新型感染症の影響により、リモートワークの導入を進める企業は増加傾向にあります。従業員が出社せずに働くリモートワークに必須のツールのひとつが、Web会議システムです。
社内の打ち合わせや取引先と遠隔でもコミュニケーションを取るために「Zoom」を導入している企業や今後導入を検討している企業も多いと思います。
しかし、2020年春にZoomの利用者が増加すると同時に、パスワードが盗難されるおそれやミーティングに第三者が勝手に乱入し迷惑行為をする「Zoom爆弾」などのトラブルが発生するなどの、セキュリティ問題が発生。Zoomは利用者の個人情報を守るための暗号化システムの改善などの対策を行いました。
そのため、「Zoomを利用してWeb会議を行っても平気なの?」と、不安を感じている企業担当者も多いと思います。
そこで、本記事では以下の内容についてお伝えします。
- 2020年春に発生したZoomのセキュリティトラブルの内容
- Zoomを安心して使うための対処法
安心してWeb会議を行うためのヒントになると思いますので、ぜひ最後までご一読ください。
2020年春に発生したZoomのセキュリティトラブル
冒頭でお伝えした通り、2020年の春にテレワークを導入した企業の増加に伴い、Zoomの利用者も増加し、セキュリティトラブルが多発しました。
ここでは、具体的にどのようなトラブルが発生したのかをお伝えします。
1.暗号化システムの脆弱性
はじめに、暗号化システムの脆弱性についてです。
以前までZoomは「エンドツーエンド」と呼ばれる暗号化システムを採用していると公表していましたが、実際に使われているシステムが異なっていたことが判明しました。
公表していたものとは違う暗号化システムを利用していたことで、通信内容を暗号化するための鍵をZoomが保持している状態となり、情報を入手してしまえる状況だったのです。
2020年5月に、「AES-256 GCM」と呼ばれる暗号化システムを設定できるよう改善された最新バージョンが更新されました。
2.同意なくユーザー情報をFacebookに送信
iOSからZoomを利用していた場合、同意なくFacebookにユーザー情報が送信されていた可能性があるというトラブルも発生しました。Zoomでは、Facebookアカウントでログインできるシステムを搭載しており、このログインシステムが、利用者のZoomの使用デバイスや通信会社名を抽出していました。
このトラブルを受け、Zoom公式ブログにてシステムの再構築を行い、セキュリティ問題を解決した上で引き続きFacebookログインができるよう改善したことを発表。現在は、既にユーザー情報を抽出しないようアップデートが実施されたため、Facebookログインを行っても不要なユーザー情報は抽出されません。
3.Windowsパスワードを盗難されるおそれ
WindowsからZoomを使用しているユーザーが、Windowsのパスワード情報などを盗難されていたおそれがあることも判明しています。Zoomで利用できるチャットで不正なURLを送り、クリックするとパスワード情報が盗難できる不正悪質なサイトにログインさせるという手段でした。
このトラブルが判明後、即座にプログラムの修正対応が行われました。
4.通信が中国を経由していた
次に、ユーザーがZoomを使用した際の通信情報が中国を経由していたトラブルです。通常zoomを繋ぐ際、日本で接続する場合は日本のサーバーを経由し、アメリカにいればアメリカのサーバーを経由することが一般的です。しかし、日本の通信情報が中国を経由していたことにより、中国当局に通信情報が閲覧されるおそれがあることが指摘されています。
この件についてZoom公式ブログにて、通信設定の人為的ミスと説明。現在は、有料プランの場合、データセンターを指定できるよう改善されました。無料プランの場合は、自分の現在地から1番近いデータセンターを使用するよう設定されています。
5.迷惑行為「Zoom爆弾」の発生
2020年3月にアメリカで、Zoomでオンライン授業を行っていた際、第三者が介入し、教師の住所や暴言を吐くという事件が発生。第三者が勝手にZoomに参加し、迷惑行為を行うことから「Zoom爆弾」と呼ばれました。
このような迷惑行為は、第三者が介入しないようパスワード設定を行ったり、URLをSNSなど誰でも見られる場所に掲載したりしないよう徹底することで未然に防げます。
参考:招待していないゲストを Zoomイベントから遠ざける方法 (翻訳版)
Zoomを安心安全に利用する方法
2020年春に発生したセキュリティトラブルが再発しないよう、Zoomも改善策を実施しています。しかし、利用者側でもセキュリティについて理解し、事前に対策を行っておくことが大切です。
ここでは、Zoomを安心安全に利用するために、利用者側でできる対策を紹介します。ミーティング前とミーティング中の設定をそれぞれ紹介するため、よくチェックしておきましょう。
ミーティング前の設定
Zoomでミーティングを実施する前には、以下のポイントを押さえておきましょう。
- 最新版のZoomをインストールする
- Zoom使用時のWi-Fi環境に気をつける
- URL・ID・パスワードの管理を徹底する
- 「待機室」機能を活用する
- 「ドメインで参加」機能を活用する
それぞれのポイントについてくわしく解説します。
1.最新版のZoomをインストールする
まず、Zoomを使用する際は、必ず最新版をインストールした状態で使用しましょう。旧バージョンの場合、以前発生したトラブルに対応していないため、最新版へのアップデートは必須です。
最新版のZoomにアップデートされているか確認する方法は、次の通りです。
Zoomデスクトップクライアント(PC、Macの場合)
- サインインする
