情報管理LOG
yoshinon

ITやモバイル機器、iPhone、手帳や本など。

Zoom脆弱性と対応まとめ

2020年04月29日
Webサービス 0
2020042900.png


情報管理LOGの@yoshinonです。
新型コロナウイルスの関係で在宅勤務が、ようやく多くの業種で実現されつつあり、その関係でオンラインミーティングの認知度も一気に上がってきています。その中でも世界的に急激に注目されてきているのが、Zoomでした。しかし、ここに来て「Zoomセキュリティ的にヤバイのでは?」という感じになってきています。
そういうわけで、そのあたりどうなっているのか?そして、Zoomは使うべきか、そうではないのかについて書いていきたいと思います。


  
【 Zoom脆弱性と対応まとめ 】  

 1.最初に結論を書いておきます

 2.Zoomの脆弱性まとめ

 3.やるべき設定







まず、最初に情報管理LOGとしての結論を書いておきます。

大企業などで機密情報が多く、セキュリティ的にかなり縛りがキツイところ以外は、Zoomを使うのは、特に問題ないのでは?と思っています。

というか、そもそもそういう企業の皆さんは、あらかじめMicrosoft TeamsやWebEXとかと契約していたりするので、Zoom問題に直面することもないわけです。どうしても、セキュリティ的に厳しい会社なので…というところは、それ相応の金額を払って、ちゃんと条件を整備したら良いと思います。
というか、そもそもそのセキュリティ的に厳しいというのは、どの程度のことを言っているのか?ということすら認識が無い場合が、多いのではないか?と思っています。
ここ最近のZoom関連のニュースで不安に駆られている人も多いかもしれませんが、そのレベルで日頃からやっていましたか?と問いたいですね。
ほんと、コレよ。




「うちは、暗号化Zip使っているから大丈夫!」

とか

「エクセルには、パスワードかけているので大丈夫!」

などと言っているところは、安心してZoom使ってOKだよ?
まあ、設定に気をつけて使えば、ほとんど問題なく使えると思いますよ。





1.Zoom爆撃問題(対応可能)
別名「Zoom荒らし」などとも言われています。無差別にZoomの想定されるURLを渡り歩き、画面共有機能などで卑猥な画像を流したり会議自体に割り込んでくる行為のことを指します。

ZOOM使用禁止の動き、脆弱性が原因とした「ビデオ爆撃」が多発

これに関しては、ほとんど設定で対応可能なものばかりです。(「3.やるべき設定」参照)



2.中国のデータセンターを経由する問題(修正済み)
Zoomのデータが、中国のデータセンターを経由するようなルーティングされていた問題。4月25日には、解決済みです。

Zoom、中国を経由しないルーティングを実装。有償ユーザーは地域設定可能に



3.暗号化の問題
この暗号化の問題に関しては、大きく分けて2つあります。
1つは、先ほどの中国経由のと同じ問題も含まれるのですが、暗号化キーを中国国内のサーバーで生成されていたとされる問題です。つまり、中国側がZoomの通話内容を見ようと思えば見られるという状態であったということです。
この図が分かりやすいですね。

Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明

この問題に関しては、対応済みとのアナウンスがなされています。

Zoom、有償顧客による経由データセンターリージョンの指定が可能に

アレ?有料プランのみの対応では?となるかもですが、このような対応のようなので、安心して良いかと。


Zoomの無償ユーザーはデフォルトのリージョンに固定されることになり、こうしたリージョンはほとんどの場合、有償顧客と同じく、米国になるという。


引用:Zoom、有償顧客による経由データセンターリージョンの指定が可能に - ZDNet Japan




もう1つが、エンドツーエンド(以下、E2E)の暗号化に対応していないという問題です。このE2Eの暗号化とは、どういうことかというと、こういうことです。


エンドツーエンドの暗号化」とは、データをやりとりする本人同士、つまり会議の主催者と参加者でのみデータにアクセスすることができ、外部の第三者はアクセスできない、という意味があります。


引用:【Zoom】セキュリティの問題をわかりやすく解説・データが中国に漏れる可能性について【懸念点まとめ・2020年最新版】 | Tipstour



で、世間一般で言われるE2Eの暗号化とZoomが主張するE2Eの暗号化に齟齬がある点が指摘されています。つまりこういうこと。



とはいえ、先ほどの暗号化キーの問題がクリアされていれば、そこまで神経質にならなくても良いのでは?とも思っています。



4.Windowsの認証情報が盗まれる問題(修正済み)
ユーザがチャット機能を使用している際に、悪意のある UNC パスをクリックすることによって、 UNC パスのリンク先へユーザの Windows のログオン名やハッシュ化された NTLM パスワードを意図せずに送信されてしまうという問題でした。しかし、これも即修正されています。

Windows認証情報が盗まれるZoomの脆弱性が即修正

また、同様な問題で、悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりすることも指摘されていましたが、これも最新版で修正済みです。



5.iOSアプリがFacebookに端末データを勝手に送る問題(修正済み)
これは、ダメだろー!と思っていた問題でしたが、即修正されましたね。どちらかというと、FacebookのSDKの挙動の悪さが問題だったような気がしますね。

オンライン会議SaaSの「Zoom」が同意なくFacebookにデータ送信

そういうわけで、修正済みです。

Zoom iOSアプリがアップデートで、Facebookにデータを送信するコードを削除



6.Macでユーザー承認を得ずにアプリをインストールする問題(修正済み)
まあ、これってZoomの利便性との引き換えだよなと思ってしまったり…。とはいえ、コレを踏み台にして、マルウェアを混入することも可能だったりするので、危険と言えば危険なんですよね。

