Zoomであった脆弱性の問題とセキュアに利用するための方法を紹介!
Zoomは今ではリモートワークなどで頻繁に使われている仕事に欠かせないサービスですが、時折重大なインシデントを招く可能性のある脆弱性が発見されることがあります。
今回は実際にあったZoomの脆弱性や、脆弱性に対する対処法について簡単に紹介します。
利用者の情報がFacebookに送信されていた
iOS版のZoomを起動すると、なぜかZoomを利用している方の利用状況などがFacebookに送信されているという問題が発見されました。
この脆弱性ではZoomユーザーが Facebook を利用しているかどうかに関わらず、Zoomを起動している時間・利用機種・位置情報・キャリアに関する情報が送信されていたため、当時話題になりました。
現在は既にこの問題が解消されたバージョンが配信されており、最新のZoomを利用している方は問題ありません。
Macを乗っ取られる危険性があった
Mac版Zoomクライアントには、ローカルの権限昇格ができてしまう不具合がありました。
不正にローカルの権限を昇格して管理者権限を奪われてしまうと情報漏洩や乗っ取り・ウイルス感染などの二次被害に繋がる可能性がある重大な問題でした。
最新版では既に修正されており、Mac以外のOSでは同じ問題は発生していません。
外部から解読可能な暗号化方式が使われていた
Zoomでのミーティング・Web会議における通信は盗聴されないように暗号化されていますが、この暗号化に使用されているアルゴリズムが外部から解読可能な暗号化方式だったことがあります。
具体的には暗号化の鍵をZoom陣営が持っていたことにより、Zoom陣営がWeb会議内容などを入手できる立場にあったことです。
現在は根本的な暗号化方式が変更され、Zoom開発者であっても会議内容などを入手できないような安全性が保たれた暗号化が行われています。
理由なく中国サーバーと通信していた
Zoomの脆弱性の中でも大きな話題となった問題のひとつです。
日本でZoomを利用していたとき、なぜか通信が一度中国サーバーを経由していたため、中国にZoom利用関連の情報やミーティング内容を見られてしまうのではないかという危険性がありました。
現在は勝手に中国サーバーを経由しないようになっており、ミーティングにおける通信データの送受信も安全に行われるようになっています。
同時期に、通信を経由するデータセンターを選択する機能が有料プランで提供されるようにもなっています。
Zoomをセキュアに利用するためには
Zoomをセキュアに使う上で特に押さえておきたいポイントは以下の二つです。
- 最新のZoomを使用する
- Web会議に参加できるユーザーを制限する
それぞれ順番に見ていきましょう。
最新のZoomを使用する
基本的に最新版のZoomを使用するようにしてください。
古いバージョンのZoomには最新バージョンでは修正されていない脆弱性が残っている可能性が高く、セキュリティ上のリスクがあります。
現状、古いバージョンのZoomを利用するメリットがないので、バージョンアップデートが配信された時はすぐに更新するようにしましょう。
Web会議に参加できるユーザーを制限する
Zoomは会議に参加できるメンバーを限定する機能が用意されています。
ログイン中ユーザーのみ、指定したメールアドレスのユーザーのみ参加可能にする設定が可能であるため、そういった設定を用いれば外部の無関係者がミーティングに参加することを防げます。
ミーティングで使用するルームにはパスワードがかかっていますが、パスワードの共有ミスで外部に漏れてしまうリスクもあるので、重要な会議はメンバーを限定して行うようにしましょう。