新型コロナウィルスの影響でリモートワークという状況になっている企業が増えています。
また、社外の企業との打ち合わせにWeb会議が使用されているところが多いと思います。
そこで使われ始めたのが、Zoom というサービス
リモート会議のサービスで他のサービスより使い勝手がよく無料ということで飛びついたわけですが、そこには大きな罠があった。
今回のIT小僧の時事放談は、
Zoomの危険性 使用禁止する企業、組織が増えている理由
と題して、世界中でZoom禁止の方向になっていますが、5.0以降でセキュリティが大きくアップされました。
小難しい話をわかりやすく解説しながらブログにまとめました。
最後まで読んでいただけたら幸いです。
最新情報 2020年12月19日
天安門事件関連のビデオ会議を検閲か、ズーム元従業員を指名手配 米FBI
最新情報 2021年1月8日
河野大臣、議員宿舎からZoomで記者会見
Zoom 最新バージョン
2021年1月11日バージョン5.4.9がリリースされました。
いくつかの機能追加 があります。
スポンサーリンク
最新情報
河野大臣、議員宿舎からZoomで記者会見
河野大臣、議員宿舎からZoomで記者会見 報道陣に「記者の皆さんもオンラインで」と要望
「記者の皆さんもできるだけオンラインでやってほしい」――。河野太郎行政・規制改革担当相は、1月8日に議員宿舎からオンラインで行った記者会見で、内閣府の会見室に集まった報道陣にこう要望した。政府が東京など1都3県に緊急事態宣言を発出したことを受け、河野大臣は中央省庁へテレワークを促した。
河野大臣は7日にテレワークを開始。2020年末に訪問したシンガポールからの帰国後の隔離期間や、緊急事態宣言で民間企業に7割の出勤抑制を要請していることなどを踏まえたもの。8日の会見はWeb会議ツール「Zoom」で配信した。
河野氏はまた、霞が関の中央省庁に対してもローテーションで7割の出勤抑制を要請したことを明かした。「自分がテレワークをすることで、所管する部局もテレワークをやりやすくするだろうし、霞が関のテレワークの問題をはっきりと浮かび上がらせられるのではないか。霞が関にしっかりとメッセージを出したい」とした上で「期間を決めているわけではないが、今後はオンライン(会見など)にチャレンジしたい」と抱負を述べた。
河野氏は今後も閣議や国会審議を除き、原則議員宿舎でテレワークを行う方針。
https://www.itmedia.co.jp/news/articles/2101/08/news152.html
テレワーク始めます。 pic.twitter.com/XBD7KuThpZ
— 河野太郎 (@konotarogomame) January 7, 2021
オンライン会見。記者側から。 pic.twitter.com/FIV16BTCp5
— 河野太郎 (@konotarogomame) January 8, 2021
記者がバカみたいに座っている・・・
政治家が率先してやってくれることが重要
首相も少し見習ったらいかがでしょうか!
天安門事件関連のビデオ会議を検閲か、ズーム元従業員を指名手配 米FBI
ニューヨーク(CNN) 中国政府のために天安門事件関連のビデオ会議を検閲したとして、ビデオ会議システム「Zoom(ズーム)」を提供する米ズーム・ビデオ・コミュニケーションズの元従業員が、米連邦捜査局(FBI)から指名手配されていることが19日までに分かった。
シンジャン・ジン容疑者(39)と共謀者は6月、天安門事件から31周年を記念するビデオ会議少なくとも4件を中止させた疑い。裁判所の書類によると、ほとんどの会議の主催者や参加者は米国在住で、そのうち一部は1989年の天安門事件を生き抜いた反体制派の人物だったという。
訴追請求状ではズーム社を名指ししていないものの、捜査状況に詳しい情報筋は、この会社がズームであることを確認。ズーム社もジン容疑者について、中国在住の元従業員だと明らかにした。
ズームは声明で、社内調査の結果、元従業員が会社の規定に違反して社内アクセス管理の迂回(うかい)を試みていたことが判明したと説明した。元従業員は複数の会議やアカウントを利用不可能にする行為に及んだほか、一部の個人情報を中国当局と共有ないし共有を指示していたという。
ズームは社内規定違反を理由にこの従業員の契約を解除。他の従業員についても、調査が完了するまで休職処分にしたと明らかにした。
ニューヨーク東地区の連邦地裁に提出された訴追請求状によると、ジン容疑者は州をまたいだ嫌がらせを共謀したり、身元特定につながる情報の移転を違法に共謀したりしたとして訴追されている。
米連邦検察によると、ジン容疑者は現在、中国の浙江省にいることが確認されており、米当局の拘束下にはない。
Zoomとしては、即刻クビにしてNASDAQの上場を守ったと言われている。
この元従業員とされていますが、中国当局にZoomの情報がだだ漏れだったことが、事実であったことが証明されてしまったわけです。
OracleからAmazonへ
- アマゾン・ウェブ・サービス(AWS)は11月30日、ズーム(Zoom)から「推奨クラウドプロバイダー」に選ばれたことを明らかにした。
- ズームは2011年にAWSとの協業を開始。マイクロソフトやオラクルともクラウド契約を結んでいるが、サービスの大部分は自社データセンターに依拠している。ただし、新型コロナの世界的流行が続くなかでビデオ会議の需要が急増、外部のクラウドサービスへの依存度が高まっている。
- 今年4月、ズームはオラクル(Oracle)と提携し、同社からクラウドインフラの提供を受けることを発表している。
今回新たに推奨プロバイダとして複数年契約を結んだことで、両社の協業関係はより緊密になると思われますが、Oracleとの関係を重視したのに一年も経たないのにAmazonへと乗り換えるのか?
