オンラインでプログラミングを習得した人の話を読む

Zoomの脆弱性やセキュリティに関する5つの問題 すぐにできる対策も解説

作成: 2020.04.08 更新: 2020.05.22

>>No.1エンジニア養成プログラム テックキャンプ

未経験から10週間でエンジニアへ!転職事例はこちら

コロナの感染拡大防止の影響で、Web会議やオンライン飲み会に最適なアプリ「Zoom」の利用者が急増しています。

映像や通話の品質が高く、無料で始められることから、利用している方も多いと思います。

しかし、そんなZoomの脆弱性やセキュリティリスクが発覚。

そこでこの記事では、Zoomの5つの問題点と、すぐにできる対策を解説します。

▶ 他のZoom関連の記事はこちら

Web会議アプリ「Zoom」にセキュリティリスク

出典元:Zoomミーティング – Zoom

利用者が急増しているWeb会議アプリ「Zoom」に、プライバシー問題などのセキュリティリスクがあることがわかりました。

リモートワークへの移行で利用者が増加したZoom

コロナの感染拡大を防ぐためにリモートワークで働く人が増えています。そのコロナ対策の影響を受けて、Zoomの利用者が増加。

Zoomの公式サイトには、3月には20ヶ国9万を超える学校が利用し、毎日2億人以上のユーザーが利用とあります。

Zoomは、無料プランでも3人以上と最長で40分間利用できる利便性、映像や音声の品質の高さ、充実した機能から世界的に人気の高いWeb会議アプリです。

コロナ対策として、2020年4月現在は上記の時間制限もなくなっているため利用している企業も多いと思います。

また、Web会議だけでなくオンライン飲み会を行うツールとしても人気です。そんな利用者が増えているZoomにセキュリティリスクがあることが判明しました。

後ほど5つの問題点について詳しく解説します。

Zoomの脆弱性についてIPA(情報処理推進機構)が注意喚起

Zoom Windowsクライアントの利用に対して、IPAが注意喚起を行いました。最新版の修正プログラムの適用を呼びかけています。

影響を受けるのは、バージョン4.6.9 (19253.0401)より前のものとあります。

悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする可能性があります。

引用元:Zoom の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

Zoomもセキュリティ向上に努めることを発表

Zoomは公式Webサイト上で、問題があることを認めてセキュリティ向上に努めることを発表しています。

4月1日からZoomの新規機能の開発をストップし、90日間セキュリティの強化に注力。

アップデートもコンスタントに行われているので、脆弱性やセキュリティリスクが解消される可能性は十分に考えられるでしょう。

Zoomが行った以下の対応についても詳しく記載されているので、セキュリティに不安を感じている方は下記のリンクからの確認をおすすめします。

  • Zoom爆弾への対処法
  • iOSクライアントでFacebook SDKを削除するための措置
  • プライバシーポリシーの更新
  • プラットフォームの暗号化に対する謝罪

A Message to Our Users – Zoom Blog

Zoomの脆弱性やセキュリティに対する5つの問題

Zoomの脆弱性やセキュリティに対する問題点について、以下で詳しく解説します。

エンドツーエンドの暗号化が行われていなかった

Zoomを使った通信はエンドツーエンドの暗号化によって保護されているはずでした。

エンドツーエンドの暗号化とは簡単にいうと、通信を行う人同士しか見られないようにすることです。

ただ、実際にはZoomの通信はエンドツーエンドではなく、サーバー上に保有するデータが復号可能な状態であることが発覚。

通信の暗号鍵はZoomが保有しており、保存されたデータを技術上はZoomが復号可能な状態だったのです。

この件はZoomも認めて謝罪を行い、システムの仕組みについて説明しています。

The Facts Around Zoom and Encryption for Meetings/Webinars – Zoom Blog

Zoom爆弾によるWeb会議への乱入

Zoom爆弾とは、関係のない人がZoomによるWeb会議へ乱入して荒らすこと。

暴言を発したり、スクリーンをジャックして露出行為を行なったりと、Web会議をしている人からすると迷惑でしかない行為です。

ホストがZoom爆弾を行っている人を追い出す方法がありますが、多くはその方法を知らずにWeb会議を中断せざるを得ないことも。

SNSなどでのWeb会議のシェアをやめ、パスワードを設定することでZoom爆弾による被害はある程度防げます。

ユーザーデータのFacebookへの無断送信

iOSアプリを利用すると、ユーザーが知らない間にFacebookにユーザーデータが送信されていた問題もありました。

この問題に対して、アメリカではユーザーがデータ保護法に反するとして集団起訴を起こす事態に。

Zoomはこれに対して「Facebookアカウントのログインを可能にするためにFacebook SDKを採用したことで、意図せずにユーザーデータを転送してしまっていた」と回答しています。

現在は、Facebook SDKの使用を中止。iOSアプリをアップデートすることで、この問題は解決できます。

Windows PCの情報を不正に取得される危険性

上述したように、Window版のZoomクライアントを使うことで、PCの情報を不正に取得される危険性があります。

チャット機能にUNC(Universal Naming Convention)パスの処理に関する脆弱性が確認されており、ハイパーリンクをクリックしてしまうと被害を受ける可能性があるのです。

