新型コロナウイルスの感染拡大は、ソーシャル・ディスタンス以外にも、私たちの日常生活において多くの変化をもたらしてきました。中でも、以前から進行していたオンライン化が加速しています。新型コロナウイルスの影響を受ける以前から、私たちはオンライン上でますます多くの時間を費やすようになっていました。外出自粛の要請と共に在宅での仕事、勉強、および社会生活が求められており、オンライン・デジタル世界は人とのコミュニケーションを行う上で必要不可欠なものになっています。こうして、ビデオ会議用のソフトウェアは、世界中の人を繋ぐ「窓」となっています。
オンライン・デジタル世界における問題の1つは、こうしたユーザの動向をサイバー犯罪者が把握し、攻撃に利用しようと待ち構えているという点です。つまり攻撃者はビデオ会議を侵害し、チャットの妨害や盗聴、マルウェアの拡散、情報窃取などを行う機会を伺っています。ビデオ会議のプラットフォームの中では、「Zoom」の人気が急上昇したことで、逆にセキュリティ問題も懸念されました。ただし、サイバー犯罪者はZoomだけを狙っているわけではなく、潜在的な危険にさらされているプラットフォームは他にも存在します。Cisco社が提供する「WebEx」や、「Microsoft Teams」のような企業向けのプラットフォーム上でも問題が見られました。一方、若者向けビデオチャットアプリ「Houseparty」のようなプラットフォームは、本質的に安全性が低いとみなされています。こういったプラットフォームは、名前から分かるように、ほとんどの場合、対象ユーザの習熟度に合わせた設計となっているためです。
本記事では、いくつかの主要な脅威と、ビデオ会議における安全性を確保する方法を見ていきましょう。
■ビデオ会議のリスクとは?
プラットフォームの設計(仕事用または娯楽用)やユースケース(企業向けまたは個人向け)に応じて、攻撃者にはビデオ会議通話に参加して妨害する、または盗聴する複数の機会があります。特に、企業の機密情報について話し合う場合、娯楽用や個人向けのプラットフォームではなく、企業向けのプラットフォームを利用すべきでしょう。
またビデオ会議に対するサイバー犯罪者側の攻撃シナリオから考えると、チャットや共有ファイルを介してマルウェアを頒布し、対象のコンピュータの制御や、パスワードや個人情報、重要情報の窃取などを行う可能性があります。ビジネスシーンにおいては、企業に対して情報窃取や詐欺を働くために、ビデオ会議アプリのアカウントを乗っ取って、関係者の誰かになりすますことを狙うかもしれません。また、自宅のコンピュータや機器の安全性が職場や学校と比べて低いだけではなく、自宅では潜在的な脅威に対するユーザの警戒心が低下するという事実を利用する可能性もあります。
サイバー犯罪者は、攻撃の成果を挙げるため、以下のような自由に利用可能な多様な手法を利用するとみられます。
- 最新に更新されていないビデオ会議ソフトウェアの脆弱性を悪用する
- マルウェアやフィッシング攻撃を介して、ビデオ会議ソフトのログイン情報またはミーティング用IDやパスワードを窃取する
- インターネットやソーシャルメディア上で不用意に共有されているミーティング用IDやパスワードを取得する
- 正規のものに見えるビデオアプリ、リンク、ファイルにマルウェアを隠匿する
- ローカルまたはクラウドに保存されている会議の記録から情報を窃取する
■ビデオ会議のセキュリティ問題に”ズーム”インする
Zoomは多くの点で自身の成功の被害者となっていると言えます。2019年12月時点では1千万人程だった毎日の会議参加者が、2020年3月には2億人に急増したことからも、Zoomへの注目が集まっていることがわかります。残念なことに、ユーザの注目が集まっているツールへは、サイバー犯罪者も注目を向けます。Zoomは、過去数か月に渡り、招かれていない第三者が会議を妨害する「Zoom Bombing(ズーム爆弾、ズーム爆撃)」、厳密にはエンドツーエンドの暗号化が行われていなかった問題、4月に指摘された待機室の脆弱性、複数の認証情報がアンダーグラウンドなどで暴露されていた事件、そして偽のZoomインストーラなど、セキュリティとプライバシーに関する多くの問題に見舞われています 。その一方で、Zoomは集中的な利用から発見された問題を修正するため、開発の優先順位を再調整しながら、セキュリティとプライバシーの問題に迅速に対応しています。
