MOVEit リソースセンター

パンデミックがもたらしたニューノーマルに適応しなければならくなって、Zoom が衆目を集め、一気に広範囲で使用されるようになりました。しかし、その急成長には代償がありました。ハッカーたちから絶好のターゲットとして狙われてしまったことです。

不要不急の移動を制限され、何百万人もの新規ユーザーが Zoom のようなビデオ会議ツールを使い始めました。プロバイダにとっては、大量の新規ユーザー、収益の増大、ブランド認知度の向上、株価上昇など、いいこと尽くめのように見えました。

ところが、大勢の新規ユーザーが、以前はほとんど関心を寄せていなかったツールを利用し始めると、膨大な数のユーザーを抱えることの欠点が露呈しました。ユーザーの中には、セキュリティ破りが趣味だったり、うまい金稼ぎができないか探し回っているハッカーだったりする人間も多数混ざっていました。そして、Zoom のブームによる高揚感は、ほんの数週間の間に、複数のセキュリティ脆弱性と疑わしいプライバシー違反のチェックに駆り立てられる悪夢のような苦闘に変わりました。

Zoom 爆撃とは？

Zoombombing（Zoom 爆撃）という新語まで出現し、追い風を受けて勢いよく張っていた Zoom の帆は急速に萎えました。Zoom の使用を禁止する企業が増え、政府の調査が始まり、株主訴訟も起きているようです。華々しい勝利を謳歌している状況から、危機管理のための PR を行わなければならないような状況に追い込んだものは何だったのでしょうか？

セキュリティ管理のミス、不完全なプライバシー保護、信頼喪失など、様々な問題がありますが、特に、重要なオンライン会議の最中に Zoom 爆弾がさく裂してしまったら、新規ユーザーや導入を検討中のユーザーを震え上がらせてしまいます。

Zoom のセキュリティとプライバシー保護対策が不十分で疑念が持たれるという不満が噴出しましたが、とりわけ、Zoom のビデオ会議中に、攻撃的で脅迫的なメッセージからオンラインでの嫌がらせまで、悪質なオンラインの荒らしが急増したことがセンセーショナルな話題として取り上げられ、Zoom 爆撃という新語が使われるようになりました。Zoom のセキュリティが脆弱だとの報道が、その脆弱性を狙うさらに多くのハッカーを呼び込むことになり、Zoom 爆撃がいとも簡単に行えることが露呈しました。

関連ブログ: 在宅勤務のテレワーカーのサイバーセキュリティリスク

”War Dialing” と呼ばれる古いハッカーツール

Zoom のミーティングIDは単に９桁から11桁の数字で構成されているので、実際の会議のミーティングIDを特定することは、熟練ハッカーにとっては非常に簡単でした。プロセスが自動化されている場合はなおさらです。ハッカーが使う兵器の最古のツールの1つに、”War Dialing” というツールがありますが、Krebs on Security によると、これを Zoom 用にカスタム化したダイヤラーを使用すると１時間あたり約100の実際の Zoom ミーティングを識別でき、参加して爆撃（荒らしのためのメッセージ送付）できることが判明しました。これは、多数の ”War Dialing” ツールを同時に実行すれば、毎日行われているほとんどのパブリックまたはオープンの Zoom ミーティングを発見できることを意味します。

セキュリティ専門家であり、SecKC の共同創設者である Trent Lo 氏が行った1日分の調査では、2,400近くに及ぶ Zoom ミーティングの情報が得られました。その情報には、会議に参加するために必要なリンク、会議の日時、主催者の名前、会議のトピック、そのほか主催者が提供するすべての情報が含まれていました。大手銀行、国際コンサルティング会社、政府関連機関、投資評価会社など、数々の大規模組織によって予定されていた Zoom ミーティングの詳細が判明してしまいました。（これらの Zoom ミーティングは、パスワードで保護されていませんでした。）

では、Zoom という、経験豊富な経営幹部が運営する10年近くの歴史を持つ優秀なはずのエンタープライズコミュニケーションビジネスが、どうしてこのような問題を見逃していたのでしょうか？同社によれば、これほど多くの個人ユーザーが突然、企業内という範囲を超えてこのツールを使い始めることは、まったくの想定外でした。Zoom のセキュリティとプライバシー設定を有効にする方法を知らなかったユーザーがリスクを広げたのかもしれませんが、Zoom がその方法をわかりやすく明示しなかったことに起因するのかもしれません。

ただ単に不慣れな新規ユーザーとコミュニケーションの不手際との不幸な組み合わせが致命的な打撃になったのでしょうか、それとも、セキュリティやプライバシーの侵害への対策を疎かにしたままであっても急成長ができれば是認するようなビジネスモデルだったのでしょうか？

Zoom 自身の問題とは切り離して考えた場合、ユーザーのミスは、Zoom 爆撃のトレンドを引き起こすのにどのような形で寄与したのでしょうか？それは、主に Zoom の設定ミスによるものです。ユーザーは、すべての Zoom ミーティングが、デフォルトで一般公開され、検索可能であり、アクセス可能であることを認識していませんでした。仮想タウンホールやオンラインスクールなど、デフォルト設定が妥当なケースもたくさんあったのですが。

関連ブログ: WhatsUp Gold を使った Zoom の監視

今後の Zoom とビデオ会議のセキュリティ

さて、Zoom は今後どうするのでしょうか？何度も攻撃を受け、回復作業に追われている中で、今後90日間はすべての機能開発を一時停止し、セキュリティ脆弱性の発見と修正に一丸となって取り組むことを約束しました。

それまでの間、Zoom 爆撃によってミーティングを荒らされるリスクを排除するために、ユーザーとして今すぐできる予防策はたくさんあります。まず、Zoom ミーティングを計画する際、アナウンスする前に Zoom の設定についてよく理解しておくことが大切です。しっかり把握した上で設定を行えば、ほとんどの問題は避けることができるはずです。

• 以前に拒絶された参加者やブラックリストに登録された参加者を即座に削除するようにする設定を行うことができます。
• 企業のZoomアカウントを使っている場合は、他の機密アカウントと同じルールを実践してください。最低限、オリジナルで強力なパスワードと2要素認証は必要です。
• 一般公開される予定のイベントを主催しているのでない限り、Zoom ミーティングのリンクを公開しないようにしてください。特にソーシャルメディアで共有することは避けてください。いとも簡単に Zoom 爆撃できてしまいます。
• オープンなパブリックアクセスを提供する必要がある場合は、アクセスしたいという要望があった人に直接会議へのリンクを送信するようにします。ハッカーもアクセスを要望できるので、絶対確実ではありませんが、かなり強力でシンプルなオプションです。
• 画面を共有できるのはホストに限定するオプションを選択するべきです。誰でも画面を共有できるように設定されていれば、侵入者は簡単に荒らしを行うことができます。
• 使用するメールアドレスは組織のオフィシャルなアドレスに限り、個人アドレスは受け付けないようにしてください。これは、ランダムなループ外攻撃の防止に大きく役立ちます。
• 偽のアプリではなく本物の Zoom アプリをダウンロードする方法など、参加者にセキュリティに関する注意事項のリストを、ミーティングの前に送信します。参加者が安心でき、心証もよくなります。
• 待合室機能はいつも有効にしておくようにします。ホストが各参加者を最初に個人的に承認するようにできます。
• 自分の発言には常に十分注意してください。電話や会話が盗聴される可能性があることを前提にして考えるべきです。もし、機密データを扱ったり、口外できないような内容が含まれるような場合は、できる限り、より安全な方法を探す方が得策です。