Zoom セキュリティ リスク。 安全なテレワークのために:「Zoom」のリスクとセキュリティを理解する

会議ソフトZoomのセキュリティ・脆弱性や安全性の評判は?

Zoom セキュリティ リスク

トレンドマイクロは4月15日、公式ブログで「安全なテレワークのために:『Zoom』のリスクとセキュリティを理解する」と題する記事を公開しました。 新型コロナウイルス(COVID-19)の流行にともない注目を集める「Zoom」のセキュリティリスクについて解説した内容です。 「Zoom」は米Zoom Video Communications社が提供するビデオ会議サービスですが、今年に入り利用者が2億人を突破するなど、利用が急拡大しています。 一方で、さまざまなセキュリティ上の問題を抱えており、独立行政法人情報処理推進機構(IPA)もすでに注意を呼びかけています。 今回トレンドマイクロは、「Zoom Bombing」、脆弱性、フィッシングという3つの問題点を紹介しています。 「Zoom Bombing(ズーム爆弾、ズーム爆撃)」は、Zoom会議に招かれていない第三者が勝手に会議に参加し嫌がらせをする迷惑行為の総称です。 単なる嫌がらせ行為だけではなく、潜伏してZoom会議の内容を盗み聞きして情報漏えいさせる、参考資料などに偽装したマルウェアを他の参加者に送付するなど、より悪質な行為も可能です。 これは、開催者が会議に対してパスワードを設定していない場合、ミーティングIDがわかれば誰でも会議に参加できるZoomの仕様に問題があるためです。 またZoomの利用時には、Windows、Macともにクライアントソフトを導入する必要がありますが、これらソフトにさまざまな脆弱性が残っていたことが発覚しています。 たとえばWindows版の脆弱性を悪用された場合には、第三者が認証情報を盗んだり、任意のプログラムを実行させたりすることが可能でした。 Zoomは脆弱性に対処した最新バージョンを随時公開しています。 そしてZoomが注目を集めたことで、これに便乗するネット詐欺も登場しつつあります。 これらの新ドメインがすべて不正目的で作成されたとは言えませんが、サイバー犯罪者が、情報詐取を目的に準備している可能性が考えられます。 すでに、パスワードを含むZoomアカウント情報がダークウェブ上で2,000件以上公開されていた、との報道もあります。 「Zoom」の認証情報を狙うフィッシングサイトの画面例 法人でも個人でも、Zoomの利用者はリスクを避けるため、以下を心がけてください。 ・常に最新バージョンのZoomを公式サイトから入手する。 ・Zoom会議のURLが正規のものかよく確認し、安易にクリックしない。 ・フィッシングなど、最新の攻撃手口を知り、騙されないよう注意する。 特に法人利用者においては、Zoom会議をよりセキュアなものにするために、以下の設定を再確認してください。 ・会議には必ずパスワードを設定し、URLやパスワードは適切な参加者のみに教える。 ・画面共有を「ホストのみ」に設定する。 また、状況によっては以下の運用も考慮してください。 ・参加者が会議に出入りしたときに音を鳴らし、気付けるようにする。 ・「待機室」の機能を使い、承認したユーザのみが参加できるようにする。 ・Zoomにログインしている認証されたユーザのみが参加できる設定する。 ・参加予定者が集まり会議が開始したらロックし、想定外の参加者が入れないようにする。 All rights reserved.

