Zoomが抱えるセキュリティリスクとは?安全に利用する方法も解説
2024/2/15
ウェブ会議ツールとして人気のZoom(ズーム)は、音声もクリアで、画面の共有といった会議をスムーズに進行できる機能も実装されています。一方で脆弱性への不安を訴える人が増えました。そこでZoomの脆弱性問題や安全に使用するためのポイントを解説します。
Contents
- 要点は5つ|Zoomのセキュリティリスク
- 要点1|暗号化システムに脆弱性が発見された
- 要点2|勝手にユーザー情報がFacebookに送信される
- 要点3|Windowsユーザーの情報が抜かれる
- 要点4|通信情報が中国を経由する
- 要点5|第三者がZoomに参加する
- Zoomのセキュリティを高める方法
- 使用する際のネットワーク環境に注意する
- URL・ID・パスワードの設定をする
- 機能「待機室」を活用する
- 招待したユーザーのみが参加できるようにする
- 参加メンバーが揃ったらロックをかける
- 必要でないものはホスト以外の権限をオフにする
- Zoomを最新版にアップデートしておく
- 必要に応じて活用したいZoomのセキュリティ強化対策
- 参加者を削除する
- 注釈機能を無効にする
- 画面共有をオフにする
- レコーディングを無効にする
- ID名変更を無効化する
- Zoomのセキュリティを高めて安全にミーティングを進めよう
この記事ではZoomの脆弱性問題や安全に使用するためのポイントを解説します。
要点は5つ|Zoomのセキュリティリスク
アプリやソフトウェアは常にセキュリティへのリスクを抱えています。Zoomも例に漏れず、2019年のヒット当時に脆弱性を指摘する声が寄せられていました。
イーロン・マスクが率いるスペースXは2020年、セキュリティ上の懸念から従業員のZoom利用を禁止しています。
この事実から不安に思う方も多いはずですが、結論から言うと2024年現在では全てのリスクに対策が打たれています。そんなZoomのかつてのセキュリティリスクを主に5つの要点で解説します。
イーロン・マスクが率いるスペースXは2020年、セキュリティ上の懸念から従業員のZoom利用を禁止しています。
この事実から不安に思う方も多いはずですが、結論から言うと2024年現在では全てのリスクに対策が打たれています。そんなZoomのかつてのセキュリティリスクを主に5つの要点で解説します。
要点1|暗号化システムに脆弱性が発見された
Zoomは当初、通信を暗号化する方法のひとつであるエンドツーエンド暗号化(E2EE)に対応していると表現していましたが、一般的なエンドツーエンド暗号化とは異なる仕様だったため、安全性が低いと批判を受けていました。エンドツーエンド暗号化はひとつのデバイスでメッセージを暗号化して、送信先のデバイスでしか復号できないようにする仕組みで、途中で通信を傍受したとしても、中身を見ることができません。ただ、Zoomのシステムでは一部の機能が中継サーバを経由して通信されていたこともあり、暗号化の鍵をユーザーではなく、Zoomが持っていることになっていました。その後、Zoomは2020年4月にリリースしたver5.0で最新の暗号化方式のAES-256-GCMに対応し、2020年5月30日からサービス全体で、この暗号化方式が利用できると発表しています。また、2020年10月26日にリリースされたver5.4で、改めてエンドツーエンド方式の暗号化に対応したと発表しています。
要点2|勝手にユーザー情報がFacebookに送信される
iOSでZoomアプリを使用すると、勝手にユーザー情報がFacebookに送信されるという問題もありました。これはiOS版のZoomアプリにFacebook SDKを利用した「Facebookログイン」が実装されていたため、発生していたと言われています。送信されていたのは、利用しているデバイスの情報で、ユーザーの氏名や参加しているミーティングといった個人情報は含まれていなかったのですが、ユーザーの知らないところでデータが送信されていたことから、問題となりました。2020年3月にリリースされたiOS版のZoomアプリver4.6.9で修正され、Zoomのプライバシーポリシーにも「データの取り扱い」に関する説明として追記されています。
要点3|Windowsユーザーの情報が抜かれる
Windows版のZoomアプリにおいて、一定の条件下でWindowsネットワーク上の認証情報が漏洩するという問題もありました。パスワードを抜かれる悪質なサイトにログインさせる不正なURLが送られるというケースも報告されていましたが、2020年4月にリリースされたWindows版のZoomアプリver4.6.9にて、修正されています。
要点4|通信情報が中国を経由する
2020年2月に通常は日本のサーバーを使用するところを、中国のサーバーを経由していたことが判明し、問題となりました。Zoom社は中国にも拠点があるため、中国共産党がデータを検閲しているのでは?とセキュリティへの懸念の声があがりましたが、この問題は2020年4月にプログラムの修正で対応が行われています。
要点5|第三者がZoomに参加する
会議にメンバーではない第三者が入り込み、暴言をはいたり、個人情報と晒すといった荒らし行為がアメリカで問題となりました。Zoom爆弾(Zoom Bombing)と呼ばれた迷惑行為ですが、これは過去に開催された会議と同じミーティングIDやパスワードを使いまわしたことで発生したトラブルです。中には操作に不慣れなユーザーが自らミーティングURLを公開してしまったことで、Zoom爆弾に晒されたこともあります。会議のURLを参加者だけに送るといった取り組みで大幅にトラブルを減らすことが可能になりました。