UNCとは、Windowsネットワーク上で共有されている様々な資源(ファイルやフォルダ、プリンタなど)の位置を表記する標準的な記法。

引用元:UNC(Universal Naming Convention)とは – IT用語辞典 e-Words

これにより、認証情報が取られたり、ファイルを起動させられたりといったことが実例として起こっています。

この問題は、最新版の修正プログラムを適用することで対処が可能です。今後はアップデートでも対処できるようになるでしょう。

New Updates for Windows – Zoom Help Center

Macのマイクやカメラに不正アクセスされる脆弱性

ZoomのmacOS向けのアプリには、マイクやカメラに不正にアクセスされる危険のある脆弱性が確認されています。

開発者が外部のリソースにアクセスするために、macOSではプラグインに例外を設けることが可能です。

この例外を設けると、macOSによるPCをガードする機能から例外として扱われ、セキュリティのリスクを伴うのであまり使われることはありません。

しかし、Zoomはこの例外を設けているため、悪意のあるコードを紛れ込ませることができるのです。

それにより、別のアプリケーションをリンクさせて、第三者がマイクを盗聴したり、カメラから覗き見たりといったことができてしまいます。

自宅にいながら、プロのカウンセラーにキャリア相談!

テックキャンプ エンジニア転職は、未経験からのエンジニア・Webデザイナー転職を実現するスクールです。転職成功率は99.0%。※2019年8月末時点。学習完了後、当社の転職支援利用者の転職成功率

テックキャンプはオンラインで学習が可能です。「徹底したサポート」と「やりきらせる学習環境」をオンラインでも提供します。

キャリアに悩んだら、まずはビデオ通話で無料オンラインカウンセリング(キャリア相談)を受けてみませんか?あなただけのキャリアプランが作れます。

オンラインカウンセリングのやり方は簡単なので、ぜひご利用ください。

Zoomを使う時にできるセキュリティ対策は?

さまざまなセキュリティリスクが見つかっているZoom。

それでも、便利で品質が高いため、使わざるを得ないという人もいるでしょう。

以下で、使用リスクを下げられる対策について解説しますので参考にしてください。

ブラウザ版で参加する

Zoomのブラウザ版で会議に参加するのは効果的な対策です。

とてもシンプルですが、Windows・macOS・iOSのクライアントに関して見つかった問題点をクリアできるでしょう。

Zoomで会議に参加する時には、アプリのインストールを促されます。しかし、それを行わなくても、手順を踏むことでブラウザ版からWeb会議への参加が可能です。

詳しい手順については「Web会議アプリ「Zoom」の使い方をわかりやすく解説 「化粧なし」やバーチャル背景も」を参考にしてください。

Web会議にパスワードと待機室を設定する

ZoomでWeb会議を行う際に、ホストはパスワードと待機室の設定を行いましょう。

当然ですがパスワードを設定すれば、それを知らない人はアクセスができません。待機室は参加者を一旦待機させておく機能です。

待機室にいる参加者はホストが許可しないと入室ができません。

パスワードと待機室の設定を行うと、Zoom爆弾による被害を最小限にできるでしょう。

Zoomクライアントを最新の状態にアップデートする

Zoomクライアントを常に最新の状態にアップデートすると、セキュリティに関するリスクを下げられます。

セキュリティに問題があることをZoomも認めており、その改善に取り組んでいます。アップデートをしっかり行うことで、そのような改善が反映された状態での利用が可能になります。

Zoomに限ったことではありませんが、アップデートはこまめに行うことをおすすめします。

機密性の高い情報の共有は控える

決算情報・個人情報・事業計画書・マーケティングデータなど、機密性の高い情報はZoomでの共有を控えるのも対策の1つ。

万が一、ZoomでのWeb会議によって情報漏えいが発生しても、その被害を最小限に抑えられます。重要な情報は、よりセキュアな方法で共有するのがベストです。

Zoomの代替アプリの検討も必要

Web会議アプリはZoomだけではありません。不安が払拭できない場合や業務に支障が出る場合には、違うアプリやサービスの使用も検討しましょう。

MicrosoftのTeamsやGoogleのGoogle ハングアウトなど、Web会議に使えるアプリは豊富にあります。

この機会に、どのツールが最適なのか検討することをおすすめします。

読むだけでIT転職で有利になる!限定資料を無料で公開中

テックキャンプ エンジニア転職では、未経験からIT業界に挑戦するために押さえるべき6つのポイントをまとめています。

以下のような疑問はありませんか。資料で詳しく解説します。

・未経験OKの求人へ応募するのは危ない?
・いきなりフリーランスで自由に働くことはできる?
・IT業界転職における35歳限界説は本当なの?


読むだけで転職が有利になる限定資料をダウンロードしてみてください。

資料を無料でみる

この記事を書いた人

Kimura Hiroto
音楽・ITをはじめとするさまざまなジャンルのライティングを行っています。ITエンジニアの経験を生かし、テックキャンプ ブログでの執筆・編集を担当。好きな食べ物は豆腐。