テレワークを安全に:「Zoom」のリスクとセキュリティを理解する-セキュリティブログ

新型コロナウイルス(COVID-19)の世界的な流行は、在宅勤務者、つまりテレワーカーの急激な増加という状況を生み出しています。同時に、テレワークを支えるビデオ会議アプリにも注目が集まっており、中でも「Zoom」は利用者が2億人を突破するなど急激な普及が報じられています。
このように大きな注目を浴びたソフトやサービスには、便乗した攻撃を狙うサイバー犯罪者の注目も集まるため、様々な角度からセキュリティリスクが増大する傾向が見られます。今回は明らかになったZoomのセキュリティリスクと共に、対策の心がけについてまとめます。

図1:「Zoom」の認証情報を狙うフィッシングサイトの画面例

■リスク1:「Zoom Bombing」

Zoomに便乗する攻撃として、Zoomのインストーラとコインマイナーをバンドルするサイバー犯罪者の動きは以前からありましたが、現在メディアで最も大きく取り上げられているリスクは「Zoom Bombing(ズーム爆弾、ズーム爆撃)」と呼ばれる迷惑行為でしょう。これはZoom会議に招かれていない第三者が勝手に会議に参加し、不適切な画像や動画を画面共有するなどの方法で、会議全体に対して嫌がらせをする迷惑行為の総称です。
開催者が会議に対してパスワードを設定していない場合、ミーティングIDさえわかれば誰でも会議に参加できる仕様の危険性は、Zoomに限らず以前から指摘されていました。(これはTeamsでも同じかと思います。)
つまり、この迷惑行為自体は以前から可能であったはずであり、最近の顕著化はまさにZoomの利用者が増え注目が集まっていることの証明とも言えます。
また、パスワードを設定していたとしてもパスワードを含む会議のURLを不必要に公開してしまった場合には、望まれていない参加者が乱入してくる可能性が生じます。そして同様の方法で会議に参加した悪意の第三者は、ズーム爆撃のような単なる嫌がらせ行為だけではなく、潜伏してZoom会議の内容を盗み聞きして情報漏えいさせる、参考資料などに偽装したマルウェアを他の参加者に送付する、などより悪質な行為も可能となるのです。

■リスク2:脆弱性

Zoomについては2019年にも、Mac版クライアントでWebカメラやマイクがハッキングできる脆弱性などが公表されていますが、2020年に入り大きな注目を浴びた後にも複数の脆弱性が公表されています。中でも最も影響が大きい脆弱性として、Windows版クライアントにおけるUNCパス処理に関する脆弱性があります。この脆弱性により、攻撃者は細工したURLをZoomメッセージで送りつけて受信者にクリックさせることにより、Windowsの認証情報を盗んだり、任意のプログラムを実行させたりすることができます。また、Mac版クライアントでもローカルでの権限昇格などの脆弱性が指摘されました。Zoomは既にこれらの脆弱性に対処した最新バージョンを公開しているため、利用者にはバージョンアップが強く推奨されます。

■リスク3:フィッシング

サイバー犯罪者は、一般のインターネット利用者が注目する内容に便乗し、フィッシングなどのネット詐欺を仕掛けます。ビデオ会議ソフトなどを撒き餌にして利用者の関心を惹き、認証情報や個人情報の詐取やマルウェア拡散を目的とした不正サイトへ誘導する可能性があります。当然、これらの攻撃対象はZoomに限った話ではありません。ただし、Zoomに関してもサイバー犯罪者は便乗した攻撃を狙っているものと考えられます。
例えば、2020年頭からこれまでに”zoom”の文字列を含む新ドメインは3300も確認されており、そのうちの7割近くが3月中に作成されたものである、との報道がありました。もちろん、これらの新ドメインすべてが不正な目的で作成されたものとは言えませんが、このような注目された話題に対しサイバー犯罪者が便乗する傾向は、これまでにも見られてきたことです。また、パスワードを含むZoomアカウント情報が、ダークウェブ上で2000件以上公開されていた、との報道もありました。このような傾向からZoomの利用者は、サイバー犯罪者がZoomの認証情報や会議の情報を狙い始めていることを認識し、情シスとしても注意していく必要があります。

