「Zoombombing」社:テレビ会議を安全に開催することは本当に可能か

ビデオチャットサービス「Zoom」の人気がここ数週間で非常に高まってきています。ホームオフィスやホームスクーリング、そして「フィジカルディスタンス」を目的に利用されるプログラムにおいて、誰もが認める勝利を収め、ユーザー数は爆発的に増加しました。プロの側からすれば、Zoomは使用する機器やプラットフォームが異なる参加者にとって非常にシンプルで分かりやすいビデオチャットソリューションです。ところがその一方で、そのセキュリティー基準はますます酷評されています。

「Zoombombing」は氷山の一角

今や一般的な言葉となった「Zoombombing(Zoom爆撃)」ですが、その特徴は、同サービスにおける安全性に欠陥が生じる可能性があるということです。これは大きな騒ぎを引き起こしましたが、実際はとても簡単に制御することが可能です。Zoomの初期設定ではすべてのビデオチャットが「公開」に設定されており、一致するグループIDがあれば、設定を変更しない限り誰でも参加できます。そのため、このIDは部外秘であるべきですが、推測することも可能です。9~11桁に制限されているため不可能ではありません。あるいは、Googleで検索するだけでよいことも。これにより、他人の会議を盗聴して迷惑なコンテンツを持ち込むこともすでに可能になっているのです。現在この問題は、仮想待合室を取り入れ、クエリやコードを追加することによって解決されています。しかし、セキュリティー研究者らの正確な分析によると、悪用の問題は全くないという判断をせず、悪用への対策を講じることが主なアドバイスのようです。[1]

挙動がマルウェアのようなアプリケーション

一般的に、ビデオチャットアプリケーションは複雑です。通常、悪用を防ぐためにマイクロフォンへの直接アクセスやデータ通信、そして画面出力は厳重に監視され制限されます。このようなアクセスが迷惑な利用に繋がる可能性が高いため、これはユーザーのセキュリティーを確保するうえで役に立つ機能です。Zoomは高いレベルの使いやすさを売りにしていますが、その目標は不慣れなユーザーでも会議に参加できるよう、必要なやり取りやクリックの数をできる限り減らすことでした。
人気の高まりとともに、アプリのサービス構造全体がより綿密に調査されましたが、分析の結果はあまり好ましいものではありませんでした。妥当または安全とみなされない疑わしい動作が採用されていたのです。Zoomアプリケーションは自動的に、未承諾でシステムの深部にインストールされ、勝手にセキュリティーチェックを抑制・確認して、Zoomとして表示のないままユーザーにパスワードを入力するように求めます。こうした手順をはじめ、疑わしいものとして分類された手順は他にもありました。このような方法では、アプリケーションを安全とみなすことができなくなります。

謳っていた暗号化はマーケティングだけ?

もう1つの全般的な懸念は、約束されていたエンドツーエンドの暗号化です。特に大量のエンドポイント数を考えると、これは大きな課題となっています。各社が手札を見せ合った状態で競争が行われるなか、Zoomは虚偽の主張を売りにしてきました。約束されていたはずのエンドツーエンド暗号化は実装されておらず、通信ルートの暗号化のみが実装されていたのです。Zoomのセントラルサーバーを介して動作するデータは、オペレーターがその場で見ることができます。すでに、誤解を招かれたというユーザーからの苦情が発表されています。[2]
約束された改善は実現するのか?
この問題についてZoomは深く反省し、サービスのセキュリティーにおける改善と新たな取り組みについて約束しています。[3]これについてもまた、疑問が生じます。実装済みの基本的なセキュリティー対策なしで、一体どのようにしてアプリケーションを適切に「修理」できるのでしょうか?Zoomは長期にわたってサービスを提供しているのにもかかわらず他の模範となるべき手法を必ずしも示していないため、一部のセキュリティー研究者は懸念を表明しています。[4]
その結果、現在ではGoogleからNASAまで、ますます多くの企業や組織が同サービスの使用を禁止しています。
新たなセキュリティー脆弱性としてのコラボレーションツール
銀行やコンサルティング会社といった大企業からでさえも、数千ものZoomアカウントがアンダーグラウンドの掲示板で利用できるようです。しかし、この問題は1つのプロバイダーに限ったものではありません。これは、全体的な見直しが必要であることを示しているのです。サイバー犯罪者は、金融に関する情報や企業秘密にアクセスする新たな方法を模索しています。外出規制が始まった当初から使用が増加しているツールは、犯罪者にとって新たな好機となります。[5]
現在、Zoomの利用は一般的に望ましくないのでしょうか?極秘の機密データを取り扱う場合は、間違いなく他のプロバイダーを探したほうがよいでしょう。プロバイダーに関係なく、考えられるリスクを十分に考慮し、サービスや謳い文句を慎重に吟味する必要があります。

※下記のURLは海外サイトになりますのでご注意ください

[1] https://nymag.com/intelligencer/2020/04/the-zoom-app-has-a-lot-of-security-problems.html

[2] https://www.computerworld.com/article/3537193/zoom-hit-by-investor-lawsuit-as-security-privacy-concerns-mount.html

[3] https://www.theverge.com/2020/4/8/21213847/zoom-ceo-security-privacy-apology-fix-china-videoconference

[4] https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

[5] https://threatpost.com/compromised-zoom-credentials-underground-forums/154616/