IT小僧の時事放談

Zoomの危険性 使用禁止する企業、組織が増えている理由

ZOOM Cloud Meetings

新型コロナウィルスの影響でリモートワークという状況になっている企業が増えている。

そこで使われ始めたのが、Zoom というサービス
要はリモート会議のサービスで他のサービスより使い勝手がよく安価ということで飛びついたわけですが、そこには大きな罠があった。

今回のIT小僧の時事放談は、
Zoomの危険性 使用禁止する企業、組織が増えている理由

と題して、世界中でZoom禁止の方向になっていますが、5.0以降でセキュリティが大きくアップされました。

小難しい話をわかりやすく解説しながらブログにまとめました。

最後まで読んでいただけたら幸いです。

最新情報(2020年5月28日)を掲載しました。
2020年5月30日から、Zoom 5.0以上しか接続できなくなります。

Zoom 最新バージョン 5.0.4

スポンサーリンク

Zoom

新型コロナウィルスの影響で外出禁止や自主隔離などが広がるなか、企業や学校、組織は、コミュニケーションを取る方法としてZoomというものが注目された。

なにしろ、無料で100人までのグループビデオチャットに対応できるという最大の利点がある。

無料、コスト0 これは、みんなつかうわけだ。

Zoomのロゴ

https://zoom.us/jp-jp/meetings.html

使用禁止

Zoomは今日までにFacebookアカウントを持たないユーザーもデータをFacebookに送られてしまう、オンライン会議のキーが中国・北京のサーバーを経由していた問題、またエンドツーエンド暗号化の「認識違い」やZoombombing(ズームボミング、Zoom爆撃)攻撃など、様々なセキュリティとプライバシーに関する問題が噴出し、株主からの訴訟も提起されていた。

米国

ニューヨーク市、ネバダ州やロサンゼルス(LA)の一部学校でセキュリティ問題を理由にズーム使用を禁止

[9日 ロイター] - 米上院は議員らに対し、ビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ(ZM.O)が提供するアプリ「ズーム」を使用しないよう通達した。

米電気自動車メーカー、テスラ(TSLA.O)のイーロン・マスク最高経営責任者(CEO)が率いる米宇宙ベンチャー「スペースX」も「ズーム」の使用を禁じている。

米カリフォルニア州バークレーの高校でも、パスワードで保護されているはずの会話にわいせつ画像が割り込んだ事例を受け、「ズーム」使用を停止

アルファベット(Alphabet)傘下のグーグル(Google)は8日、ズーム・ビデオ・コ ミュニケーションズ(Zoom Video Communications)の動画会議アプリケーションをグーグル社員のラップトップで使うことを禁止した。先日に発覚したセキュリティーおよびプライバシーの問題がその理由。

台湾政府

公共機関におけるズームの使用を全面的に禁止

ドイツ

外務省といった公的機関は、禁止

シンガポール

[シンガポール 10日 ロイター] - シンガポール教育省は10日、教員にビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ(ZM.O)が提供するアプリ「ズーム」の使用を停止するよう指示した。新型コロナウイルス感染拡大を受けてオンライン授業を実施するなかで「極めて重大な事案」が発生したという。

その他、多くの公共機関でZoomを禁止しているところが多い。

Zoomアカウントが、売られていた

2020年4月15日 直接は、Zoom側の問題ではなかったのですが、こんなニュースが、流れてきた。

何十万ものZoomアカウントがダークWebとハッカーフォーラムで無料配布または販売されていると報じられています。
コンピュータヘルプサイトのBleepingComputerは上記の報告とともに、サイバーセキュリティ企業Cybleが約53万ものZoomアカウント情報を1ペンス(約132円)未満で購入できたと伝えています。

購入したアカウントには被害者のメールアドレス、パスワード、パーソナル会議のURLおよびホストキーなどが含まれており、一部は正規のアカウントだと確認されたとのことです。

Engadget

セキュリティが甘かった時の情報だと思います。
もし、念の為、パスワードの変更をしておいたほうが良いかも知れません。

Zoom

ここで大きな問題は、Zoomで使用していたパスワードが他のサイトで使われていないか?
ということだと思います。

なにが問題なのか?

