「研究発表の画面に男女の絡みが...」世界から狙われる“Zoom爆撃”から身を守る3つのコツ

新型コロナウイルスの蔓延で、一気に普及が進んでいるのがテレビ会議システムの「Zoom」だ。

【画像】こんなZoomの使い方が危ない！

昨年12月には1日当たり約1000万人だった利用者が、今年3月には1日約2億人にまで急増。リモートワークが一気に進んだ企業だけでなく、休校で遠隔授業をはじめた教育機関でも小学校から大学まで利用が進み、さらにはプライベートでも「Zoom飲み」と呼ばれるオンライン飲み会まで催されている。

その普及の陰で、不安視されているのが「Zoom爆撃」と呼ばれる会議の“乗っ取り行為”などセキュリティの問題だ。

「Zoom爆撃」は世界中で被害が発生している。被害の様子を報じる米テレビ局「CBS miami」（4月2日）

「子どもたちの授業じゃなくてよかった」

「私が発表を始めて数分たったときのことでした。突然画面に男性器の落書きが大写しになって、そのうちに裸の男女が絡み合っている短いポルノ映像がループして流れ始めた。音声こそありませんでしたが、『これがあのZoom爆撃か！』と思いました」

そう語るのは、都内国公立大学の男性教授（50代）だ。男性は4月下旬、オンライン上で開かれた60人規模の研究会に登壇した際、Zoom爆撃の被害を体験したという。

「主催者がすぐにZoomを閉じて、新しく場所を設定し直したので、実際に流れていたのは1分ほど。私はいい大人なので『うっとうしいな』で済みますが、参加していた人には申し訳ない。子どもたちの授業でなくて本当によかったです」

SNSを覗いても、トラブルが続いている様子がうかがえる。

〈昨日Zoomで講義聞いてたんだけど、Zoom爆撃くらってアダルト動画が流れるわ音声で荒らされるわ散々だった……〉

〈予定しておりましたオンライン集会ですが、別件で「Zoom爆撃」を受けている経緯から、安全のために開催見送りとさせて頂きます〉

影響は当然ながら日本だけではなく、アメリカではFBIのボストン支局が3月30日、「Zoomの画面がジャックされてポルノやヘイト画像が流されたという通報が急増している」と市民に注意を呼び掛けたほか、4月10日にはシンガポールでもセキュリティの問題から教育省が教員のZoom使用停止を指示するなど、影響が広がっている。

どうして「爆撃」は起こるのか

どうしてこうしたトラブルが起きているのか。ITジャーナリストの西田宗千佳氏が解説する。

「類似したサービスはSkypeやMicrosoft Teamsなどいくつもありますが、Zoomが普及したのは最も簡単に使えたから。これまでのサービスはアカウントを作成し、アプリをダウンロードして、さらに取得したIDを相手に伝えて……と煩雑でした。ところが、Zoomは主催者が『会議室』を設定してしまえば、参加者は送られてくるURLをクリックするだけでオンラインのビデオ会議ができる。アプリもありますが、PCからはウェブブラウザだけでも使える。初めて使う人でもクリックひとつですから、始めやすかったのです。

ただ、簡単に使える分、セキュリティも低く設定されていた。『会議室』の場所を示すIDが簡単な数字の羅列で類推されやすかった上に、当初はわざわざパスワードを設定しなくても会議が開けてしまうシステムだったのです」

その“穴”が、世界中の悪意のあるユーザーに狙われたという。

「URLを知らない人が当てずっぽうに試しているうちに『会議室』に入れる状況にもかかわらず、パスワードを設定しなくても会議を行える仕組みだった。この2つが『Zoom爆撃』の大きな要因でした」（西田氏）

Zoomを運営するのは、2011年創業のアメリカのベンチャー企業、Zoomビデオコミュニケーションズ。広がる被害に同社は対応を急ぎ、この春にはパスワードが最初から設定されるようになった。さらに、アクセスした参加者がまず「待機室」に入れられ、そこで主催者から承認されないと「会議室」に入れてもらえない方式が導入されている。それでも被害が一部で続いているのには、ユーザーの行動にも原因があるという。

「ユーザーのなかに、『会議室』のURLやパスワードをTwitterなどのSNSに書き込んでいる人がいるのです。これでは世界中に『爆撃』してくれと晒しているようなもので、設定である程度は対処できるとはいえ不用心。多人数に告知が必要な場合も、『URLやパスワードはSNSにアップしない』、そして基本の『パスワードを設定する』、『待機室を設定してアクセスしてきた人をちゃんと確認する』という3つを徹底するだけで、ほとんど『爆撃』は避けられるはずです」（西田氏）

爆撃以外のセキュリティ問題も

Zoomでは、「爆撃」以外のセキュリティの問題も報じられている。ITジャーナリストの三上洋氏が解説する。

「『爆撃』だけでなく、データの暗号化も説明とは異なり不十分だったことが判明。ユーザーに説明なくFacebookに情報を送っていた問題も見つかりました。また、サーバーの一部が中国にあったことで、利用者のデータが中国政府の監視下におかれてしまうのではないか、という疑惑も持たれた。トラブルが相次いだため、国や大手企業の中にはZoomの使用を禁止して別のサービスに移るところも出てきています」

これらの指摘に対しては、Zoom社の対策も打たれているが、急成長しているサービスだけに世界中のセキュリティ専門家もこぞって脆弱性を探している状態だという。

「Zoom社も4月1日には今後90日間、機能追加などほかの計画をいったん凍結し、セキュリティ対策に集中すると宣言し、外部からも人を入れて対策を尽くしている。さらに“バグバウンティ”といって、バグを見つけた人に報奨金を出すようにもなりました。いわば社の内外で、全力で“穴”を探して埋めている状態です。週に複数回のアップデートが行われ、急速にセキュリティレベルが向上しています」（三上氏）

一方で、日本ハッカー協会代表理事の杉浦隆幸氏は次のように指摘する。

「山積する課題に全力を挙げて対応している現状を考えると、セキュリティの専門家としては『本格導入はちょっと待ったほうがいい』と言わざるを得ません。いまはまさに、サービスが成熟していく過程なのですから。

とはいえ、それでは仕事にならない人もいる。その場合は、スマートフォンのブラウザやアプリから利用するのはどうでしょうか。スマホは設計が新しく強固なセキュリティ機能を持っているので、より安全に使うことができます」

Zoom社の回答は…

セキュリティ問題についてZoom社に質問したところ、下記のような回答があった。

「セキュリティやプライバシーについて、ご心配おかけして大変申し訳ないと感じております。安全性の問題のご指摘に対して真摯に受け止めており、社員一丸となって対応させていただいております」

さらに、「Zoom爆撃」などの問題については、次のように説明した。

「ZoomはIT担当者のいる企業でご利用をいただくことを主眼に、管理者が適切なセキュリティ設定をすることを前提に製品を開発しておりました。最近は、学校や個人が無料でお使いいただくケースが爆発的に増えたことにより様々問題に対応する必要があると痛感しております。

無料版や個人向けの有料サービスでは、パスワードや待機室機能を初期設定で有効にする変更やセキュリティ関係の機能を集めたセキュリティアイコンを作成し、ユーザーがより正しくセキュリティ機能を使えるようにクライアントの改善を行いました。また、ブログや弊社Webサイトを通じ、安全にご利用いただくための情報をユーザーの皆様にご案内しております」

ユーザーもしっかりと注意を払って、最新技術を活用したい。

2020-04-26 20:29:24