新型コロナウイルス(COVID-19)の世界的な流行は、在宅勤務者、つまりテレワーカーの急激な増加という状況を生み出しています。同時に、テレワークを支えるビデオ会議アプリにも注目が集まっており、中でも「Zoom」は利用者が2億人を突破するなど急激な普及が報じられています。このように大きな注目を浴びたソフトやサービスには、便乗した攻撃を狙うサイバー犯罪者の注目も集まるため、様々な角度からセキュリティリスクが増大する傾向が見られます。本記事では直近で明らかになったZoomのセキュリティリスクと共に、対策の心がけについてまとめます。
■リスク1:「Zoom Bombing」
Zoomに便乗する攻撃として、既に本ブログでもZoomのインストーラとコインマイナーをバンドルするサイバー犯罪者の動きを報告していますが、現在メディアで最も大きく取り上げられているリスクは「Zoom Bombing(ズーム爆弾、ズーム爆撃)」と呼ばれる迷惑行為でしょう。これはZoom会議に招かれていない第三者が勝手に会議に参加し、不適切な画像や動画を画面共有するなどの方法で、会議全体に対して嫌がらせをする迷惑行為の総称です。開催者が会議に対してパスワードを設定していない場合、ミーティングIDさえわかれば誰でも会議に参加できる仕様の危険性は、Zoomに限らず以前から指摘されていました。つまり、この迷惑行為自体は以前から可能であったはずであり、最近の顕著化はまさにZoomの利用者が増え注目が集まっていることの証明とも言えます。また、パスワードを設定していたとしてもパスワードを含む会議のURLを不必要に公開してしまった場合には、望まれていない参加者が乱入してくる可能性が生じます。そして同様の方法で会議に参加した悪意の第三者は、ズーム爆撃のような単なる嫌がらせ行為だけではなく、潜伏してZoom会議の内容を盗み聞きして情報漏えいさせる、参考資料などに偽装したマルウェアを他の参加者に送付する、などより悪質な行為も可能です。
■リスク2:脆弱性
Zoomについては2019年にも、Mac版クライアントでWebカメラやマイクがハッキングできる脆弱性などが公表されていますが、2020年に入り大きな注目を浴びた後にも複数の脆弱性が公表されています。中でも最も影響が大きい脆弱性として、Windows版クライアントにおけるUNCパス処理に関する脆弱性があります。この脆弱性により、攻撃者は細工したURLをZoomメッセージで送りつけて受信者にクリックさせることにより、Windowsの認証情報を盗んだり、任意のプログラムを実行させたりすることができます。また、Mac版クライアントでもローカルでの権限昇格などの脆弱性が指摘されました。Zoomは既にこれらの脆弱性に対処した最新バージョンを公開しているため、利用者にはバージョンアップが強く推奨されます。
■リスク3:フィッシング
サイバー犯罪者は、一般のインターネット利用者が注目する内容に便乗し、フィッシングなどのネット詐欺を仕掛けます。ビデオ会議ソフトなどを撒き餌にして利用者の関心を惹き、認証情報や個人情報の詐取やマルウェア拡散を目的とした不正サイトへ誘導する可能性があります。当然、これらの攻撃対象はZoomに限った話ではありません。ただしZoomに関してもサイバー犯罪者は便乗した攻撃を狙っているものと考えられます。例えば、2020年頭からこれまでに”zoom”の文字列を含む新ドメインは3300も確認されており、そのうちの7割近くが3月中に作成されたものである、との報道がありました。もちろん、これらの新ドメインすべてが不正な目的で作成されたものとは言えませんが、このような注目された話題に対しサイバー犯罪者が便乗する傾向は、これまでにも見られてきたことです。また、パスワードを含むZoomアカウント情報が、ダークウェブ上で2000件以上公開されていた、との報道もありました。このような傾向からZoomの利用者は、サイバー犯罪者がZoomの認証情報や会議の情報を狙い始めていることを認識し、注意していく必要があります。
■被害に遭わないためには
法人でも個人でも、Zoomの利用者は上記のリスクを避けるために以下の心がけを忘れないようにしてください。
- 常に最新バージョンのZoomを使用する:
脆弱性のアップデートを含め、最新版のZoomでは様々なセキュリティ向上が行われています。また最新版入手の際には、常にZoomの公式サイトから入手してください - Zoom会議のURLをよく確認し、安易にクリックしない:
サイバー犯罪者は正規に似せたドメインを利用し、偽のZoom会議URLを送ってくる可能性もあります。クリックする前に正規のものかどうかを再確認してください - フィッシングなど、最新の攻撃手口を知り、騙されないよう注意する:
Zoomだけではありませんが、詐欺の手口を知っておくことで、自分が直面した際に被害を回避することに繋がります
特に法人利用者においてZoom会議をよりセキュアなものにするためには、以下の設定を再確認してください。
- 会議には必ずパスワードを設定し、URLやパスワードは適切な参加者のみに教える:
会議にパスワードが設定されていない場合、ミーティングIDがわかれば誰でも会議に参加できてしまいます。最新版のZoomではパスワード設定がデフォルトとなっています。
また、パスワードを設定していたとしても、URLやパスワード自体がわかれば結果は同様です。Zoom爆弾などのリスクを避けるためにも、これらの情報は参加者以外に広めないようにしましょう - 画面共有を「ホストのみ」に設定する:
画面共有の設定を「ホストのみ」にしておくことで、招かれざる参加者が勝手に画面共有することを防ぐことができます。また、他の参加者に共有してもらうことが必要な場合には、「他の人が共有している場合に共有を開始できるのは誰ですか?」の設定が「ホストのみ」となっているか確認してください
また、状況によっては以下の運用も考慮してください。
- ミーティングIDを毎回自動的に生成する
- 「ファイル転送」を無効にする
- 参加者が会議に出入りしたときに音を鳴らし、気づけるようにする
- 「待機室」の機能を使い、承認したユーザーのみが参加できるようにする
- Zoomにログインしている認証されたユーザーのみが参加できる設定する
- 参加予定者が集まり会議が開始したらロックし、想定外の参加者が入れないようにする
