#38 Zoom使用上の注意(セキュリティ対策)

icon Fuminori Tsuchiya が 2020/04/12 22:58 に投稿 ( icon Fuminori Tsuchiya が 2020/04/12 23:06 に編集 <更新履歴> )

(地球物理学専攻MLからの転載 2020/4/7-9 三浦先生、松澤先生)

映像・音声を使った使用するツールとして,Zoomを採用する流れになっているようですが,
YahooニュースにZoomの安全性に関する記事が掲載されています
  https://news.yahoo.co.jp/byline/ohmototakashi/20200406-00171691/

最初に対策をまとめると

1)機密性の高い情報を扱う会議にはzoomを使わない
2)パスワード設定をし,ホストより前の入室は認めない
  あるいは、下記の記事を読んでいただいた上で待機室を利用する
3)バージョン4.6.10にアップデートする
4)アクセス場所等の情報が漏洩する可能性があることに留意

となります.

■1) 暗号化に関する懸念

◎問題
a) zoom社や特定のサーバーは鍵を持っているので,原理的にはそこで復号可能
b) 電話回線等のzoom社外の資源を使って接続している場合は,そこは暗号化さ
れていない
c) 暗号化手法がすでに時代遅れで時間をかければ解読可能
https://gigazine.net/news/20200406-the-confidentiality-of-zoom-meetings/

◎解決策
極めて重要な機密情報を扱う会議はzoomで行わない.

上記で原理的には「傍聴」可能ですが,大学の講義をそこまで苦労して傍聴する
人が居るとは思えないですし,仮に傍聴されたとしても,実害は無いと思います.
ただし,成績判定会議等については注意する必要があります.

■2)ビデオ会議に乱入されるZoom爆弾

◎問題
ミーティングIDが知られてしまうと,学外からも勝手に参加されて,卑猥な映像
等が流される危険性がある.

◎解決策
パスワード設定をし,また,「ホストよりまえの参加を有効にする」をオフにす
る.

「待機室」の使用は「zoom爆弾」を防ぐのに非常に有効な手段だが, 機能に脆弱性が指摘されていた.
https://gigazine.net/news/20200406-the-confidentiality-of-zoom-meetings/
現在は,CitizenLabの指摘を受けてzoomは直ちに対応して問題は解決して
いるとのことです.サーバー側の改修で済んだので,今回のアプリのアップデー
トの説明には含まれていないということのようです.

「Zoom's Waiting Room Vulnerability」
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/

何が問題であったかというと,「待機室」で待っているユーザーのPCにも,画面
には表示されないだけで,暗号化された映像データと復号化するためのキーが送
られていたということです.CitizenLabが「悪用を防ぐために脆弱性の詳細につ
いて公開は差し控える」としていた理由がよくわかりました.

CitizenLab の説明を見る限り,この「待機室」の問題はすでに解決したようで
すが,zoomではセキュリティを向上させたということを謳い文句にして「待機
室」を発表したのに,その実状がこれでは,かなり心配になりました.

また,CitizenLabによるzoomの問題の一連の指摘の簡単なまとめは

「FAQ on Zoom Security Issues」
https://citizenlab.ca/2020/04/faq-on-zoom-security-issues/

で見られます.

zoomを信頼できると思うかどうかは,これらをご覧になってご判断ください.
Web講義については,大きな問題は無いと思いますが,プライバシー情報を含む
相談には,少なくとも当面は使わないほうがよさそうだな,というのが私の感想
です.

■3)パソコンの情報を不正に取得される脆弱性
◎問題
チャットにURLやSMBサーバーのアドレス(UNC)記載すると自動的にリンクに変
換される
https://zoom-shukyaku.com/zoom-%E4%BD%BF%E3%81%84%E6%96%B9-%E3%83%81%E3%83%A3%E3%83%83%E3%83%88/

が,もしSMBサーバーに解析プログラムがチャットにこのUNCを記載して,他のユーザーがこのリンクをクリックしてしま
うと,そのユーザーのログイン情報が盗まれる危険性がる.暗号化はされている
ものの時代遅れなので,最新のGPU搭載のPCなら短時間で解読可能とのこと.
https://japan.zdnet.com/article/35151756/

◎解決策
Zoomをバージョン4.6.10にアップデートすること.
https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-new-security-toolbar-icon-for-hosts-meeting-id-hidden/

また,悪意を持ったユーザーが参加できないように,2)の問題と同様の対処をし,チャット内容も監視する.

■4)ユーザデータの取り扱い
◎問題
zoomはiOSアプリでFacebookアカウントでログインできるようにしていたが,こ
のためのキット(FacebookSDK)の働きで,ユーザー情報の一部がFacebookに流
れていることが判明した.
https://www.itmedia.co.jp/news/articles/2003/31/news132.html

これはFacebookアカウントによってログインしているか否かによらず,通信が行
われていたことが重要な問題
https://jp.ubergizmo.com/2020/03/28/13951/
https://www.cloudsign.jp/media/20200330-zoom-sdk/

◎解決策
すでにFacebookSDKを取り外したので現在は問題がないはず.

なお,FacebookやGoogleアカウントでログインできるWebサービスは他にも広く
存在しているので,他でも同様の問題が生じているかもしれません.Facebookの
アカウントでログインしなくてもFacebookにデータが渡されるというのは気持ち
悪いですね.

それ以外にもZoomは過去にいくつものセキュリティやプライバシーに関わる問題
が明らかになっており,そのたびに対応してきた歴史があります.たとえば
https://gigazine.net/news/20200402-zoom-should-not-use/

をご覧ください.

 添付ファイル     - [0]


 コメント追加