Knowledge - Free knowledge base system

更新履歴

Fuminori Tsuchiya 2020/04/12 23:06

現在との差分

過去のナレッジの内容

コンテンツ

（地球物理学専攻MLからの転載　2020/4/7-9 三浦先生、松澤先生）

映像・音声を使った使用するツールとして，Zoomを採用する流れになっているようですが，
YahooニュースにZoomの安全性に関する記事が掲載されています
　 https://news.yahoo.co.jp/byline/ohmototakashi/20200406-00171691/

最初に対策をまとめると

１）機密性の高い情報を扱う会議にはzoomを使わない
２）パスワード設定をし，ホストより前の入室は認めない
　　あるいは、下記の記事を読んでいただいた上で待機室を利用する
３）バージョン4.6.10にアップデートする
４）アクセス場所等の情報が漏洩する可能性があることに留意

となります．

■1) 暗号化に関する懸念

◎問題
a) zoom社や特定のサーバーは鍵を持っているので，原理的にはそこで復号可能
b) 電話回線等のzoom社外の資源を使って接続している場合は，そこは暗号化さ
れていない
c) 暗号化手法がすでに時代遅れで時間をかければ解読可能
https://gigazine.net/news/20200406-the-confidentiality-of-zoom-meetings/

◎解決策
極めて重要な機密情報を扱う会議はzoomで行わない．

上記で原理的には「傍聴」可能ですが，大学の講義をそこまで苦労して傍聴する
人が居るとは思えないですし，仮に傍聴されたとしても，実害は無いと思います．
ただし，成績判定会議等については注意する必要があります．

■２）ビデオ会議に乱入されるZoom爆弾

◎問題
ミーティングIDが知られてしまうと，学外からも勝手に参加されて，卑猥な映像
等が流される危険性がある．

◎解決策
パスワード設定をし，また，「ホストよりまえの参加を有効にする」をオフにす
る．

「待機室」の使用は「zoom爆弾」を防ぐのに非常に有効な手段だが, 機能に脆弱性が指摘されていた.
https://gigazine.net/news/20200406-the-confidentiality-of-zoom-meetings/
現在は，CitizenLabの指摘を受けてzoomは直ちに対応して問題は解決して
いるとのことです．サーバー側の改修で済んだので，今回のアプリのアップデー
トの説明には含まれていないということのようです．

「Zoom's Waiting Room Vulnerability」
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/

何が問題であったかというと，「待機室」で待っているユーザーのPCにも，画面
には表示されないだけで，暗号化された映像データと復号化するためのキーが送
られていたということです．CitizenLabが「悪用を防ぐために脆弱性の詳細につ
いて公開は差し控える」としていた理由がよくわかりました．

CitizenLab の説明を見る限り，この「待機室」の問題はすでに解決したようで
すが，zoomではセキュリティを向上させたということを謳い文句にして「待機
室」を発表したのに，その実状がこれでは，かなり心配になりました．

また，CitizenLabによるzoomの問題の一連の指摘の簡単なまとめは

「FAQ on Zoom Security Issues」
https://citizenlab.ca/2020/04/faq-on-zoom-security-issues/

で見られます．

zoomを信頼できると思うかどうかは，これらをご覧になってご判断ください．
Web講義については，大きな問題は無いと思いますが，プライバシー情報を含む
相談には，少なくとも当面は使わないほうがよさそうだな，というのが私の感想
です．

■３）パソコンの情報を不正に取得される脆弱性
◎問題
チャットにURLやSMBサーバーのアドレス（UNC）記載すると自動的にリンクに変
換される
https://zoom-shukyaku.com/zoom-%E4%BD%BF%E3%81%84%E6%96%B9-%E3%83%81%E3%83%A3%E3%83%83%E3%83%88/

が，もしSMBサーバーに解析プログラムがチャットにこのUNCを記載して，他のユーザーがこのリンクをクリックしてしま
うと，そのユーザーのログイン情報が盗まれる危険性がる．暗号化はされている
ものの時代遅れなので，最新のGPU搭載のPCなら短時間で解読可能とのこと．
https://japan.zdnet.com/article/35151756/


◎解決策
Zoomをバージョン4.6.10にアップデートすること．
https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-new-security-toolbar-icon-for-hosts-meeting-id-hidden/

また，悪意を持ったユーザーが参加できないように，２）の問題と同様の対処をし，チャット内容も監視する．


■４）ユーザデータの取り扱い
◎問題
zoomはiOSアプリでFacebookアカウントでログインできるようにしていたが，こ
のためのキット（FacebookSDK）の働きで，ユーザー情報の一部がFacebookに流
れていることが判明した．
https://www.itmedia.co.jp/news/articles/2003/31/news132.html

これはFacebookアカウントによってログインしているか否かによらず，通信が行
われていたことが重要な問題
https://jp.ubergizmo.com/2020/03/28/13951/
https://www.cloudsign.jp/media/20200330-zoom-sdk/

◎解決策
すでにFacebookSDKを取り外したので現在は問題がないはず．


なお，FacebookやGoogleアカウントでログインできるWebサービスは他にも広く
存在しているので，他でも同様の問題が生じているかもしれません．Facebookの
アカウントでログインしなくてもFacebookにデータが渡されるというのは気持ち
悪いですね．

それ以外にもZoomは過去にいくつものセキュリティやプライバシーに関わる問題
が明らかになっており，そのたびに対応してきた歴史があります．たとえば
https://gigazine.net/news/20200402-zoom-should-not-use/