次の

利用者が急増している「Zoom」のセキュリティリスクとその対策

Zoom セキュリティ リスク

未だに多くの人が関心を寄せるZoomのセキュリティ。 Zoomのようなクラウドサービス導入を検討する際にリスクアセスメントを迅速に行うCASBというツールが有るので、CASBを用いて比較を行った。 テレワーク実現にあたって直ぐに利用を開始できるクラウドサービスの利用を検討する企業が多い。 こういったクラウドサービスの利用に伴い情報システム部門を悩ませているのが「 クラウドサービスのセキュリティ評価」だ。 クラウドサービスは各クラウドサービス事業者が構築したシステムをサービスとして利用することになるため、セキュリティのレベルは各社統一されておらず、自社のセキュリティ基準を満たしているかを判断することが求められる。 こういったクラウドサービスのセキュリティ評価にあたって強固なセキュリティを求める企業であれば1つあたりのクラウドサービスに対して数週間から数ヶ月の調査期間を要していることもある。 平常時であればそれでも問題無いかもしれないが、新型コロナウィルスに伴うテレワーク対応は緊急性を要するため、セキュリティ評価に数ヶ月もかけていてはテレワーク化が進まない。 何より貴重な従業員やその家族の命まで危険にさらすことになりかねない。 このようなクラウドサービスのセキュリティ評価のスピートアップに利用されるのが、CASBと呼ばれるソリューションだ。 今回は話題の絶えないZoomと、Cisco WebEX、Teamsといったオンラインビデオ会議を代表する3サービスをMcAfee製CASBのMVISION Cloudを用いてセキュリティの観点から比較してみることにした。 RISKと書かれた行が総合得点となり数字が小さい程安全性が高いという評価になる。 Cisco WebEXが2点で最も安全性が高いという結果になった。 次いでTeamsが3点で二番手、最後にZoomが4点で三番手となった。 CASBによる3大オンラインビデオ会議サービスの比較。 視覚的にもわかり易く表現されており、緑色がローリスク、黄色がミドルリスク、赤色がハイリスクとなっている。 WebEXは緑が多く、TeamsとZoomはWebEXと比較すると赤と黄色が少し多いように見てとれる。 では、具体的にこれら6つのカテゴリで各サービスがどのような評価となっているかを見てみよう。 ・ データリスク データをクラウドサービスに 預けるにあたって、どういったリスクが有るかを見るのがこのカテゴリとなる。 データリスクについては、Cisco WebEXが最も安全な4点という評価で、ZoomとTeamsは共に5点となっている。 このデータリスクカテゴリではファイル共有機能の有無や、保存されているデータの暗号化の強度等が比較されている。 MVISION Cloudでは、ファイル共有機能やファイルを扱うことが可能なサービスは「リスク高」と評価するため、3サービス共にこれらの機能を有しているため、この点ではリスクが高いとされている。 その他にクライアントとのデータ同期機能を有しているため、この点でも各サービス共に評価を落としている。 そして、Cisco WebEXとZoomはファイル共有のためにアップロード可能なデータサイズが1GB~5GBで有るのに対して、Teamsは無制限となっているので、Teamsはこの点で評価を落としている。 Zoomが評価を落としたのは、ユーザアカウント削除時のポリシーが未公開である点と、企業向けDLPソリューションとの連携機能が無いという点である。 それ以外の、保存されるデータの暗号化有無や通信経路の暗号化については3サービスともに「安全」という評価になっており、一般的にクラウドを利用する上での安全性の基準は満たしているという結果になった。 このデータリスクカテゴリで3サービスとも「リスク高」と評価された、ファイル共有機能等はオンラインビデオ会議サービスとしては当然の機能である。 Teamsのファイルアップロード制限サイズ無制限も利便性を高める措置である。 Zoomが評価を落としたユーザアカウント削除時のポリシーが未公開というのも、公開されていないというだけであって実際の処理がどうなっているかは判断出来ない。 企業向けDLPに未対応というのも大半の国内企業ではDLPを導入していることが少数派のため、問題と捉えることは少ないだろう。 クラウドにデータを預ける上で最も基本的な保存されたデータの暗号化及び通信経路の暗号化についてはどのサービスも安全基準を満たしている。 MVISION Cloud基準ではこれら3つのサービスに対してデータを預けて問題ないか? という観点では、一般的なクラウドサービスに求める安全基準を満たしていると考えて問題ないと言える。 