世界的なコロナウイルスの大流行により、従業員の大半が在宅勤務をしています。このような時代において、企業は従業員の生産性とエンゲージメントを維持するため、Zoomのようなコラボレーションツールを使用しています。
3月だけで、Zoomの1日の使用量が5倍以上に増加しました。Zoomを使用することで、会社の従業員やクライアントが、必要なときにいつでも会議を開催でき、学校や学生がオンラインで教育を継続できるようになりました。しかしZoomの人気が急増するにつれ、攻撃者がZoomをハイジャックするなど、深刻なプライバシー侵害への懸念の声も上がるようになりました。
今回の記事では、下記トピックについて議論したいと思います。
・IT管理者が、Zoomのセキュリティ危機へどのように対応しているか
・Zoomを利用する際に注意すべき主な課題
・Zoomを安全に利用するためのベストプラクティス
IT管理者が、Zoomのセキュリティ危機へどのように対応しているか
3月には90%以上のアメリカ人がテレワークを余儀なくされ、仕事関連の会議でZoomへの依存度が高まりました。そのような状況下において、Zoomがエンドツーエンドの暗号化を使用していなかったことが指摘されました。先週Zoom社の創業者兼CEOのエリック・S・ユアン氏は、この問題について謝罪しました。またユーザへのメッセージの中で、セキュリティとプライバシーの欠点を認め、優先度を上げて問題修正に取り組むことを約束しました。「私たちは、コミュニティ、そして私たち自身のプライバシーとセキュリティの期待に応えられなかったことを認識しています。そのことについて深くお詫び申し上げます。」とユアン氏は書いており、Zoomは「主に企業のお客様、つまり完全なITサポートをもつ大規模組織向けに構築されました。」と説明しています。
彼は「Zoom社は、新規機能の実装を直ちに停止し、信頼性、安全性、およびプライバシーの問題に集中するために、すべての開発リソースを問題対処のために使用する」と付け加えました。
このような問題が有ったにもかかわらず、Zoomは最高の生産性向上ツールの1つであり続けています。ソフトウェアをダウンロードすることなく、どこからでも共有リンクを介して会議に参加できます。友人同士のプライベートな集まり、オンラインレッスンやスタッフのミーティングにも最適です。ガートナーは、マイクロソフトとシスコと同様に、Zoomを市場のリーダーとして位置づけています。
Zoomを利用する際に注意すべき主な課題
課題1.Zoom爆弾(Zoom bombings)
コロナウイルスの流行以来、かなりの数のZoom爆弾(会議を混乱させるため、部外者がビデオの会話をハイジャックする攻撃)が報告されました。ハイジャック犯は、憎悪に満ちたコメントや脅迫を広めている小学生から、人種差別的なコンテンツやポルノを広めている大人に至るまで、あらゆる層が犯人となっており、新しい種類のインターネット荒らしを生み出しています。IT管理者は、Zoom爆弾を警戒し、この攻撃を防ぐため
に厳格なポリシーを導入しなければなりません。
課題2.Windows資格情報流出
攻撃者は、WindowsのZoomクライアントのグループチャット機能を使用し、クリックしたユーザのWindows資格情報(訳者注:ログオン名やハッシュ化されたパスワード)を漏らすリンクを取得できます。この攻撃はZoomクライアントがWindowsネットワークのUNC(UniversalNamingConvention)パスをクリック可能なリンクに変換する機能を使用し、実行されます。誰かがそのリンクをクリックすると、Windowsはユーザの資格情報を意図せず共有します。この攻撃によるWindowsへの不正ログインを防ぐため、Windowsにて強力なパスワードポリシーを設定することが重要です。
課題3.プライバシー不足
BusinessInsiderによると、Zoomはユーザに通知することなく、Facebookを含む第三者にデータを渡していると非難されています。Viceは、iOS版のZoomアプリは、Facebookアカウントを持っていないユーザの分析結果をFacebookに送信し、ユーザのプライバシーを攻撃していると報じています。
課題4.通信品質低下
Zoomのパフォーマンス・通信品質は最高クラスです。しかし電波の届かない場所やWiFiの電波が弱い場所では、場合によっては通信品質が低下します。IT管理者はZoomが期待通りのパフォーマンスを発揮しているか、モニタリングする必要があります。しかしながらZoomのモニタリング方法はIT管理者にとって課題の1つです。
課題5.可用性の確保
従業員が単一のツールに依存している場合、単一ツールの障害が、業務に悪影響を及ぼす可能性があります。業務に悪影響が出ないよう、IT管理者はツールの通信障害やパフォーマンス障害を事前に検知し、もし検知した場合は従業員に代替ツールを案内する必要があります。
Zoomを安全に利用するためのベストプラクティス
IT管理者として、従業員が組織のセキュリティポリシーに従っているか確認することは大切です。以下のベストプラクティスは、Zoom爆弾やその他のセキュリティ上の課題から企業を保護するのに役立ちます。
- ログインポリシー:Google/OktaなどのSSOの使用を検討してください。
- パスワード保護:すべての会議をパスワードで保護してください。(パスワード保護をしない場合、誰でも会議に参加できるようになりますが、Zoom爆弾などのリスクが高まります)
- 待機室(WaitingRoom)を使用する:待機室を使用することで、会議の主催者は、参加者を参加させる前に各参加者をチェックできます。
- 常に最新のZoomクライアントを使用する:利用可能なアップデートがリリースされたら、すぐに最新のZoomクライアントをインストールしてください。攻撃者はツールを攻撃する傾向があり、ZoomにおいてもZoomクライアントが攻撃の対象となりがちです。なお最新のZoomでは、会議のパスワード保護機能がデフォルトで有効になっています。
- 会議IDを共有しない:従業員には会議IDや会議のリンクを公共の場に晒さないように警告しましょう。英国のボリス・ジョンソン首相は、彼のTwitterアカウントを介して全世界に閣僚会議の会議IDを表示し、このリスクを世界に対して示しました。
- 会議のロック:参加予定者全員が会議に参加したら、攻撃者が会議に参加できないよう、会議をロックしましょう。
- Zoomをモニタリング:たとえば、下記の項目をモニタリンクします。
・会議作成回数が多いホスト
・各会議の参加人数
・参加者の最近の活動状況
・常に使用されているミーティングID
・頻繁に会議へ参加している組織外参加者
・国外からの参加者
・ユーザプロファイル変更後のユーザアクティビティ
・異常なふるまい - その他注意事項:
・ホストより前に参加する(Join before host)を無効にしましょう。
・参加者の画面共有を無効にして、会議の乗っ取りのリスクを最小限に抑えましょう。
・過去1カ月間に活動していないZoomアカウントを確認しましょう。
・WindowsのUNCパス共有を監視しましょう。
・IT管理者の異常な動作や新規ユーザ、削除されたユーザを監視しましょう。
・個人のミーティングID使用を止めましょう。
・Zoomの管理者設定を知り、自社のセキュリティポリシーを満たしているかどうか確認しましょう。
こちらのブログは、Top 5 security challenges with Zoom video conferencingを翻訳したブログとなります。翻訳はSumo Logic Japanが担当しました。
Complete visibility for DevSecOps
Reduce downtime and move from reactive to proactive monitoring.