) <参考情報> |
| 7 | Mac環境におけるインストールプログラムの不備 | 【解決済み】 修正プログラムの公開(2020/4/2) |
| 8 | Mac環境において、攻撃者がカメラやマイクにアクセス可能 | 【解決済み】 修正プログラムの公開(2020/4/2) |
| 9 | iOS環境において、Facebookにユーザ情報を送信 | 【解決済み】 修正プログラムの公開(2020/3/27) |
利用者やIT管理者の対応事項
Zoomの各脆弱性の対応状況を整理すると、利用者は以下の対応が必要です。
・Zoomのアップデートを実施し、常に最新バージョンを利用する
・待機室機能を利用する
・ミーティングルームにはパスワードを設定する
エンドツーエンドの暗号化について懸念がある場合は、ビデオ会議ツールによって、サポートしていないツールも存在しますので、利用シーンに応じたツールの使い分けが必要になります。(「各脆弱性の対応状況」No.1 を参照)
Zoom社から、上記以外についてもセキュアな使い方について、紹介されています。併せて、ご活用ください。
最後に、IT管理者は、この様なセキュリティ情報を収集し、利用者に向けて、周知していく必要があります。
まとめ
今回のZoomの件に関わらず、何かのセキュリティ問題が発生すると、すぐに利用しないという指針になることがあります。
また、今回の様な緊急性を有する事態で、すぐにツールやシステムを変更できないということも想定されます。
その一方で、ソフトウェアの注目度や利用が増えることで、攻撃者に狙われる可能性が高くなるというサイバーセキュリティの側面も考えられます。
利用者は、ソフトウェアのアップデートやセキュアな利用方法を実践していくことが重要です。
そして、利用する製品の仕様を踏まえ、利用用途に応じた使い分けを考えていくことも必要となります。
IT管理者は、利用者に向けて、セキュリティ情報の周知を行い、組織としてセキュリティ意識を向上させていく必要があります。
現在利用しているツールや運用方法を見直していく必要があるのではないでしょうか。
なお、弊社において、テレワークセキュリティの相談窓口なども開設しております。
併せて、ご活用ください。
テレワークセキュリティサービス
~テレワークセキュリティ相談窓口・セキュアテレワークサービス無償提供開始~
著者プロフィール
西井 晃
2012年、京セラコミュニケーションシステム 入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。
現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。
KCCS-CSIRTの活動に参加し、世界平和を目指す。
掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。