3サービス共に匿名利用が禁止されており、MFA等の多要素認証も備えており、安全基準を満たしている。 Cisco WebEXはアクセス可能な端末を固定出来るため、他2サービスと比較して安全性が高いと評価されている。 ・ サービスリスク 脆弱性の有無等サービス自体が保有するリスクを比較するのがこのカテゴリだ。 WebEXとTeamsがそれぞれ1点で最高得点であるのに対してZoomは5点となり、このカテゴリで他2サービスに差を開けられることとなった。 Zoomは最近報道されたダークネットによるデータの販売が情報漏えいインシデントとして記録されており、リスク評価のポイントを下げた。 ZoomのユーザIDがダークネットで販売されていたとの報道があり、これが情報漏えいインシデントとして計測され、リスク得点を上昇させてしまっている。 また、UNCリンクに関する脆弱性や、インストーラーがマルウェアのような挙動をするといった報道があったこともリスク得点を上昇させる要因となってしまっている。 なお、最高得点を記録しているWebEXだがCVEに登録される程の脆弱性が発見されていたことが確認出来るが、他項目での指摘事項は特に無いため総合判定には影響を与えていない。 ・ ビジネスリスク 各種認証プログラム等の取得状況等が評価される。 ネット上で「Zoomは危険」という声も目にするが、米国政府が調達するクラウドサービスの基準を満たしていることを証明する「FedRAMP」や、EUと米国間の個人情報転送を認める「Privacy Shield」を取得している点から考えると、一般的な企業が利用する分には十分なセキュリテイに対する配慮が行われていると考えて良いだろう。 敢えて用途に応じて利用するオンラインビデオ会議サービスを分けるとするならば、医療情報等を扱うビデオ会議の場合には、HIPPAを取得しているWebEXやTeamsが適しているだろう。 金融機関等ではPCI Complianceを取得しているWebEXが適しているだろう。 リーガルリスクについても3サービス共に2点でローリスクと判断されている。 プライバシーポリシーについても3サービス共に「収集した顧客情報は、顧客の同意と法律に従って、利用範囲を明確にした上で第三者に共有することも有り得る」となっており、一般的なレベルとなっている。 ・ サイバーリスク 主にSSL周りの脆弱性を保有しているかを評価する。 3サービス共に脆弱性は存在しないと判断されている。 Zoomに関連づければこぞってメディアが報道するため、他のクラウドサービスでも存在するような脆弱性であっても、Zoom固有のリスクのように報道されているケースも少なくない。 例えば、Mvision Cloudに登録されているクラウドデータベースのうち、ダークネットでIDが販売されているクラウドサービスは144サービス存在している。 この中にはSkypeやNetflix、Twitterも含まれている。 今回CASBを用いて、Zoom、Cisco WebEX、Teamsの比較を行ってみたが、確かに最も安全性が高いと評価されたのはCisco WebEXであり、最も低かったのはZoomだが、この3サービスは高いレベルで競い合っている状態にある。 どれも一般的な企業が利用するレベルであれば安全性の基準は満たしていると考えても良いレベルである。 もし、筆者がセキュリティ基準で選定するのであれば、「ネットでZoomは危険と言われている」という不明瞭な根拠で選定から落とすようなことはせず、HIPPA、PCI Complienceの取得が必須な場合やデバイス固定が必要な場合はWebEXが妥当と考えるが、そういった要件が無い場合には、どれもセキュリティの面では業務を遂行するための安全基準はクリアしており大差ないと考える。 セキュリティ以外の利便性や価格の方が選定要素としては大きくなるだろう。 」という相談を受けるようになった。 こういった状況に頭を抱えているのが企業のIT担当者やセキュリテイ担当者であることも分かってきた。 Zoomのようなオンラインビデオ会議サービスは、てっとり早くテレワーク環境化をするための重要なサービスの1つであり、経営層からは「早くテレワーク環境を整備しろ。 」と叱責されている。 しかし「SNSやネットではZoomは危険と言われているし、営業部門からはZoomを使いたいと言われている。 どうすれば良いのだろう? 」といった感じだ。 もし、利用しようとしているクラウドサービスが安全なのか危険なのか? この判断に悩んでいるなら、「 SNSやネットの噂に頼る」のではなく、今回紹介したCASBのようなサービスを利用してみるのも1つの解決策になるだろう。