■被害に遭わないためには

Zoomの利用者は上記のリスクを避けるために以下の心がけを忘れないように実践することが求められます。

  • 常に最新バージョンのZoomを使用する:
    脆弱性のアップデートを含め、最新版のZoomでは様々なセキュリティ向上が行われています。また最新版入手の際には、常にZoomの公式サイトから入手しましょう。
  • Zoom会議のURLをよく確認し、安易にクリックしない:
    サイバー犯罪者は正規に似せたドメインを利用し、偽のZoom会議URLを送ってくる可能性もあります。クリックする前に正規のものかどうかを再確認するようにしましょう。
  • フィッシングなど、最新の攻撃手口を知り、騙されないよう注意する:
    Zoomだけではありませんが、詐欺の手口を知っておくことで、自分が直面した際に被害を回避することに繋がります。

特に法人利用においては、Zoom会議をよりセキュアなものにするために、以下の設定について再確認が必要です。

  • 会議には必ずパスワードを設定し、URLやパスワードは適切な参加者のみに教える:
    会議にパスワードが設定されていない場合、ミーティングIDがわかれば誰でも会議に参加できてしまいます。最新版のZoomではパスワード設定がデフォルトとなっています。
    また、パスワードを設定していたとしても、URLやパスワード自体がわかれば結果は同様です。Zoom爆弾などのリスクを避けるためにも、メールではURLをやり取りしないなど、これらの情報は参加者以外に広めないように心がけましょう。
  • 画面共有を「ホストのみ」に設定する:
    画面共有の設定を「ホストのみ」にしておくことで、招かれざる参加者が勝手に画面共有することを防ぐことができます。
    もし、他の参加者に共有してもらうことが必要な場合には、「他の人が共有している場合に共有を開始できるのは誰ですか?」の設定が「ホストのみ」となっているか確認してください。

図2:「高度な共有オプション」の設定画面例

 

また、状況によっては以下の運用も考慮してください。

  • ミーティングIDを毎回自動的に生成する
  • 「ファイル転送」を無効にする
  • 参加者が会議に出入りしたときに音を鳴らし、気づけるようにする
  • 「待機室」の機能を使い、承認したユーザーのみが参加できるようにする
  • Zoomにログインしている認証されたユーザーのみが参加できる設定する
  • 参加予定者が集まり会議が開始したらロックし、想定外の参加者が入れないようにする

新型コロナウィルス(COVID-19)の蔓延を防ぐにはテレワークは欠かせないツールですが、それが原因で被害にあっては元も子もなくなってしまいます。
やみくもに「安全じゃないから使わない」ではなく、その理由を理解し、正しく使っていれば、なにも問題はないのです。


本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/24590

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  1. 【知っトクスキル】もらってうれしいRFP ~第1章~

  2. 夏休みなどの長期休暇と情報セキュリティ-IPA

  3. 「Change or Back!?」あなたの会社のテレワークは?

  4. 松田軽太の「一人情シスのすゝめ」#10:業務システムの内製化とその責任

  5. サーバーの構築者・管理者等向け「TLS暗号設定ガイドライン」公開-IPA

  6. 「新しい生活様式」における働き方 ~富士通「Work Life Shift」に学ぶ~

  7. シリーズ【SSL可視化とセキュリティ】1)可視化が求められる背景

  8. 松田軽太の「一人情シスのすゝめ」#9:kintoneがExcelライクに使える「krew」がスゴイ理由

  9. ”アフターコロナ”の世界を情シス的に考える

  10. SOFTCREATE:テレワーク導入検討の専門チャンネル「テレワーク チャンネル」開設

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. もはや当たり前になりすぎていて、「いまさら聞けない」ことを解説する本シリーズ。今回は、今の生活に欠か…
  2. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  3. 個人情報の取り扱いには要注意。国内では個人情報保護法、欧州ではGDPRと個人情報を取り巻く情勢は大き…
  4. あなたの会社のホームページ(HP)はGDPRの対応がお済ですか? なんとなく気になっていてもアクショ…
  5. Windows 7サポート終了でWindows 10に切り替わるこの時期、アプリケーションや端末利用…
ページ上部へ戻る