ネタ元は、ビジネス・インサイダーより
「エンドツーエンドの暗号化」をユーザーに虚偽の宣伝 連邦取引委員会と和解?
2020年11月9日(月)
Zoomのセキュリティ問題について調査してきたアメリカの連邦取引委員会(FTC)が、
アメリカの連邦取引委員会(FTC)は、Zoomのセキュリティ問題について調査結果を発表した。
と同時にZoomとの和解案を発表している。
これまでZoomは、当ブログでも指摘してきたように
「オンライン会議の暗号化キーが中国のサーバーに保管されている」
「ユーザーの通信を保護するためにエンドツーエンドの暗号化を提供している」
と宣伝しながら、実際にはエンドツーエンドの暗号化を実装していなかった。
また、Macにおいて「ZoomOpener Web server」というソフトウェアを密かにインストール
これは、ZoomがAppleのセキュリティプロトコルを回避する(Safariがユーザー警告を出させない)のを助けるものだった。
※2019年7月、Mac上でZoomOpener Web serverを削除するアップデートを実施している。
これら数々の問題をアメリカの連邦取引委員会(FTC)は、
「包括的なセキュリティプログラムの確立と実装」
「プライバシーとセキュリティに関する不実表示の禁止」
「ユーザーを保護するための詳細かつ具体的な救済の確立」
という3つの条件をZoomに提示
Zoomが同意したことを発表した。
つまり、これまでの問題を認め、提示された条件を守れば、これ以上問わない。
というわけです。
事実、、Zoomにエンドツーエンドの暗号化の実装は、2020年5月に暗号化技術を開発しているスタートアップのKeybase社を買収し、10月には公式ブログでもエンドツーエンドの暗号化を展開すると発表しました。
Zoom Rolling Out End-to-End Encryption Offering - Zoom Blog
https://blog.zoom.us/zoom-rolling-out-end-to-end-encryption-offering/
と ここまでは、良かったのですが(よくないか・・・)
FTCの過半数は、民主党の委員で構成されていて
「おいおい! それじゃ 影響を受けてきたユーザーに対して何の保証もないのかよ」
と主張 なんだか このまま収まりそうになりません。
Zoom社は、消費者から数多くの訴訟が起こされているのも事実
FTCとの和解は、乗り切れそうだけどユーザーへの補償問題はこれからである。
と予想されている。
25社との協業発表
「Zoom」を運営する米ズーム・ビデオ・コミュニケーションズは14日、書類共有の「ドロップボックス」など他社製のアプリと連携しやすくすると発表した。資料を一緒に見ながら議論したり、会議中に投票アプリで採決を取ったりしやすくなる。企業向けのクラウドサービスを扱う新興企業が組み、米マイクロソフトなどに対抗する。
14日に開いた顧客向けの年次イベントで「Zapps(ザップス)」と呼ぶアプリ連携の仕組みを披露した。ズーム上のアイコンを押すだけで、画面を切り替えることなくチャットの「スラック」や仮想ホワイトボードの「ミロ」などを使えるようになる。2020年末までにサービスを始める計画で、まずは約25社との協業を決めた。
日本経済新聞 2020年10月15日 5:28
Zoom
新型コロナウィルスの影響で外出禁止や自主隔離などが広がるなか、企業や学校、組織は、コミュニケーションを取る方法としてZoomというものが注目された。
なにしろ、無料で100人までのグループビデオチャットに対応できるという最大の利点がある。
無料、コスト0 これは、みんなつかうわけだ。
https://zoom.us/jp-jp/meetings.html
使用禁止
Zoomは今日までにFacebookアカウントを持たないユーザーもデータをFacebookに送られてしまう、オンライン会議のキーが中国・北京のサーバーを経由していた問題、またエンドツーエンド暗号化の「認識違い」やZoombombing(ズームボミング、Zoom爆撃)攻撃など、様々なセキュリティとプライバシーに関する問題が噴出し、株主からの訴訟も提起されていた。
米国
ニューヨーク市、ネバダ州やロサンゼルス(LA)の一部学校でセキュリティ問題を理由にズーム使用を禁止
