先生へのイタズラの延長で議会に爆弾とか、デジタルネイティブ恐るべし。
世界的な外出禁止・自粛でユーザーが急増したのはいいけれど、同時にセキュリティ上の問題が続々噴出して悲喜こもごもなZoom。課題も次々と解決してはいますが、セキュリティやプライバシーを重視する政府機関では軒並み利用禁止にしています。特に頻発してるのがZoomミーティングに紛れ込んでポルノやらを流す「Zoom爆弾」ですが、米GizmodoのShoshana Wodinsky記者によれば、その犯人の多くは中高生で、Googleをちょっと工夫して使って簡単にターゲットを見つけてるようです。具体的にはどういう手法か、Zoomユーザー側はどう自衛すればいいのか…、以下、どうぞ。
数々の政府組織に続き、先日は米国上院議会も、議員によるZoom利用禁止令を出しました。スパイが盗聴してるなんて話もありますが、無関係の人が会議に乱入してポルノを流したりする「Zoom爆弾」を主導してるのは、主に10代の中高生たちのようです。
「中高生が政府機関を攻撃」なんて、今どきの子はプログラミングとかやっててハイテクだからねぇ…ってほどのことでもないらしく、彼らの武器はGoogle検索をちょっと工夫して使うだけなんです。さらに心配なのは、Zoomには政府機関向けの「Zoom For Government」というプロダクトもあるんですが、それを使った場合でも、第三者がZoomミーティングを見つけるにはただ検索するだけなんです。
Zoom爆弾、米国議会に到達
Zoom爆弾に関しては4月10日、米下院議員のジム・ジョーダン氏が下院監視委員会あての文書でその危険性を指摘しました。この文書の直前には、上院でもZoomのプライバシー・セキュリティリスクに関する注意喚起があったばかりでした。その理由は、各議会の公式なZoomミーティングにまでZoom爆弾が投げ込まれたからです。ジョーダン氏の文書によると、アフガニスタンの女性の権利に関するZoomミーティングでは、少なくとも3回Zoom爆弾が投下されました。ジョーダン氏はまた、会議出席者のデバイスにZoom経由で「ハッキングやマルウェア攻撃」があったかどうか、もしあった場合その損失はどれくらいかは「判定中」だと付け加えています。
この種の爆弾を投げる側にとって、ターゲットとなるZoomミーティングを探すのはごく簡単です。私自身もちょっと試してみましたが、たしかに誰でも入れるZoomミーティングは、学校のオンライン授業だろうがアルコール依存治療サポートグループだろうが政府系の何かだろうが、すぐに見つかりました。
Zoom爆弾が連邦議会レベルに到達したのはジョーダン氏が指摘したケースが初めてでしたが、州や地方自治体レベルへの攻撃は何週間も前から起きていました。全米ほとんどあらゆる州の地方自治体のオンライン会議に招かれざる客が乱入し、ポルノやナチス系コンテンツ、もしかしたらナチス系ポルノなどをねじ込んでいきました。
こうした事態に対応してZoomはセキュリティを増強、各Zoomミーティングにデフォルトでバーチャル待合室を設け、ホストが参加者を事前チェックするフローを作り、明らかにあやしい名前の人物を排除できるようにしました。でもその効果はというと、単に攻撃者がもっと当たり障りのない名前でログインしてくるだけでした。米法務省も「Zoom爆弾は犯罪、罰金や懲役もありうる」という強いメッセージを出していますが、それでも攻撃は続いています。
Googleにひと手間かけて簡単に
私自身Zoom爆弾のすべてを把握してるわけじゃないのですが、Zoom爆弾を仕掛ける中高生の集うDiscordサーバを丸1日見て調べた結果、彼らがターゲットとするZoomミーティングをどうやって探しているかはわかりました。Zoom爆弾のほとんどは、生徒が先生を困らせたくて自分のクラスのミーティングIDを友だちと交換することから始まっていました。ただごく一部の手の込んだところでは、主要なSNS上で公開されているZoomミーティングへの招待を自動収集していました。
もうひとつよく使われている手法は「Google Dorking」と呼ばれ、Web上に置かれたセンシティブな情報をGoogle検索を駆使して集めるものです。この手法は一般にハッキングの過程でよく使われるだけでなく、調査報道の中でも使われるし、というか私も使っています。つまり理論上、私も彼らティーンエージャーと同じように議会ミーティングを「ハック」できるのです。