次の

セキュリティ&プライバシー関連の問題が相次ぐオンラインビデオ会議アプリの「Zoom」

Zoom セキュリティ リスク

2 より注意すべき「意図的な脆弱性」とは 問題は「意図的な脆弱性」かもしれません。 私がもっとも注目したのは、macOS版Zoomの挙動です。 私自身もmacOSでZoomを利用しているため、会議のホストから送られてきたURLをクリックしたところ、クライアントアプリを入れるように指示がありました。 当時は「通常のアプリをインストールするときとは何となく挙動が違うな」と違和感を持ったのですが、その正体は Zoomは、macOS版アプリのインストールにおいて「Web会議参加までのクリック数を減らすための」手法を利用したとしています。 しかし、その手法はいわゆるマルウェアが利用するような、ある意味でユーザーをだますようなものにも見えます。 そのため、多くのセキュリティ専門家がこの手法を強く非難しています。 これは実装上の不備で埋め込まれた脆弱性でもなく、設計上漏れてしまった脆弱性でもありません。 基本的に全てのアプリには脆弱性が残ってしまう可能性があるため、ベンダーも私たちもそれが発見され次第、修正プログラムを作り、それを適用する必要があります。 しかし、最後に挙げたような挙動は、ベンダー自体がさまざまな理由を付け、利用者に対して本来使うべきではない手法をとった脆弱性です。 こういった手法を採るベンダーを、私は信頼したいとは思えません。 実は、Zoomアプリをインストールせずとも、Zoom会議にはWebブラウザから参加可能です。 Web会議参加のためのURLをクリックすると、しばらくして「ブラウザから参加してください」というメッセージと一緒にリンクが表示されますので、こちらからWeb会議へ参加するのが良いかもしれません。 ただし、ブラウザ版を使ったとしても、先に説明した経路の問題など、設計仕様上の問題はクリアされないというリスクはあります。 ZoomにWebブラウザのみで参加する より大きな注意点は、今回のようなZoomの各種セキュリティリスクの現状を、組織のシステム管理部門がしっかり把握できているかということです。 組織によっては、Zoomがいまだ「シャドーIT」扱いされているケースも多いのではないでしょうか。 システム管理部門はなるべく早く現状を把握し、Zoomの使用を許可するか、それとも条件を付けるかなどを含めてしっかり対策を打つべきでしょう。 その際には、既にメールサービスとして導入しているOffice 365の「Microsoft Teams」をはじめ、Gmail、G Suiteと一緒に利用可能な「Google Hangout」など、代替として使えるアプリと比較検討すべきかもしれません。 セキュリティに気を付けているつもりの私も、ほんの少しの違和感はあったものの、Mac版Zoomのインストールから実行までやりきってしまったので説得力はないと思いますが、自分で判断できないからこそ、他のセキュリティ専門家がどのような検証をしているのかをしっかり追う必要があるでしょう。 とりわけ今回のように、新しくて便利なソリューションを提供するベンダーを「どう信頼するか」というのは、とても難しい問題だと思います。 ならば、新しいベンダーのソリューションよりも、あえて既にメールサービスやオフィスアプリなどを導入している「一度信頼したベンダー」が提供するソリューションの方が、今の組織では利用しやすいのかもしれません。 ただし、その一度信頼したベンダーにも、今後同様に脆弱性のニュースは出てくる可能性はあります。 しっかりと情報を追い続けることの大切さは、どのベンダーについても変わりませんね。 関連記事• ZoomのWindowsクライアントとmacOSクライアントに未解決の脆弱性が判明した。 FBIは「ZoomのWeb会議が乗っ取られる被害が相次いでいる」として注意を呼び掛けた。 Zoomの利用が予想をはるかに超えて激増し、対応に追われる中で、「プライバシーとセキュリティに対する期待に応えられなかった」としてエリック・ユアンCEOが謝罪した。 危機に乗じた犯罪が増え続けています。 激動の時代、変化するのは「働き方」だけではありません。 働き方が変われば守るものも、守り方も変わってきます。 そんな中、よく聞くようになった「SASE」とは?.

次の