これまで出てきた問題点

1.Zoomの暗号化は強固でない

「エンド・ツー・エンドの暗号化」をサポートしていると主張していたが実際にはサポートしていなかった。

エンドツーエンドの暗号化とは、参加者と参加者の間での暗号化のことでセキュリティは守られていたわけですが、参加者とサーバーとの間でのみ暗号化sれていただけで、サーバー上では暗号化されていなかった。

つまり、Zoomの管理者などが会議の中身にアクセスできる可能性があり、説明と実際の動きが合っていないとの指摘があった。

また、暗号化に使用しているAES(Advanced Encryption Standard)の鍵長は256ビットだとズームは説明していたが、実は128ビットだった。

2.暗号鍵をサーバーが中国にあった。

暗号鍵をサーバーが作成して仕様者に配布される仕組みになっていますが、暗号鍵を作成しているサーバーの5つが中国に設置されていた。

これは、何を意味するかと言うと

鍵を持っているサーバーが中国にある場合、中国政府当局が要求すれば、ビデオ会議の内容が中国政府当局に筒抜けされる(可能性が高い)

これは、中国の法律で決まっていることなので防ぎようがない。

Zoom側では、現在ではこの問題は解消していると発表している。

有料課金に限り、使用するサーバーを選択できる機能が追加された。
また、無料使用でも指定しない限り中国のサーバを使用しないとされている。

3.アプリの問題

Mac版クライアントソフトにも管理者権限を奪われるなどの脆弱性が見つかった。

2020年4月、ZoomのWindows版クライアントソフトに危険な脆弱性が見つかったとして情報処理推進機構(IPA)が注意喚起をした。
細工が施されたリンクをクリックするだけで認証情報を盗まれる恐れがある。

すでに修正版がでているので問題は解消されている。

スポンサーリンク

リスクと利便性

Zoomは、Skypeや他の会議システムと違って、それぞれがアカウントを登録していない状態でも会議ができるような仕組みになっていて簡単に使えて無料でも十分に使えるサービスです。

一方、利便性を追求するためには、ハードルを下げる必要性があるためセキュリティが下がるのは、仕方がないという一面があるのは事実

利便性とセキュリティを同時に実現するのはかなり難しい。

企業ではどうするか?

問題点が指摘されたときに

「やっていないのにやっていた嘘を言っていた」

ということでZoomは信頼性を失った。

このことで株主から損害賠償の訴えが起こるとかで騒がれている。

また、ZoomのCEOが、Eric Yuan氏が、中国系であるというのも
米国 vs 中国 という状況での影響もあるかも知れない。

IT小僧は、特に米国 vs 中国という図式が大きいと考えている。

重要なファイルの取り扱いがあったり、機密事項の打ち合わせなどは、別の会議システムを使うことをオススメします。

使うなとは言いませんが、危険性があるということを念頭においておいたほうがよいわけです。

きちんとすれば大丈夫?

FBIは、Zoomのハッキング対策として、以下の4点にたいして注意勧告をしている。

  1. 会議や教室を「公開」しない。Zoomでの会議を「非公開」にするには、会議参加者にパスワードを発行する、ホストが会議への参加者を管理できる「待機室」を設定するという2つの方法がある。
  2. ソーシャルメディアの投稿で、会議や教室へのリンクを共有せず、特定の人に直接リンクを提供する。
  3.  画面共有オプションを管理。Zoomでの画面共有を「ホストのみ」に変更する。
  4.  2020年1月、Zoomはソフトウェアを更新したので、更新したバージョンを使う。この新しいバージョンではデフォルトに会議のパスワードを追加し、参加する会議をランダムにスキャンする機能を無効化した。