[9日 ロイター] - 米上院は議員らに対し、ビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ(ZM.O)が提供するアプリ「ズーム」を使用しないよう通達した。
米電気自動車メーカー、テスラ(TSLA.O)のイーロン・マスク最高経営責任者(CEO)が率いる米宇宙ベンチャー「スペースX」も「ズーム」の使用を禁じている。
米カリフォルニア州バークレーの高校でも、パスワードで保護されているはずの会話にわいせつ画像が割り込んだ事例を受け、「ズーム」使用を停止
アルファベット(Alphabet)傘下のグーグル(Google)は8日、ズーム・ビデオ・コ ミュニケーションズ(Zoom Video Communications)の動画会議アプリケーションをグーグル社員のラップトップで使うことを禁止した。先日に発覚したセキュリティーおよびプライバシーの問題がその理由。
台湾政府
公共機関におけるズームの使用を全面的に禁止
ドイツ
外務省といった公的機関は、禁止
シンガポール
[シンガポール 10日 ロイター] - シンガポール教育省は10日、教員にビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ(ZM.O)が提供するアプリ「ズーム」の使用を停止するよう指示した。新型コロナウイルス感染拡大を受けてオンライン授業を実施するなかで「極めて重大な事案」が発生したという。
その他、多くの公共機関でZoomを禁止しているところが多い。
Zoomアカウントが、売られていた
2020年4月15日 直接は、Zoom側の問題ではなかったのですが、こんなニュースが、流れてきた。
何十万ものZoomアカウントがダークWebとハッカーフォーラムで無料配布または販売されていると報じられています。
コンピュータヘルプサイトのBleepingComputerは上記の報告とともに、サイバーセキュリティ企業Cybleが約53万ものZoomアカウント情報を1ペンス(約132円)未満で購入できたと伝えています。購入したアカウントには被害者のメールアドレス、パスワード、パーソナル会議のURLおよびホストキーなどが含まれており、一部は正規のアカウントだと確認されたとのことです。
Engadget
セキュリティが甘かった時の情報だと思います。
もし、念の為、パスワードの変更をしておいたほうが良いかも知れません。
ここで大きな問題は、Zoomで使用していたパスワードが他のサイトで使われていないか?
ということだと思います。
なにが問題なのか?
これまで出てきた問題点
1.Zoomの暗号化は強固でない
「エンド・ツー・エンドの暗号化」をサポートしていると主張していたが実際にはサポートしていなかった。
エンドツーエンドの暗号化とは、参加者と参加者の間での暗号化のことでセキュリティは守られていたわけですが、参加者とサーバーとの間でのみ暗号化sれていただけで、サーバー上では暗号化されていなかった。
つまり、Zoomの管理者などが会議の中身にアクセスできる可能性があり、説明と実際の動きが合っていないとの指摘があった。
また、暗号化に使用しているAES(Advanced Encryption Standard)の鍵長は256ビットだとズームは説明していたが、実は128ビットだった。
2.暗号鍵をサーバーが中国にあった。
暗号鍵をサーバーが作成して仕様者に配布される仕組みになっていますが、暗号鍵を作成しているサーバーの5つが中国に設置されていた。
これは、何を意味するかと言うと
鍵を持っているサーバーが中国にある場合、中国政府当局が要求すれば、ビデオ会議の内容が中国政府当局に筒抜けされる(可能性が高い)
これは、中国の法律で決まっていることなので防ぎようがない。
Zoom側では、現在ではこの問題は解消していると発表している。
有料課金に限り、使用するサーバーを選択できる機能が追加された。
また、無料使用でも指定しない限り中国のサーバを使用しないとされている。
3.アプリの問題
Mac版クライアントソフトにも管理者権限を奪われるなどの脆弱性が見つかった。
2020年4月、ZoomのWindows版クライアントソフトに危険な脆弱性が見つかったとして情報処理推進機構(IPA)が注意喚起をした。
細工が施されたリンクをクリックするだけで認証情報を盗まれる恐れがある。
すでに修正版がでているので問題は解消されている。
スポンサーリンク
ばれるまでやっていた?