をご覧ください．

現在のナレッジの内容

コンテンツ

（地球物理学専攻MLからの転載　2020/4/7-9 三浦先生、松澤先生）

映像・音声を使った使用するツールとして，Zoomを採用する流れになっているようですが，
YahooニュースにZoomの安全性に関する記事が掲載されています
　 https://news.yahoo.co.jp/byline/ohmototakashi/20200406-00171691/

最初に対策をまとめると

１）機密性の高い情報を扱う会議にはzoomを使わない
２）パスワード設定をし，ホストより前の入室は認めない
　　あるいは、下記の記事を読んでいただいた上で待機室を利用する
３）バージョン4.6.10にアップデートする
４）アクセス場所等の情報が漏洩する可能性があることに留意

となります．

■1) 暗号化に関する懸念

◎問題
a) zoom社や特定のサーバーは鍵を持っているので，原理的にはそこで復号可能
b) 電話回線等のzoom社外の資源を使って接続している場合は，そこは暗号化さ
れていない
c) 暗号化手法がすでに時代遅れで時間をかければ解読可能
https://gigazine.net/news/20200406-the-confidentiality-of-zoom-meetings/

◎解決策
極めて重要な機密情報を扱う会議はzoomで行わない．

上記で原理的には「傍聴」可能ですが，大学の講義をそこまで苦労して傍聴する
人が居るとは思えないですし，仮に傍聴されたとしても，実害は無いと思います．
ただし，成績判定会議等については注意する必要があります．

■２）ビデオ会議に乱入されるZoom爆弾

◎問題
ミーティングIDが知られてしまうと，学外からも勝手に参加されて，卑猥な映像
等が流される危険性がある．

◎解決策
パスワード設定をし，また，「ホストよりまえの参加を有効にする」をオフにす
る．

「待機室」の使用は「zoom爆弾」を防ぐのに非常に有効な手段だが, 機能に脆弱性が指摘されていた.
https://gigazine.net/news/20200406-the-confidentiality-of-zoom-meetings/
現在は，CitizenLabの指摘を受けてzoomは直ちに対応して問題は解決して
いるとのことです．サーバー側の改修で済んだので，今回のアプリのアップデー
トの説明には含まれていないということのようです．

「Zoom's Waiting Room Vulnerability」
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/

何が問題であったかというと，「待機室」で待っているユーザーのPCにも，画面
には表示されないだけで，暗号化された映像データと復号化するためのキーが送
られていたということです．CitizenLabが「悪用を防ぐために脆弱性の詳細につ
いて公開は差し控える」としていた理由がよくわかりました．

CitizenLab の説明を見る限り，この「待機室」の問題はすでに解決したようで
すが，zoomではセキュリティを向上させたということを謳い文句にして「待機
室」を発表したのに，その実状がこれでは，かなり心配になりました．

また，CitizenLabによるzoomの問題の一連の指摘の簡単なまとめは

「FAQ on Zoom Security Issues」
https://citizenlab.ca/2020/04/faq-on-zoom-security-issues/

で見られます．

zoomを信頼できると思うかどうかは，これらをご覧になってご判断ください．
Web講義については，大きな問題は無いと思いますが，プライバシー情報を含む
相談には，少なくとも当面は使わないほうがよさそうだな，というのが私の感想
です．

■３）パソコンの情報を不正に取得される脆弱性
◎問題
チャットにURLやSMBサーバーのアドレス（UNC）記載すると自動的にリンクに変
換される
https://zoom-shukyaku.com/zoom-%E4%BD%BF%E3%81%84%E6%96%B9-%E3%83%81%E3%83%A3%E3%83%83%E3%83%88/

が，もしSMBサーバーに解析プログラムがチャットにこのUNCを記載して，他のユーザーがこのリンクをクリックしてしま
うと，そのユーザーのログイン情報が盗まれる危険性がる．暗号化はされている
ものの時代遅れなので，最新のGPU搭載のPCなら短時間で解読可能とのこと．
https://japan.zdnet.com/article/35151756/


◎解決策
Zoomをバージョン4.6.10にアップデートすること．
https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-new-security-toolbar-icon-for-hosts-meeting-id-hidden/

また，悪意を持ったユーザーが参加できないように，２）の問題と同様の対処をし，チャット内容も監視する．


■４）ユーザデータの取り扱い
◎問題
zoomはiOSアプリでFacebookアカウントでログインできるようにしていたが，こ
のためのキット（FacebookSDK）の働きで，ユーザー情報の一部がFacebookに流
れていることが判明した．
https://www.itmedia.co.jp/news/articles/2003/31/news132.html

これはFacebookアカウントによってログインしているか否かによらず，通信が行
われていたことが重要な問題
https://jp.ubergizmo.com/2020/03/28/13951/
https://www.cloudsign.jp/media/20200330-zoom-sdk/

◎解決策
すでにFacebookSDKを取り外したので現在は問題がないはず．


なお，FacebookやGoogleアカウントでログインできるWebサービスは他にも広く
存在しているので，他でも同様の問題が生じているかもしれません．Facebookの
アカウントでログインしなくてもFacebookにデータが渡されるというのは気持ち
悪いですね．

それ以外にもZoomは過去にいくつものセキュリティやプライバシーに関わる問題
が明らかになっており，そのたびに対応してきた歴史があります．たとえば
https://gigazine.net/news/20200402-zoom-should-not-use/

をご覧ください．

戻る