2020年3月末から、日本では一気にテレワークが浸透し始めました。そんな中、ものすごい勢いでビジネスパーソンに利用されているツールが「Zoom」です。私自身も複数の打ち合わせをWeb会議で実施しましたが、いまのところその全てでZoomを指定されました。大学のオンライン授業にも利用可能ということもあり、職種や規模に関係なくZoomが注目されています。
なぜここまでZoomが注目されたのか、直接の要因は正直よく分からないのですが、ここまで多くのユーザーに広がるアプリの特徴は「誰かが使い始めると、そこから芋づる式にいつの間にか広まっている」という点かもしれません。ユーザーが急増する様子に、私は初期のLINEを思い出しました。
さて、急速に広まったZoomですが、現在セキュリティの問題で厳しい視線を向けられています。それでもZoomを使い続けたい読者や、使い続けて問題ないかどうか迷っている読者に今お伝えできるメッセージは「今表面化しているリスクをしっかり把握すべきである」ということ。もっとかみ砕いてお伝えすると「今は使わない方がいいのでは?」かもしれません。
今回の騒動に学ぼう 「悪意のない脆弱性」と「悪意のある脆弱性」の見分け方
私も何度かZoomを利用し、その機能には驚いています。スムーズにビデオや音声を共有できますし、会議のメンバーがそれぞれのPCで開いている画面も、簡単に全員と共有できます。もしかしたら、これまで社内で顔を突き合わせていた会議で、目の前にあるプロジェクターを利用するよりも簡単かもしれません。これこそが、Zoomがここまで広まった理由の1つなのでしょう。
ただし今、Zoomにはたくさんの脆弱(ぜいじゃく)性が明らかになっています。それらは大したことがないというレベルのものではありません。例えば、ZoomのWindows版アプリにおいて、ユーザーログイン情報窃盗につながる脆弱性が発見されました。既に日本においても、Zoomの脆弱性について、情報処理推進機構(IPA)が注意喚起を出しています。
セキュリティ関連の指摘が相次いだことを受け、Zoom側も対応に動いています。同社は公式に「新機能追加をストップし、セキュリティ向上に務める」というメッセージを発表しました。
相次ぐセキュリティ問題の指摘について、Zoomは公式WebサイトやSNSを通して謝罪のメッセージや対策を発表しています(出典:Zoom)設計上、ある意味仕方のない「脆弱性」とは
Windows版の脆弱性は「悪意ある利用者が特定のパス文字列を投稿し、不注意な利用者がそれをクリックすると、悪意ある利用者がパスワードのハッシュ(Net-NTLM Hash)を取得できてしまう」というものです。既にアップデートのための修正プログラムも公開されていますので、今WindowsでZoomを使っている人は、直ちにアップデートしましょう。これは深刻な問題ではあるものの、ある意味「意図しない実装上の脆弱性」ともいえるもので、Zoomに限らず、全てのアプリに潜在する可能性があります。
むしろ、Zoomの脆弱性のうちで私が“イヤな匂い”を感じたのは、それ以外のものです。例えば、カナダにあるトロント大学のグローバルセキュリティ研究所Citizen Labは「北米で実施されたWeb会議の一部が、本来接続するはずのない中国のデータセンターを経由する可能性があった」と伝えています。こちらに関しても、Zoomは修正したと述べています。
これは「設計上の脆弱性」と考えられるかもしれません。修正が済んでいない点にZoom側の関係者が気付かなかった、もしくはすぐに修正する準備ができていた可能性もあります。この脆弱性に対してユーザーが採るべき対策も「すぐにアップデートする」だけです。
チェックしておきたい人気記事
より注意すべき「意図的な脆弱性」とは
問題は「意図的な脆弱性」かもしれません。私がもっとも注目したのは、macOS版Zoomの挙動です。私自身もmacOSでZoomを利用しているため、会議のホストから送られてきたURLをクリックしたところ、クライアントアプリを入れるように指示がありました。当時は「通常のアプリをインストールするときとは何となく挙動が違うな」と違和感を持ったのですが、その正体はユーザーがインストールを直接「許可」しなくても、アプリケーションのインストールが始まる仕組みになっていたことで、これがまさに大きな問題でした。
Zoomは、macOS版アプリのインストールにおいて「Web会議参加までのクリック数を減らすための」手法を利用したとしています。しかし、その手法はいわゆるマルウェアが利用するような、ある意味でユーザーをだますようなものにも見えます。そのため、多くのセキュリティ専門家がこの手法を強く非難しています。
これは実装上の不備で埋め込まれた脆弱性でもなく、設計上漏れてしまった脆弱性でもありません。いわば、ユーザーをだますために“意図的に作られた”脆弱性です。基本的に全てのアプリには脆弱性が残ってしまう可能性があるため、ベンダーも私たちもそれが発見され次第、修正プログラムを作り、それを適用する必要があります。しかし、最後に挙げたような挙動は、ベンダー自体がさまざまな理由を付け、利用者に対して本来使うべきではない手法をとった脆弱性です。こういった手法を採るベンダーを、私は信頼したいとは思えません。
とはいえ、Zoomを使わないと仕事にならない――悩める読者が使える対策
とはいえ、私の立場では「Zoomを使うWeb会議なら参加しません」などと発言できるわけもなく、どうやってこの状況と付き合うべきかということも並行して考えなくてはなりません。実は、Zoomアプリをインストールせずとも、Zoom会議にはWebブラウザから参加可能です。Web会議参加のためのURLをクリックすると、しばらくして「ブラウザから参加してください」というメッセージと一緒にリンクが表示されますので、こちらからWeb会議へ参加するのが良いかもしれません。ただし、ブラウザ版を使ったとしても、先に説明した経路の問題など、設計仕様上の問題はクリアされないというリスクはあります。
ZoomにWebブラウザのみで参加するより大きな注意点は、今回のようなZoomの各種セキュリティリスクの現状を、組織のシステム管理部門がしっかり把握できているかということです。組織によっては、Zoomがいまだ「シャドーIT」扱いされているケースも多いのではないでしょうか。システム管理部門はなるべく早く現状を把握し、Zoomの使用を許可するか、それとも条件を付けるかなどを含めてしっかり対策を打つべきでしょう。その際には、既にメールサービスとして導入しているOffice 365の「Microsoft Teams」をはじめ、Gmail、G Suiteと一緒に利用可能な「Google Hangout」など、代替として使えるアプリと比較検討すべきかもしれません。
セキュリティに気を付けているつもりの私も、ほんの少しの違和感はあったものの、Mac版Zoomのインストールから実行までやりきってしまったので説得力はないと思いますが、自分で判断できないからこそ、他のセキュリティ専門家がどのような検証をしているのかをしっかり追う必要があるでしょう。
とりわけ今回のように、新しくて便利なソリューションを提供するベンダーを「どう信頼するか」というのは、とても難しい問題だと思います。ならば、新しいベンダーのソリューションよりも、あえて既にメールサービスやオフィスアプリなどを導入している「一度信頼したベンダー」が提供するソリューションの方が、今の組織では利用しやすいのかもしれません。ただし、その一度信頼したベンダーにも、今後同様に脆弱性のニュースは出てくる可能性はあります。しっかりと情報を追い続けることの大切さは、どのベンダーについても変わりませんね。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。
関連記事
チェックしておきたい人気記事
"問題" - Google ニュース
April 07, 2020 at 05:00AM
https://ift.tt/34dwDkA
Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう - ITmedia
"問題" - Google ニュース
https://ift.tt/2rQt6to
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
Bagikan Berita Ini
0 Response to "Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう - ITmedia"
Post a Comment