オンライン"Zoom"会議のセキュリティー問題
こんにちは。フィックスポイントの冨です。
コロナウィルス対策で”Work From Home"が推奨され、リモート勤務が増えていますが、 これらを支えるのがSkype, Teams, Zoom, Webexなどのオンライン会議システムです。 中でもZoomは手軽に導入出来ることもあって、急激に利用者を伸ばしていったのですが、 最近になってセキュリティー問題が話題にされる事が多くなりました。
内閣サイバーセキュリティセンター(NISC)からの注意喚起もありましたが、 IPAサイトの記事「Zoomの脆弱性対策について」を共有します。
https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html
今回指摘されているZoomの脆弱性には大きく2つあり、
(1) パスワードをかけていない会議に攻撃者が乱入出来る問題
(2) チャット欄に記載されるUNCパスの処理をクリック出来るようにしてしまう問題
(1)はいわゆる"Zoom bombing"問題と呼ばれ、何者かがオンライン会議に侵入し、不適切発言や画像を流されるといった問題が発生しています。(2)はクリックする事で認証情報などを窃盗されたり実行可能ファイルを起動されるという可能性が指摘されています。
それぞれ修正プログラムや会議開催時のデフォルト設定の変更などで対応されていますので対応を実施しましょう。(上記IPAサイトに紹介あります)
他にも不完全な暗号化問題など様々な指摘がなされていますが、Zoom社は今後90日間でセキュリティー問題に集中的に対応するとの表明を出しています。
サービスが急拡大する際に、多くのプロダクトが通る道と言えなくもないですが、 急増するトラフィック対応についてZoomの運用エンジニアに感謝しつつ、今後の経緯を見守りたいところです。
しばらくはリモート勤務へのシフトの流れは全世界的に続きそうですので、これを契機に作業環境とワークフローの整備を整えていきましょう。