このような問題に直面しているのは、Zoomだけではありません。2020年初め、Cisco社は、広く利用される企業向けビデオ会議アプリ「WebEx」のプラットフォーム上で、セキュリティ上の欠陥を発見しました。この欠陥は、末認証の攻撃者がパスワードで保護されたビデオ会議内に遠隔からの参加が可能になるというものでした。会議に参加する際、攻撃者は認証を必要とせず、ミーティング用IDとiOSまたはAndroid用のモバイル版WebExアプリのみを利用します。Ciscoは重大度の高い脆弱性を修正するために迅速な対応を行いましたが、遠隔からシステムのサーバへ偽造されたリクエストの送信を可能にするなど、他の欠陥も突如確認されました。本記事執筆時点で、これらの欠陥は修正済みとなっています。
最近では、Microsoft Teamsが、潜在的に脆弱性を持つ主要な企業向けビデオ会議プラットフォームとして位置づけられました。 2020年4月27日、少なくとも2月初めから3月中旬にかけての3週間の間に、Teamsアカウントから、おそらくは会社全体に及ぶ範囲で、不正GIFを利用したユーザデータの窃取が行われた可能性があることが判明しました。この脆弱性には、4月20日付でパッチが適用されています。ただし、潜在的なビデオ会議ユーザは、Zoom、WebEx、Teamsなどの主要なビデオ会議のプラットフォームでさえ、完全なセキュリティ上の保証はないということに留意しましょう。したがって、これら利用する際は、安全性を維持するため、定期的な脆弱性およびセキュリティ修正を必須とします。このようなセキュリティ上の懸念は、安全性が確実でないネットワークおよびデバイスを介して従業員がテレワークとそれに伴う社内ネットワークへの接続を行っている、新型コロナウイルス感染拡大時にいっそう高まります。
■ビデオ会議の選択肢
では、在宅勤務のニーズに最も安全で最適なビデオ会議用ソフトウェアを、どう選択していけばいいのでしょうか。 今日、市場には多くの対策技術が流通しています。 実際、数多くある中から特定のものを選択するのは大変でしょう。いくつかのプラットフォームでは、単にビデオやオーディオ会議・通話を有効にしたり、文書やメモの共有および保存を可能にしたりします。他にも、1対1や少人数での接続にのみ適したものもあれば、数千単位まで拡張可能なプラットフォームも存在します。
つまり、在宅勤務における最低限のセキュリティ基準を満たしているかどうかを確認しながら、ニーズに最も適したビデオ会議ソリューションを選択する必要があります。 この一連の基準には、エンドツーエンドの暗号化、こまめで自動的なセキュリティ更新、自動生成されたミーティング用IDと強力なアクセス制御の利用、脆弱性管理プログラム、会社によるプライバシーのためのベストプラクティスなどの要件が含まれている必要があります 。
先述のZoom、WebEx、Teamsは有力なビデオ会議プラットフォームですが、他の選択肢として、以下のソフトウェアも挙げられます。
- Signal:エンドツーエンドで暗号化されており、安全性は非常に高いが、1対1の通話のみに対応
- FaceTime:AppleのビデオチャットツールであるFaceTimeは、使い勝手が良く、エンドツーエンドで暗号化されている。MacおよびiOSユーザのみが利用可能
- Jitsi Meet:オープンソースの無料ビデオ会議アプリ。対象の帯域幅を超える参加者に対する制限を設けておらず、Android、iOS、そしてデスクトップ機器で動作する
- Skype Meet Now : Microsoftが提供する人気の無料会議ツールで、アカウントなしで最大50人のユーザが利用可能。(Office 365ユーザ向けの企業向け有料プラットフォームTeamsとは対照的)
- Google Duo :無料ビデオ通話アプリ。また、同社のプラットフォーム「Hangouts」はメッセージのやりとりにも利用可能。企業向けでは、有料版アプリ「Google Meet」も存在する
- Doxy.me:医師やセラピストが利用する有名な遠隔医療プラットフォームで、ブラウザを介して動作する。そのため、ブラウザを最新の状態に保ち、適切なセキュリティおよびプライバシーの設定が可能。医療提供者とのセキュアな診療は、検疫に伴う自宅待機や在宅勤務中において、特に懸念される
■被害に遭わないためには