Zoomで問題なのは、
指摘されたから直しました。
という企業の姿勢だと思います。
Facebookに情報を流していた。
一部の暗号鍵のサーバーが中国にあった。
などというのは、
最初から組み込まれてきた仕様や設定なので知りませんでは言い訳にならない。
セキュリティの問題が指摘されるまで、情報を集めまくったことは、否定できません。
以前 Simeji – 日本語文字入力&きせかえ・顔文字キーボード.が、無料で配布されていたことがありました。
開発元は、Baidu Japan Inc.(Baidu は、中国検索エンジン大手である百度)
入力した情報(ユーザーID、パスワードを含む)が、中国に送られているのではという疑惑があったのですが、当初否定していました。
結局、中国のサーバーに送られたことが発覚して
ばれるまでやっていた
と言われても仕方がないのです。
Baidu は、2019年にユーザーデータを断りなく中国に送信したり広告詐欺を行っていたため、米国ではアカウントを停止されました。
リスクと利便性
Zoomは、Skypeや他の会議システムと違って、それぞれがアカウントを登録していない状態でも会議ができるような仕組みになっていて簡単に使えて無料でも十分に使えるサービスです。
一方、利便性を追求するためには、ハードルを下げる必要性があるためセキュリティが下がるのは、仕方がないという一面があるのは事実
利便性とセキュリティを同時に実現するのはかなり難しい。
企業ではどうするか?
問題点が指摘されたときに
「やっていないのにやっていた嘘を言っていた」
ということでZoomは信頼性を失った。
このことで株主から損害賠償の訴えが起こるとかで騒がれている。
また、ZoomのCEOが、Eric Yuan氏が、中国系であるというのも
米国 vs 中国 という状況での影響もあるかも知れない。
IT小僧は、特に米国 vs 中国という図式が大きいと考えている。
重要なファイルの取り扱いがあったり、機密事項の打ち合わせなどは、別の会議システムを使うことをオススメします。
使うなとは言いませんが、危険性があるということを念頭においておいたほうがよいわけです。
きちんとすれば大丈夫?
FBIは、Zoomのハッキング対策として、以下の4点にたいして注意勧告をしている。
- 会議や教室を「公開」しない。Zoomでの会議を「非公開」にするには、会議参加者にパスワードを発行する、ホストが会議への参加者を管理できる「待機室」を設定するという2つの方法がある。
- ソーシャルメディアの投稿で、会議や教室へのリンクを共有せず、特定の人に直接リンクを提供する。
- 画面共有オプションを管理。Zoomでの画面共有を「ホストのみ」に変更する。
- 2020年1月、Zoomはソフトウェアを更新したので、更新したバージョンを使う。この新しいバージョンではデフォルトに会議のパスワードを追加し、参加する会議をランダムにスキャンする機能を無効化した。
また、公的機関のZoomに対する注意点をまとめるといかの点に注意を促している。
- 必ず最新版のZoomアプリを利用
- 会議のIDやURLは参加者以外の目に触れないよう厳重に管理する(SNSなどへの投稿は絶対にNG)
- 会議には、必ずパスワードを設定
- 待機室の機能を使い、会議の主催者が承認したユーザーのみが参加できるようにする。
- 承認したユーザーのみで会議を始めたら、途中で不正ユーザーが参加しないよう必ず会議をロックする。
- 画面共有機能をホストのみが利用できるよう設定
- 会議中に機密情報について話したり画面共有することは避ける。
- ファイル転送機能を無効にする。
最低限守れば、ある程度セキュリティが守られると思います。
企業として使用するにはリスク承知で使うのは問題ないでしょう。
と言いつつも以下に該当する組織の場合、Zoomを使わないことをオススメします。
- スパイ活動を心配する政府
- サイバー犯罪や産業スパイを懸念する企業
- センシティブな患者情報を扱う医療関係者
- デリケートな話題に取り組んでいる活動家や弁護士、ジャーナリスト
一方
友人との連絡、Zoomで飲み会、公開の場で開催されるイベントや講義は、問題ないでしょう。
つまり、居酒屋で話すようなことなら、お手軽でオススメします。
信用を回復するために
Zoomでは、度重なる脆弱性の問題を解決するためにセキュリティ間衣rんで実績があるLuta Securityと提携したと発表
セキュリティ問題やプライバシー問題が相次いで発覚しているWeb会議サービス「Zoom」は2020年4月15日、脆弱(ぜいじゃく)性発見を目的としたバグバウンティプログラムの改善を目指し、この分野で実績のあるLuta Securityと提携したと発表した。同サービスについては、新たな未解決の脆弱性が売りに出されているという報道もある。
ITmediaより
Luta Securityは、脆弱性開示プログラムとバグ報奨金のエキスパートアーキテクチャの専門グループである。