オンライン会議ツール「Zoom」が問題山積み。荒らし予防策、修正状況まとめ

  • 88,270

  • author satomi
オンライン会議ツール「Zoom」が問題山積み。荒らし予防策、修正状況まとめ
Image: Zoom

コロナで儲かっているのはベゾスとエリック・ユアン(袁征)だけ。

そんな逆行高の波に乗り1日利用2000万人から2億人に爆増中のZoomに、セキュリティの脆弱性が次々と見つかって対応に大わらわ。セッションが荒らされる被害にFBIが警戒を呼び掛けています。

Zoomとは?

Zoomは、シスコのWebExからスピンアウトした会社です。ユアンCEOはビル・ゲイツに憧れて中国から渡米を決意し、ビザを8回却下されて9度目の正直でシリコンバレーに渡り、当時まだ社員10人だったWebExに就職。 800人の国際企業に育てた後に部下40人を引き連れて2011年に独立しました。

もともと法人カスタマーが主なターゲットですので、今のように、社会全体が外出禁止になって授業も教会もイベントも集会も家族会議もZoomになるなんて夢にも思わなかったんでしょう。


今やコロナ療養中のジョンソン英首相の閣僚会議もZoom


でも現実にそれが起こってしまって、セキュリティの専門家からは毎日のようにセキュリティ上の脆弱性が報告されて、なんだか最近は針のむしろ状態になっているんですね。

編注:本稿では、2020年4月5日夜までの情報をまとめています。


授業中にポルノが流れるZoom荒らし

まず今大きな社会問題になっているのがこれ。ビデオ会議やネット授業の最中に招かれざる客が乱入して、野次を飛ばしたり、ポルノを流したりする荒らし行為、俗にいう 「Zoombombing(Zoom荒らし)」 です。


PCMagには、実行犯が一部始終を録画してYouTubeやTikTok、Twitterで自慢して回る様子が克明に報じられているんですけど、学校に不満を抱く学生が、授業の日時とIDをネットの掲示板に書き込んで、マニアに荒らしを呼びかけるのが流行ってるみたいなんですね。苦情の嵐を受けて、FBIが3月30日、予防手順を公開し、被害情報をインターネット犯罪苦情窓口に寄せるよう注意を呼びかけました。


iOSアプリがFacebookに端末データを勝手に送る問題(解決済み)

続いて出てきたのが、セッションにアクセスすると本人の許可なく端末情報がFacebookに送られる問題。これはMotherboardの26日のスクープ27日には解決しました


「エンド・ツー・エンドの暗号化」は嘘

20200402Zoom_end_to_end
Zoom

サイトでもセキュリティ白書でもFAQでも「エンド・ツー・エンド(E2E)の暗号化」を謳っているんですが、これも嘘であることがThe Interceptの調べでわかり、Zoomも認めています


受け手と送り手の間が暗号化されていない、となると、Zoomから見られてしまうんじゃ…と心配になりますが、Zoom側は「傍受、保存はしない」と言ってます。技術的な問題でFaceTimeのようなE2Eには至っていない、というのが大方の見方です。表記の修正が待たれます。



同僚以外の連絡先も「会社の連絡先」に登録される

Zoomではセッション中に同じ法人ドメインの同僚がいると「会社の連絡先」に自動的に登録されます。gmail.com、yahoo.com、hotmail.comなんかの無料ドメインの個人アドレスで入ると登録されないんですが、オランダのマイナーな無料ドメイン( xs4all.nl、dds.nl、quicknet.nl)で入ると誤作動してしまう不具合も見つかっています。法人ドメインと誤って認識されてしまうのか、ご覧のように、同僚でもなんでもない人たちのメールアドレスと写真、電話番号まで1000人規模でどっと登録されるんです。



Windowsの認証情報が盗まれる(修正済み)

さらにチャットでURLを送ると、UNCパスがリンクに変換され、そちらをクリックするとWindowsがリモートサイトに接続を試みて、ログイン名とNTLMハッシュのパスワードを送信しちゃう不具合も見つかりました。無料ツールのHashcatなどを使えば、パスワードを見られちゃいます。単純なパスワだと16秒ぐらいで。こちらについてはBleeping Computerが31日報じ2日修正パッチが出ました


20200402Zoom_BleepingComputer
Bleeping Computer


Macに要らないものまでインストールする(修正済み)

VMRayのFelixさんが30日ツイートで指摘した問題点。こちらも2日速攻で修正して褒められてます。


録画が大量リーク

さすがにこれで不具合も打ち止めだろうと思いきや。今度はパスワード保護のかかっていないZoomのビデオ電話の録画が大量にウェブに出回っていることがWashington Postの調べでわかりました。Zoomのセッションはホストが参加者の許可なしに録画できるし(録画開始は参加者に通知されます)、録画ファイル名にIDが組み込まれたりするので、外部の人も簡単にウェブ検索できちゃうんですね。これについてはもっと非公開性を高め、ファイル名にも匿名性を高める工夫が必要だと元NSAの専門家は話しています。


Zoom荒らしを防ぐには?

未解決の問題は対処を待つとして、授業や会議でZoomを使うときには次の荒らし対策をするのがおすすめです。


①不特定多数のミ―ティングでPMIは使わない

アカウント取得時に発行されるパーソナルミーティングID(PMI)。Zoomは毎回このIDでミーティングが開けます。定例会議などでは探す手間が省けるので便利ですけど、SNSなどに告知してPMIが外部に漏れる全ミーティングが荒らしの餌食になることも。不特定多数が集まるイベントなんかでは、「インスタントミーティングにこのIDを使用する」のチェックを外して、1回限りの使い捨てIDを使うほうが何かと安心です。


②パスワードを要求する(5日からデフォ対応)

ミーティングをスケジュールする際にも「個人ミーティングID」ではなく「自動的に生成」を選択して、「パスワードを要求する」という項目にチェックを入れます。これは5日以降は手動で選ばなくてもデフォルトで要求する仕様になります。


②待機室を設けて不審者を振り落とす(5日からデフォ対応)

Zoomのセッションは、先着順におしゃべりしながら開始を待つ方法とホストの合図で開始する方法の2つがあります。教室などではホスト(先生)が開始の合図をするまで待機室で待たせておくほうが、荒らしは防げます(手順はここ)。 これも5日以降は手動で設定する必要はなくなります。


③画面共有は「ホストのみ」にする

アメリカでは低学年に幼児ポルノを流す愉快犯も…。参加者による「画面共有をロック」すればこういう事態は防げます。


④参加者登録を事前に行う

「ミーティングを編集する 」>「登録」で表示される登録URLを参加者に送って登録してもらえば、事前に承認した人のみに入室を制限できます。


⑤開始後ロックをかけちゃう

参加者が全員集まったら、余計な人が入らないように入室をロック。これは「参加者の管理」の「詳細」をクリックして設定できます。


⑥変な人がいたら即削除

「参加者の管理」で一覧から参加者をクリックして「削除」を選べば、セッションから追放することもできます(詳細はこちら)。


成長痛、まだまだ続きそうですね…。

2020年4月10日10:00UPDATE:修正版がリリースされ、タイトルバーにIDが表示されないようになりました!(IDはInfoアイコンで確認できます)

Sources: The Verge, The Intercept, Bleeping Computer, Zoom, The Verge

    あわせて読みたい