- 画面右上のアイコンマークを選択
- アップデートを確認を選択
- 最新版がインストールされているか表示されます
また、iOSやAndroidのモバイルアプリを使用している場合は、最新版が配信されると通知が届きます。忘れないうちに、必ずアップデートしておきましょう。
2.Zoom使用時のWi-Fi環境に気をつける
次に、ZoomでWeb会議を行う際のWi-Fi環境にも注意が必要です。特に、カフェなどで使用できるフリーWi-Fiは誰でも無料で使える分、第三者が情報を盗むために使用しているおそれがあるからです。
また、パスワード付きのフリーWi-Fiでも、店内の共通パスワードなら誰でも使えてしまいます。フリーWi-Fiを利用してZoomでWeb会議を行う場合は、第三者に情報が盗られるリスクを抑えるVPNサービスを利用することをおすすめします。
3.URL・ID・パスワードの管理を徹底する
「Zoom爆弾」のようなトラブルを未然に防ぐために、Web会議のURL、また利用者自身のIDとパスワードの管理も徹底しましょう。万が一、TwitterなどのSNSにURLなどがばらまかれてしまうと、Zoom爆弾の発生、個人情報流出など、トラブルの原因となります。
トラブルを未然に防ぐためにも、
- URLはSNSなど誰でも見られる場所に公開しない
- ID、パスワードは定期的に変える
などの管理を行ってください。
4.「待機室」機能を活用する
実際にZoomでWeb会議を行う際に、ぜひ活用してほしい機能が「待機室機能」です。待機室機能を使うと、主催者が以下のように参加者の入室を調整できるようになります。
- 参加者をひとりずつチェックする
- 参加者が全員揃ってからWeb会議を開始する
このように主催者がしっかりと参加者のチェックを行えるの、第三者の不正参加を未然に防ぎやすいです。
5.「ドメインで参加」機能を活用する
Web会議に参加するユーザーのメールアドレスやドメインがあらかじめ把握できている場合は、認証されたユーザーだけがミーティングに参加できるよう設定しましょう。管理者側でこの設定をしておくと、指定したドメインのメールアドレスでZoomにサインインしたユーザー以外はWeb会議に参加できないよう制限できます。
例えば会社のメールアドレスのドメインに参加者を制限しておけば、万が一Web会議のURLが流出したとしても、外部のユーザーは会議に侵入できません。
ドメインの指定以外に、承認済みリストに参加者のメールアドレスを登録する方法もあります。さらに制限する人を絞りたいときには、「メールアドレスで参加」機能を活用してください。
ただし、サインインのためのメールアドレスとパスワードが流出してしまった場合はドメイン指定をしても不正アクセスを防げません。そのため、ドメインやメールアドレスで制限していても、IDやパスワードの管理は徹底するようにしてください。
ミーティング中の設定
ミーティング開始後のセキュリティ対策として、次の2つが挙げられます。
- ミーティングをロック
- レコーディングを管理
上記2つの対策について、詳しくみていきましょう。
ミーティングをロック
ミーティングをロックしたあとは、新たにミーティングに入室することはできません。ミーティングを開始して参加者がそろった段階でミーティングをロックすれば、意図しない参加者が入室してくることを防げます。
この機能を利用するときは、ミーティングをロックする前に正式な参加者以外が紛れ込んでいないか確認することが大切です。すでに会議に参加しては行けない人が入室してしまえば、意味がなくなります。
また、全員が参加する前にロックしてしまうと正式な参加者も参加できなくなってしまうため、この点にも注意してください。
ミーティングのロックは「意図しないユーザーを排除する」という機能ではないため、正しい参加者が全員参加していることと、不正なユーザーが入り込んでいないことをしっかり確認してからロックしましょう。
レコーディングを管理
会議後に見返したり、参加できなかった人に共有したりするために、Web会議を録画する機能が便利です。しかし、レコーディングデータをクラウド上に保存する場合は、データに対する不正アクセスにも注意しなければなりません。
基本的に、クラウドに保存されたZoomのレコーディングデータは、ミーティングのホストとアカウントの管理者しかアクセスできません。ホストとアカウント管理者以外に共有したい場合は、ミーティングのホストがレコーディングデータに対して、アクセス権を付与します。
アクセス権付与のほか、ダウンロードの可否、パスワード保護なども可能です。
ただし、セキュリティの観点からは、アクセス権を付与するユーザーは最小限にし、ダウンロードは無効とするなどの対策を推奨します。
テレワークに必要なセキュリティ対策
テレワークを導入するにあたり重要なセキュリティ対策について、関連記事「テレワークにはセキュリティ対策が必須!とるべき7つの施策とツールを解説」でも詳しく解説しています。ぜひ、合わせてご覧ください。
まとめ|セキュリティ対策を整えて会議をしよう
2020年春に起こったセキュリティトラブル以降、Zoomは各トラブルの再発防止に努め、セキュリティ対策を行っています。けれども、また新しいトラブルが発生するおそれもあるので自分自身でセキュリティ対策を行っておくことも大切です。
ここで、利用者側で注意すべきポイントをあらためて確認しておきましょう。
【ミーティング前の注意点】
- 最新版のZoomをインストールする
- Zoom使用時のWi-Fi環境に気をつける
- URL・ID・パスワードの管理を徹底する
- 「待機室」機能を活用する
- 「ドメインで参加」機能を活用する
【ミーティング中の注意点】
- ミーティングをロック
- レコーディングを管理
