ZOOMの問題点

皆さん、こんにちは。64です。

今回は今話題になっている「ZOOM」についての

話をしていきたいと思います。

Twitterを見ていたら、ZOOMが危険だという話をよく見るので、

今回、その危険性について調べてみました。

①「ZOOM Bombing」

これは日本語に訳すと「ズーム爆弾」「ズーム爆撃」という言葉になります。

これはZoom会議に招かれていない第三者が勝手に会議に参加し、不適切な画像や動画を画面共有するなどの方法で、会議全体に対して嫌がらせをする迷惑行為の総称です。

開催者が会議に対してパスワードを設定していない場合、ミーティングIDさえわかれば誰でも会議に参加できる仕様の危険性は、Zoomに限らず以前から指摘されていました。つまり、この迷惑行為自体は以前から可能であったはずであり、最近の顕著化はまさにZoomの利用者が増え注目が集まっていることの証明とも言えます。また、パスワードを設定していたとしてもパスワードを含む会議のURLを不必要に公開してしまった場合には、望まれていない参加者が乱入してくる可能性が生じます。

だから企業秘密の情報に関する会議をZoomでしてしまうと、

機密情報が流出してしまう可能性があるのです。

②脆弱性の問題

脆弱性があると、ハッキングされやすくなったり、ウイルスに感染しやすくなったりします。

Zoomについては2019年にも、Mac版クライアントでWebカメラやマイクがハッキングできる脆弱性などが公表されていますが、2020年に入り大きな注目を浴びた後にも複数の脆弱性が公表されています。中でも最も影響が大きい脆弱性として、Windows版クライアントにおけるUNCパス処理に関する脆弱性があります。この脆弱性により、攻撃者は細工したURLをZoomメッセージで送りつけて受信者にクリックさせることにより、Windowsの認証情報を盗んだり、任意のプログラムを実行させたりすることができます。

この問題に関しては、ZOOM側も対策しているそうなので、

バージョンアップしてから利用してください。

③フィッシング詐欺

ワンクリック詐欺などの種類があるフィッシング詐欺がZOOMでも、

発生しているようです。

サイバー犯罪者は、一般のインターネット利用者が注目する内容に便乗し、フィッシングなどのネット詐欺を仕掛けます。ビデオ会議ソフトなどを撒き餌にして利用者の関心を惹き、認証情報や個人情報の詐取やマルウェア拡散を目的とした不正サイトへ誘導する可能性があります。当然、これらの攻撃対象はZoomに限った話ではありません。ただしZoomに関してもサイバー犯罪者は便乗した攻撃を狙っているものと考えられます。例えば、2020年頭からこれまでに”zoom”の文字列を含む新ドメインは3300も確認されており、そのうちの7割近くが3月中に作成されたものである、との報道がありました。

①～③の引用元

安全なテレワークのために：「Zoom」のリスクとセキュリティを理解する

④中国にサーバーがある

カナダのトロント大学のインターネット研究機関シチズン・ラボ（Citizen Lab）の調査報告によると、ズームは、標準外の暗号化方式を使用しており、中国にデータを送信していると指摘した。

報告書によると、「北米での複数回のテスト通話では、会議の暗号化と復号化のキーが中国北京のサーバーに転送されているのが確認された」とした。

ズームは、米カリフォルニア州サンノゼに本社を置くが、中国の3つの支社で合計約700人の従業員がアプリの開発に携わっている。 

これが一番怖いですね....

暗号化と復号化のキーは中国のサーバーにあるので、

中国はZoomのデータを見ることができるとも捉えることができると思います。

引用元

ビデオ会議アプリ「ズーム」データを中国に送信　株主は集団提訴

なおこの問題はZoomが2020年4月18日に提供したアップデートにより、

利用地域にあったデータセンターを利用可能したことにより、

解決したようにも思えますが...

このようにまだまだZoomは多くの問題を抱えています。

これからアップデートなどで改善されていくと思うので、

Zoomなどのビデオ通話のアプリは常に最新の状態にしておく必要があります。

皆さんも、気をつけてください。