そこで試しにZoom爆弾攻撃可能なミーティングを探してみました。もちろん私自身が攻撃するつもりはなくて、単に攻撃者がターゲットを探すプロセスを確認するためです。
Zoomミーティングでも何でも、何らかのコンテンツをオンラインに乗せる場合、ひと手間かけない限りすべてにインデックスが付けられ、検索可能な形で保存されます。ほんのちょっと技術にうとい団体のサイト(たとえば地方自治体のWebサイト)なら、適切な検索ワードさえわかれば、ときにはパスワードで保護されている場合でさえそのサイトの全履歴から何でも引き出せてしまいます。そして少し前に調べたんですが、公開のZoomミーティングのURLはみんな同じような検索可能な文字列になっているので、それがWeb上のどこかにポストされればあとはいくらでも検索で見つかるんです。
政府のZoomミーティングでも同じ問題
米Gizmodoでは2週間前にZoomにコンタクトし、Google Dorking問題について質問したのですが、この記事執筆時点で回答はありませんでした。この問題は政府向けサービスのZoom For Governmentでも同じだったので、それについてもZoomに指摘してあります。
「Zoomはセキュリティを非常に重視しています」とZoomの広報は言っています。
「Zoomはユーザーがミーティングへのリンクを公開した場合に、検索エンジンにインデックス化される可能性があることを把握しています。そしてこうしたリンクを非インデックス化して検索結果から外すべく努力しています」
ユーザー側でできることとして、彼らはこんな対策を勧めています。
「すべてのユーザーに対し、センシティブなミーティングへのリンクを公開のWebサイトにポストしないよう強く推奨します。招かれざるユーザーが参加しないよう、パスワード保護とバーチャル待合室の利用をお勧めします」
私がGoogleで自治体のミーティングを簡単に見つけてしまえたのは、彼らが特別な保護対策なしのプレーンなZoomを使っていたからです。もっとお金のある組織(または隠したいことのある州)は、国土安全保障省が去年「安全なクラウドソリューション」というお墨付きを与えたZoom For Governmentを使っている可能性が高いと思われます。公開文書によれば、米国疾病予防管理センター(CDC)や税関・国境取締局、農務省といった組織がこのエリート版Zoomを使っています。
なので、私はペンタゴンとか移民・関税執行局とかもZoom For Governmentを使っているものと思ったんですが、彼らのミーティングも前述のものと同じように、ほんの数クリックでアクセスできてしまいました。5分ほど試しただけで、農務省とか米国立科学財団、CDCがホストするいくつかの新型コロナウイルス関連会議などを発見しました。
ただ、私が見つけた政府系Zoomミーティングのリンクはどれも特にジューシーというか、すごい特ダネが隠れてるとかじゃありません。Google検索キーワードをちょっと工夫するだけで、米軍上層部のトップシークレットがのぞき見られるとかだったらさすがにまずいだろうと思います。この手法では、たとえば農務省が農業者向けにとか、CDCが病院向けにとか、国立科学財団が大学向けにとか、それなりに大規模にやっている公開ミーティングとかウェビナーが見つかりました。こういう大規模イベントだと、待合室機能はほぼ無意味です。アルコール依存患者向けミーティングに入り込めるなら、病院関係者とか政府の出入り業者のフリをしてCDCのミーティングに潜入するのも簡単です。
Zoomの名誉のために補足すると、これらの多くはZoom自身でコントロールできることではなく、リンクを検索できる形で公開しているのはユーザー側、つまり政府とか議会の人たちです。でもZoomはすでに、国家安全保障の名の下にデータセンターを作り替える荒技もやりとげているくらいなので、ユーザーがオープンなWebにリンクを載せないようにもっと啓蒙というか教育というか、してかなきゃいけないんでしょうね。
Source: Zoom(1、2)、Millitary.com、CNET、TIME、Documentcloud、NY POST、CBS、Business Insider、mLIVE 、jsonline、NC Advertiser、Davis enterprise、ZDNet、PC Mag、Krebs on Security、Hackingloops、gijn、WSJ、Security Newspaper、Fedramp