どのビデオ会議プラットフォームを使用する場合でも、サイバー犯罪者は、常にツール自体やその使用におけるセキュリティ上の欠陥を利用しようとしていることに留意してください。では、ビデオ会議アプリを保護するにはどうするべきでしょうか?以下に列挙されているいくつかの対策はZoom固有のものですが、他のプラットフォームにおける対策を一般的なベストプラクティスとして紹介します。ユースケースによりますが、以下に記載されている一部の対策を講じなくても良い場合があります。
- アプリを使用する前に、エンドツーエンドが暗号化されていることを確認すること。保存データの暗号化も含む
- 定期的に会議を実施する際、1回限りで利用可能なミーティング用IDとパスワードを自動的に生成する(Zoom固有)
- オンライン上でミーティング用IDを共有しない
- Zoomの[待機室]機能を使用して、ミーティングホストは事前に割り当てられた出席者一覧からのみ参加を許可する。本記事執筆時点で、本機能の欠陥は修正済み
- 対象の会議への新規参加を防ぐため、会議開始と同時にロックをかける
- 必要に応じて一時的に対象のユーザを会議から外すため、ミーティングホストが参加者を保留できるように設定する
- ミーティングルームへの出入りが行われた際、音が鳴るように設定する
- 招かれていない第三者が不正な内容を共有しないように、画面共有を「ホストのみ」に設定する
- マルウェアの脅威をブロックするため、「ファイル転送」を無効化する
- 攻撃者に狙われる不具合の発生を防ぐため、システムにパッチを適用して最新の状態に保つ
- 会議アプリは、公式のiOS ・AndroidストアおよびメーカーのWebサイトからのみダウンロードする
- 迷惑メールのリンクをクリックしたり、添付ファイルを開いたりしないこと
- ビデオ会議のアカウント設定を確認する。画面に映り込むのを避けたい場合は、カメラへのアクセスをオフに設定すること
- ビデオ会議アプリのログインには、パスワードマネージャーを利用する
- 2要素認証(2FA)やシングルサインオン(SSO)が利用可能な場合、アクセスを保護するために、これらを使用してパスワードを強化する
- 評判の良いベンダのセキュリティ対策ソフトを全機器とコンピュータにインストールする。企業などで可能であれば、ネットワークセキュリティソリューションを実装すること
■トレンドマイクロの対策
トレンドマイクロでは、在宅勤務中のビデオ会議サービスの利用において、安全性を確保するための多様なソリューションを提供しています。
「ウイルスバスター for Home Network」は、家庭用ルータを中心に構成されるホームネットワークからインターネットに接続されているすべてのホームデバイスを保護します。これにより、ビデオ会議アプリの提供元を偽装したり、密かに会議に参加した可能性のある攻撃者から送信されたフィッシングメールに記載されている不正リンクや添付ファイルからお客様を保護します。本製品による脆弱性チェックは、仕事用のラップトップを含む家庭用機器およびコンピュータが持つ脆弱性の特定を可能にし、リモートアクセス保護は、テクサポ詐欺やデバイスへの不要なリモート接続のリスクを減らします。そして、保護者は、子供によるビデオ会議アプリの利用に制限を設けることで、脅威に晒されるのを防ぐことができます。
また、家庭向けセキュリティ製品は、デバイス上のメール、ファイル、およびWebの脅威を保護します。また「パスワードマネージャー」は、ユーザが利用するアプリケーションやビデオ会議サイトを含むWebサイト毎に固有の強力なパスワードを作成できるよう支援します。
「フリーWiFiプロテクション(マルチプラットフォーム)」は、自宅からインターネットへのVPN接続を提供し、通信において安全に暗号化されたトンネルを作成します。VPNアプリはWi-Fi接続とイーサネット接続の両方で機能します。 本製品は、ビデオ会議アプリがエンドツーエンドで暗号化されていないことを懸念しているユーザや、これらのアプリを利用する際に自分のIDと個人情報を保護したいユーザの役に立ちます。
参考記事:
- 「From Bugs to Zoombombing: How to Stay Safe in Online Meetings」
By Trend Micro
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)