Zoomのセキュリティを高める方法
Zoomにはいくつかの脆弱性があったことは否めません。その多くは修正されているため、最新のバージョンにアップデートしておくことが大切です。そのほか、ユーザー側で自衛できるポイントはあるのでしょうか? Zoomを安全に使用するためのポイントをご紹介します。
使用する際のネットワーク環境に注意する
Zoomに限らないことですが、街中やホテルなどにあるフリーWi-Fiを使用する場合には、注意が必要です。広く開放されたWi-Fiスポットはセキュリティが甘く、接続することで第三者から情報を抜き取られてしまったり、データを改ざんされるリスクがないとは言えません。もし、どうしてもフリーWi-fiを使ってZoomを利用する必要があるなら、VPNで接続することで、通信を暗号化するのも、ひとつのやり方です。
URL・ID・パスワードの設定をする
Zoomでミーティングを開く際には、ホストが会議室の設定を行いますが、参加者にはミーティングIDあるいは招待URLを送付します。このミーティングIDや招待URLが外部に漏れてしまった場合、第三者が会議に入ってしまう可能性があります。パスワードを設定することでセキュリティを強化できるので、必ずこの操作を行うようにしましょう。パスワードは同じものを使い回さず、定期的に変更することもおすすめします。また、うっかり不特定多数が閲覧できるSNSに貼り付けてしまわないよう気を付けましょう。
機能「待機室」を活用する
Zoomにはミーティング開始前にゲストが集まる「待機室」というスペースがあります。この待機室を有効にしておくことで、事前に誰かが会議室に侵入してしまうトラブルを防ぐことができます。待機室のユーザーをホストが承認することで、会議室に入室できる手順になっており、招待したユーザーなのか、ひとりひとりチェックしてからミーティングをはじめることが可能になります。
招待したユーザーのみが参加できるようにする
ミーティングを主催するホストは参加に制限をかけることができます。Zoomに登録したユーザー、あるいはドメイン認証されたユーザーのみが会議にできる設定にすることで、第三者が侵入することを防ぐことができます。
参加メンバーが揃ったらロックをかける
ゲストが全員揃って、会議をはじめたら、それ以降の参加者をブロックすることができます。ロックかけた状態で、IDやパスワードが漏れてしまっても、会議にはあとから参加することはできません。
必要でないものはホスト以外の権限をオフにする
会議を主催するホストには参加者の操作を制限する権限を持っています。たとえば、Zoomでは画面を共有したり、ファイルを参加者に送信することができますが、これらの操作ができないように制限することが可能です。参加者の発言が会議を荒らすと判断したら、音声をミュートにしたり、ミーティング中のプライベートチャットを無効にすることもできるため、トラブルを未然に防ぐことができるわけです。
Zoomを最新版にアップデートしておく
Zoomではセキュリティの脆弱性や機能の不備があれば、随時、修正対応を行っています。そのため、常に最新版のソフトやアプリにアップデートしておくことも大切です。アップデートには時間がかかるケースもあるため、会議を主催、あるいは参加する前に最新版を使っているのか、ときどき確認する癖をつけておきましょう。
必要に応じて活用したいZoomのセキュリティ強化対策
上記は基本のセキュリティ対策ですが、必要に応じて活用したい強化策もあります。もし、セキュリティに不安があるならこちらも試してみましょう。
参加者を削除する
会議のURLが外部に漏れてしまい、意図しないユーザーが参加していたら、ホストはその参加者を削除できます。不適切な発言をしたり、会議から外したいユーザーがいる場合にも使えます。まずは参加者メニューで、参加者の名前にマウスを重ねます。すると、オプションが表示されるので、そこから「削除」を選択します。
注釈機能を無効にする
Zoomには、注釈機能という画面共有中の参加者とコンテンツに書き込みをしたり、コメントをつけることができる機能があります。この機能をめぐっては、2020年3月にセキュリティの脆弱性が指摘されています。念のため、この注釈機能をオフにしておくと良いでしょう。
画面共有をオフにする
社内の打ち合わせに使用するなら、問題にならないかもしれませんが、画面共有中に、スクリーンショットで画面を撮影されるなど、意図しない形で情報が漏洩する危険性もあります。機能を使わないときには、画面共有をオフにしておくと良いでしょう。また、ミーティングのホストは参加者の画面共有をオフにすることもできます。
レコーディングを無効にする
Zoomのレコーディング機能は、会議を後から振り返ったり、内容を共有するときに便利です。ただ、レコーディングによってミーティングの内容が流出するリスクもあります。とくに参加者にレコーディングアクセス権がある場合には、リスクが高くなります。ホストは特定の参加者、もしくは参加者全員のレコーディングの設定を有効か無効か、管理できることを知っておきましょう。
ID名変更を無効化する
ホストは、参加者によるID名の変更を無効化することができます。無効化によって、ID変更による、なりすましを防ぐことができます。
Zoomのセキュリティを高めて安全にミーティングを進めよう
Zoomは画面共有機能や、ファイル送信機能もあり、リモート会議をするときに便利な機能がたくさん実装されています。そのため多くの会社で採用されていますが、セキュリティに対する懸念から使用を禁止している企業も存在します。ただアップデートによって脆弱性の多くは対応済みとなっています。さらにユーザーもセキュリティを高める操作をマスターすることで、より安全にZoomを使うことができます。