Zoom Meeting for Macのインストーラーが、ユーザー承認を得ずにアプリをインストールする問題が話題。

とはいえ、これも修正済み。

Mac版にあったZoomの「マルウェアっぽい挙動」が解決された模様 | Ubergizmo JAPAN



7.ホストの許可なく録画できる問題
設定で対応可能です。「3.やるべき設定」参照のこと。
とはいえ、サードパーティーのアプリでは、録画できます。でも、これはどのクライアントでも同じなので、Zoomの問題ではありませんね。



8.Macのマイクやカメラに不正アクセスされる脆弱性(修正済み)
この問題は、相当悪意を持ってやらないと難しい問題ですね。


攻撃者は悪意あるコードをZoomに付加することで、Zoomが持つカメラとマイクへアクセス権を取得できるという。悪意のあるコードを付加したZoomを立ち上げると、攻撃者はZoomがすでに持つアクセス権を「自動的に継承」できる。これにはカメラとマイクへのアクセスが含まれる。


引用:元NSAの専門家がZoomのMac乗っ取り脆弱性を警告、Zoomからは回答なし | TechCrunch Japan



元NSAの専門家がZoomのMac乗っ取り脆弱性を警告、Zoomからは回答なし | TechCrunch Japan


とはいえ、これも最新版では、修正済みです。それにしても、指摘から修正までの速度感すごいな。

Zoom、権限昇格の脆弱性などを修正した「Zoom Meeting for Mac v4.6.9」をリリース。インストール時にユーザーの承認を得るインストーラーも。



9.同じ法人ドメインの同僚が勝手に連絡先に登録されてしまう問題(修正済み)

Zoomではセッション中に同じ法人ドメインの同僚がいると会社の連絡先に自動的に登録されます。gmail.com、yahoo.com、hotmail.comなんかの無料ドメインの個人アドレスで入ると登録されないんですが、オランダのマイナーな無料ドメイン( xs4all.nl、dds.nl、quicknet.nl)で入ると誤作動してしまう不具合も見つかっています。


引用:オンライン会議ツールZoomが問題山積み。荒らし予防策、修正状況まとめ | ギズモード・ジャパン



これも、解決済みですね。

2020年4月4日のアップデートと仕様変更について - Zoom



と、色々して指摘されている問題をズラズラと挙げてきましたが、ほとんど対応済みなんですよね。実は。他に指摘されている問題点があれば、@yoshinonまでお知らせください。





そういうわけで、ここからはZoomでミーティングを主催する側の設定についてです。まあ、これだけやっておけば、大丈夫でしょ?というのを載せておきます。

アプリ側で設定できるものもありますが、Webのみでしか詳細設定できない項目もあります。
その場合のWeb側の詳細設定は、こちらです。




1.待機室&パスワードで参加
まず、URLクリックだけで参加できると、Zoom爆撃に遭う可能性が高いので、ルームにパスワードをかけておきます。
スケジュールから

2020042901.png



「ミーティングパスワード必須」の項目にチェックを入れます。

2020042902.png



さらに、詳細設定で「待機室の有効化」をチェックします。ついでにいきなり音を出されないようにするために、「エントリー時に参加者をミュート」にしておきます。話すときにスペースキーで話せるようになります。

2020042903.png



どうしても、さらにセキュリティを高めたいなら、「認証されているユーザーしか参加できません」にチェックをします。しかし、これはせっかくのZoomの良さを全て殺してしまうことになりますので、そういうのを求める人は、Zoom以外のクライアントが向いていると思います。



2.画面共有に関する設定
ミーティング画面上の「画面を共有」→「高度な共有オプション」から

2020042904.png



「ホストのみ」を選択します

2020042905.png



参加者から画面共有の申し出があった場合のみOKにすると良いです。



3.ミーティングの暗号化
これは、Webの設定から。
「サードパーティーのエンドポイントに対して暗号化が求められます」をオンにします。

2020042906.png



4.ファイル送信の無効化
特に必要が無い場合は、無効にすると良いですね。

2020042907.png


5.遠隔操作をオフ

2020042908.png



6.ミーティングをロック
まあ、待機室さえオンなら問題ないと思いますが、参加者が全員参加したら、「セキュリティ」→「ミーティングをロック」してしまって、他の人が参加できなくしてしまいましょう。

2020042909.png



7.URLにパスワードを埋め込まない
デフォルトではオンになっているので、オフにしておき、どんな参加者であってもパスワード必須にしておきましょう。

2020042910.png



8.ローカル記録をオフにする
これは、必要に応じて行ってください。

2020042911.png



9.録画について
参加者は、基本的にホストの許可なく録画ができなくなっています。許可したいユーザーには、個別に許可を与えることができます。






 eyeglass2.png 情報管理LOGの眼
 本当にそのセキュリティ必要?

世の中には、セキュリティガチガチでないと安心できないという方がいますが、ほとんどのセキュリティは、便利&快適さとのトレードオフです。そんなに守るべきものが無い場合、快適さを優先しても良いハズなんですよね(セキュリティホールになるのは、論外だけど)。そういうわけで、セキュリティ大事おじさんに今一度問うてみても良いかもですよ?




関連記事

コメント0件

コメントはまだありません