また、公的機関のZoomに対する注意点をまとめるといかの点に注意を促している。

  • 必ず最新版のZoomアプリを利用
  • 会議のIDやURLは参加者以外の目に触れないよう厳重に管理する(SNSなどへの投稿は絶対にNG)
  • 会議には、必ずパスワードを設定
  • 待機室の機能を使い、会議の主催者が承認したユーザーのみが参加できるようにする。
  • 承認したユーザーのみで会議を始めたら、途中で不正ユーザーが参加しないよう必ず会議をロックする。
  • 画面共有機能をホストのみが利用できるよう設定
  • 会議中に機密情報について話したり画面共有することは避ける。
  • ファイル転送機能を無効にする。

最低限守れば、ある程度セキュリティが守られると思います。
企業として使用するにはリスク承知で使うのは問題ないでしょう。

と言いつつも以下に該当する組織の場合、Zoomを使わないことをオススメします。

  • スパイ活動を心配する政府
  • サイバー犯罪や産業スパイを懸念する企業
  • センシティブな患者情報を扱う医療関係者
  • デリケートな話題に取り組んでいる活動家や弁護士、ジャーナリスト

一方
友人との連絡、Zoomで飲み会、公開の場で開催されるイベントや講義は、問題ないでしょう。

つまり、居酒屋で話すようなことなら、お手軽でオススメします。

ばれるまでやっていた?

Zoomで問題なのは、

指摘されたから直しました。

という企業の姿勢だと思います。

Facebookに情報を流していた。
一部の暗号鍵のサーバーが中国にあった。

などというのは、

最初から組み込まれてきた仕様や設定なので知りませんでは言い訳にならない。

セキュリティの問題が指摘されるまで、情報を集めまくったことは、否定できません。

以前 Simeji – 日本語文字入力&きせかえ・顔文字キーボード.が、無料で配布されていたことがありました。
開発元は、Baidu Japan Inc.(Baidu は、中国検索エンジン大手である百度)

入力した情報(ユーザーID、パスワードを含む)が、中国に送られているのではという疑惑があったのですが、当初否定していました。
結局、中国のサーバーに送られたことが発覚して

ばれるまでやっていた

と言われても仕方がないのです。

Baidu は、2019年にユーザーデータを断りなく中国に送信したり広告詐欺を行っていたため、米国ではアカウントを停止されました。

信用を回復するために

Zoomでは、度重なる脆弱性の問題を解決するためにセキュリティ間衣rんで実績があるLuta Securityと提携したと発表

セキュリティ問題やプライバシー問題が相次いで発覚しているWeb会議サービス「Zoom」は2020年4月15日、脆弱(ぜいじゃく)性発見を目的としたバグバウンティプログラムの改善を目指し、この分野で実績のあるLuta Securityと提携したと発表した。同サービスについては、新たな未解決の脆弱性が売りに出されているという報道もある。

ITmediaより

Luta Securityは、脆弱性開示プログラムとバグ報奨金のエキスパートアーキテクチャの専門グループである。

最新バージョン

各デバイスの詳細は、リンク先を見て下さい。

Windows

May 24, 2020 version 5.0.4 (25694.0524)
解決された問題
・ダッシュボードのデータが遅延または欠落する問題を解決しました

macOS

May 24, 2020 version 5.0.4 (25694.0524)
既存の機能への変更

・仮想カメラのサポートクライアントバージョン5.0.4のユーザーに対して再度有効になります。
解決された問題
・マイナーなバグ修正

Linux

May 24, 2020 version 5.0.413237.0524
解決された問題
・マイナーなバグ修正

iOS

May 22, 2020 version 5.0.3 (24982.0518)
既存の機能への変更
・単一のProライセンスを持つアカウントの新しいデフォルトの画面共有設定
・言語解釈フラグアイコンは、言語の略語に置き換えられます。
・ホストがミュートしてから参加者のミュートを解除する場合は同意を要求するホストがミュートしてから参加
・すべてのミュート解除オプション
新機能および拡張機能
・画面共有時にアクセスが会議情報
・待合室の新しい着信音と、参加者が会議に参加または退席する
・チャットでサードパーティのファイル共有を再度有効にする
解決された問題
・マイナーなバグ修正

