新型コロナの影響によりテレワーク(在宅勤務)が様々な企業でも推進されてきています。
そこで話題になっているZOOMについて解説していきます。
目次
ZOOMとは
一言で言うとWeb・ビデオ会議ツールです。
PC、スマートフォン、タブレットなどで無料から利用できます。海外では75万人以上が利用しておりメジャーなツールでしたが、最近日本でも在宅勤務での会議利用やオンラインセミナーの利用として注目され始めてきました。
スマートフォンであればアプリとしても利用できますし、会議URLを入力することでWEBでの利用も可能です。
無料で利用できますが、無料版であると会議時間や利用ユーザの管理機能がなかったりとするため企業で導入する場合は、有償版の方がメリットは高そうですね。ライセンスごとにより料金体系は異なります。
日本でメジャーなSkype for Businessと比較した時にZOOMの利点としては
会議招待URL もしくは ミーティングID のみでテレビ会議に参加できることでしょう。
仕事利用では大人数のテレビ会議や研修の際に、ホスト側が一斉送信するだけでユーザ側は簡単にアクセスできます。
一方Skypeではお互いに連絡先を知っていなければいけないので、事前にIDの交換をしておく必要があります。研修のような初見の人が多い場では利用しづらいでしょう。
ZOOMの脆弱性があるのか
バージョン4.6.9 (19253.0401)より前の zoom Windowsクライアントで脆弱性があります。
IPA(情報処理推進機構)より公表されています。
具体的にどのような問題があったかをまとめると、
エンドツーエンドの暗号化がされていない。
本来であればビデオ通信をしている二台のPCがあった場合に、この二台のPC以外から暗号化を復号化する手段が存在しない状態です。
しかし実際のところ、暗号化鍵はZoom社が保有する暗号化鍵を用いて暗号化を実施しているため、Zoomのサーバ内に保存されたビデオ会議の録画データをZoom社が復号化することを意味しているためユーザ以外でも通信データの内容が見れてしまうということです。
また、トラフィックが混雑していたため、本来とは異なるサーバーにデータを送信していたことが以前も発覚しています。
ビデオ会議への乱入
Web会議はURLさえ知っていたら誰でも参加可能であり、入室にパスワードの設定をしなくとも参加することができます。何らかの方法で会議URLを入手して、Web会議を妨害したり、露出行為をする問題が発生しました。これが「Zoombombing」と言われ「Zoom爆弾」と呼ばれています。
ユーザーデータのFacebookへの無断送信
IOSユーザーの場合、承諾を得ずにユーザー情報をFacebookに送信しています。この件についてはアメリカで集団訴訟を起こされています。Zoom Appを起動したタイミングでFacebookに対して、Zoomユーザーが接続している都市とタイムゾーンや利用している電話会社情報等を送信しているそうです。
Windows PCの情報を不正に取得される
ZoomのWindows版クライアントのチャット機能に、UNC(Universal Naming Convention)パスの処理に関する脆弱性が存在し、サイバー攻撃者が準備した悪意の有るハイパーリンクをクリックすると、Windowsの認証情報を盗まれたり、任意の実行可能ファイルを起動されることが可能になる。
MAC PCのマイクやカメラに不正アクセスされる
MAC PCの場合、ZOOMのプラグインに例外処理として悪意のあるコードを紛れ込ませることで、別のアプリケーションをリンクさせて、第三者がマイクを盗聴したり、カメラから覗き見たりといったことができてしまいます。
脆弱性の対策は
ZOOMアプリケーションを最新版にアップデートしましょう。
脆弱性も最新版にアップデートすることで解消が可能です。
ZOOMでは機密情報の発言を控えることも重要です。
最新版にアップデートしていたとしても未知の脆弱性や、Web会議への乱入などで情報が漏洩したとしても機密情報さえ発信していなければ被害を抑えることができます。
別の手段を考えることも重要です。
ZOOMに限らずWeb会議ツールやチャットツールは他にもたくさんあります。短期間でこれだけの脆弱性が見つかっているアプリケーションが100%安全であるとは言い切れないでしょう。
台湾政府はZOOMの利用禁止を公式に発表しています。日本企業でもZOOMを利用禁止としている企業が出てきているので、心配な方は利用しないようにしましょう。