注意:iOS版が、他のバージョンと違うのは、AppStoreのチェック待のためと思われます。

Android

May 24, 2020 version 5.0.4 (25692.0524)

既存の機能への変更
・USBカメラサポートの削除 USBカメラサポートをAndroidデバイスでは一時的に削除されます。
新機能および拡張機能
ビデオミラーリングユーザーは、ビデオをミラーリングする設定を有効にできるようになりました。
解決された問題
・マイナーなバグ修正

Zoom最新情報

2020年5月30日から、Zoom 5.0以上しか動作しなくなります。

4月27日に一般公開されたZoom 5.0は、5月30日に、AES 256bit GCM暗号化が有効となる予定です。
それ以降は5.0以上のクライアントでなければZoomを利用できなくなるので要注意です。

2020年5月18日 中国の個人ユーザが同社のプラットフォームで会議を主催を停止

中国の個人ユーザが同社のプラットフォームで会議を主催することを一時停止
中国の代理店の一つが今月この変更を発表

Zoom は5月1日以降、中国の無料ユーザによる会議の開催を停止した。
事実上、個人でサービスを購入することはできなくなっている。
Shanghai Donghan Telecommunications(上海東涵通訊)

原因は、22日に開幕する 全国人民代表大会(全人代、国会に相当) のためとも言われている。

2020年5月7日  暗号化技術の米社買収

[7日 ロイター] - ビデオ会議システムの米ズーム・ビデオ・コミュニケーションズ(ZM.O)は7日、以前から問題が指摘されていた同社サービスのセキュリティを強化するため、暗号化技術を手掛ける米新興企業のキーベースを買収した。また、ユーザーのプライバシー保護でニューヨーク州司法長官と合意した。

同社は、ビデオ会議の主催者の権限を拡大し、ユーザーがより安全に会議に参加できるなツールの開発を計画中だと説明した。

ロイター

Zoom社のブログでも掲載されています。
Zoom Acquires Keybase and Announces Goal of Developing the Most Broadly Used Enterprise End-to-End Encryption Offering

Keybase社は、2014年設立で「エンド・ツー・エンド」と呼ぶ暗号化を施したチャットサービスを展開しています。
目的は、Keybaseの「エンド・ツー・エンド」の暗号化技術です。

2020年4月29日  クラウド環境をオラクルに変更

【シリコンバレー=佐藤浩実】ビデオ会議サービス「Zoom」を運営する米ズーム・ビデオ・コミュニケーションズは28日、米オラクルからクラウド基盤の提供を受けると発表した。新型コロナウイルス感染を防ぐための「在宅」が長期化するなかで、3億人の利用に応えられるようにする。米IT(情報技術)大手との新たな提携で、利用者の安心感を高める狙いもありそうだ。
日本経済新聞

簡単に言えば、これまでAmazon Web Services(アマゾン ウェブ サービス、AWS)を使っていたが、Oracle Cloud Infrastructure(オラクルクラウド、QCI)に変えますよ
という話です。

クラウドのシェアは、AmazonとMicrosoftの2強とそれに続く、Googleと中国のAlibabaで3/4を占めていて、オラクル社のシエアは、数%という状況です。

記事では、「利用者の安心感」に言及していますが、クラウドを変えたからと言って使用者からは、あまり変わらないと言えます。

Oracleからすると、Zoomというネームバリューが欲しかっただろうし、Zoomとすれば、コストダウンになるかも知れない。
そしてZoomの最大のアピールポイントとして、Oracle社のクラウドは、中国に拠点がない ということをアピールしたい意味もあるだろう。

2020年4月26日  Zoom 5.0 公開

Zoom 5.0公開

主な改善点は以下の通り

  • ホストが参加者による自分の名前変更を不可能にする機能
  • 教育期間向けプランで画像共有はデフォルトでホストのみに
  • ホストがミーティングのパスワードの複雑さを設定できる機能
  • 有料プランの「クラウド記録」のパスワード設定がデフォルトになり、管理者がパスワードの複雑さを設定できるように
  • 大規模組織ユーザー向けに、複数のアカウント間で連絡先をリンクして、会議、チャット、電話連絡先を簡単、安全に検索して見つけられる機能
  • 有料プランの管理者向けにダッシュボードで接続先データセンターを確認する機能
  • チャット通知で内容のスニペット表示
  • 非PMI(パーソナル)ミーティングへの11桁のID追加
  • ミーティングIDの表示を参加者メニューに移動(参加者がうっかりIDを公開しないように
  • ルーティングを制御する機能を導入(中国のサーバーを経由して接続されるのを好まないユーザーのため)
    ただし、有料版のみ

ITメディアより抜粋

有料版「Zoom」では、ルーティングを制御する機能を導入
ルーティングを制御する機能を導入(有料アカウントのみ)

最新バージョン
2020年4月28日 日本語バージョンバージョン5.0.0 (23168.0427)

暗号化の問題解決は、5月30日?
AES 256-bit GCM暗号化がシステム全体で標準化されるのは5月30日と情報が出ています。(確認中)

2020年4月24日 偽のZoomにご用心

情報処理推進機構(IPA)は、「Zoom」のダウンロードページを装ったサイトが、存在すると注意を促している。

「ZoomについてWeb検索を行い、ヒットしたサイトからZoomを入手したところ、料金を請求された」
などの報告が寄せられている。

PA(情報セキュリティ安心相談窓口)の公式Twitterでも注意を呼びかけています。

2020年4月20日  エリック・ユアンCEOがインタビューに答える。

今日の日経ビジネスにZoom創業者のエリック・ユアンCEOがインタビューに答えている。

内容は、

  1. セキュリティー問題に対して全力で対応している
  2. 新たなユーザーに対して、適切なトレーニングをし、サポートやツールを提供したい
  3. 米国ではソーシャルマーケティング利用
  4. 新型コロナウィルス後の世界は、働き方が変わる

こんな感じの記事です。
詳しくはリンク先を見てください(有料記事です)
https://business.nikkei.com/atcl/gen/19/00005/041700132/?P=1

まとめ

Zoomに関しては、脆弱性が、まだまだ多いことは事実

「これまでにZoomがセキュリティとプライヴァシー保護が最も徹底したサーヴィスであると考えられたことなどありません。確かに重大な脆弱性を抱えてきましたが、ほかに選択肢がほとんどない場合が多いでのす」
セキュリティ研究者のケン・ホワイト

会議の内容が、外部に漏れてもかまわなければ、問題ないと思います。

それ以外は、企業の経営者層や社内のエンジニアがどのように判断するかで決まってきます。
最終的には、コストとセキュリティの天秤が判断材料になると思います。

「一連の問題について、Zoomはかなりスピーディに対策を施しており、現時点でZoomを使うことがただちに危険な状況とはいえません。パスワードや待機室の機能を適切に設定すれば、第三者が会議に入ってくるような問題は防げます。

Business Journal 

IT小僧が、もし企業のシステム担当だったら、

Microsoft 365(Office 365)が導入されている前提で言えば

Microsoft Teams を使うことを進言します。

Microsoft Store (マイクロソフトストア)

スポンサーリンク

-IT小僧の時事放談
-,

Copyright© IT小僧の時事放談 , 2020 All Rights Reserved Powered by AFFINGER5.