「Zoomのセキュリティには問題がある」みたいな話をよく聞きますけど、具体的にどんなリスクがあるのかはよく分からない人も多いと思います。
「ID・パスワードを抜かれたりするの?」
「会議の内容を盗聴されるとか?」
「Zoom爆弾食らうとどうなるの?」
「端末がウイルスに侵されたりしない?」
などなど色んな疑問があると思います。
そこで今回は、Zoomには具体的にどんなセキュリティリスクがあるのかを紹介した上で、自分でできるセキュリティ対策を解説しようと思います。
Zoomのセキュリティリスク5選
最近何かとZoomのセキュリティの問題が指摘されていますが、主なセキュリティリスクは以下の5つです。
アカウント情報の流出
1つ目はZoomアカウントのユーザー名やパスワードが流出するリスクです。これはあらゆるサービスに共通するリスクですが、Zoomの場合は特に警戒すべきリスクだと思います。というのも、つい先日流出事件があったからです。
Zoomアカウント情報がダークウェブに
2020年4月に「50万件以上のZoomアカウント情報が流出してダークウェブで違法に売買されている」ニュースがありました。SNSとかでも結構話題になったので、知ってる人も多いと思います。
Zoom側は「Zoomのセキュリティは破られていない。データ流出があったのは他のサービスで、Zoomでも同じアカウント情報を使用していた人がいたため、二次災害的にZoomのアカウント情報やミーティングのURL・ホストキーなどが流出した」と発表しているみたいですが、真偽の程は定かではありません。こればっかりは私達には確認しようがないですからね。
悪い人もZoomに集まっている
1つ確かなのは、人が集まるところには悪い人も集まるということです。中国発の新型コロナの影響で急激にZoom利用者が増えたため、当然ハッカーもZoomを狙っています。
Zoom側もセキュリティを強化していますが、結局はイタチごっこですからね。ハッキングを完全に防ぐことは不可能です。
なので、常にアカウント情報が流出する可能性がある前提でセキュリティ対策する必要があると思います。具体的な対策は後述します。
ミーティング情報の流出
2つ目はミーティングの内容が流出してしまうリスクです。Zoomは当初、ミーティングはエンドツーエンドで暗号化されているため安全だと言っていました。しかし、2020年3月末、Zoomミーティングは厳密にはエンドツーエンドで暗号化されていないことが判明したんです。
エンドツーエンド暗号化(E2EE)ではない
エンドツーエンドの暗号化とは、当事者以外は解けない暗号化のことです。暗号を解読するのに必要な鍵を持っているのは当事者だけで、直接データをやり取りしている当事者以外はデータにアクセスできない仕組みです。
しかし、Zoomのミーティングは厳密にはエンドツーエンドで暗号化されていないことが発覚しました。というのも、暗号化の鍵がZoomの鍵管理サーバーで管理されていたからです。要するにZoom社員ならミーティングの暗号を解読して会議の内容にアクセスできてしまうって話です。もちろん、実際にZoomの社員が勝手に暗号を解読したという話はありませんが、「解読できる」ってだけで少し怖いですよね。
鍵管理サーバーが中国にある
さらに問題なのは、Zoomの鍵管理サーバーのいくつかが中国に設置されているということです。つまり、暗号鍵が中国の鍵管理サーバーで管理されている場合があるということです。
中国では簡単に政府当局が情報開示できてしまうため、Zoom会議の鍵情報が中国政府に知られる恐れがあります。
現在はエンドツーエンドになりつつある?
2020年3月末にこの問題が発覚してから、Zoomもただ手をこまねいていたわけではありません。
まず5月7日、Zoomはエンドツーエンド暗号化技術に長けた「Keybase」というアメリカの企業を買収しました。
そして6月17日、全てのユーザーにエンドツーエンドの暗号化を提供することを発表しました。当初は有料アカウントのユーザーだけに提供すると言ってたんですけど、セキュリティの専門家たちにめちゃくちゃ避難されて大炎上しました。それで無料アカウントのユーザーにも提供されることになったんです。
7月にβ版でエンドツーエンド暗号化が設定できるようになり、問題がなければアプリに実装される予定です。待ち遠しいですね。
端末情報の流出
3つ目はZoomを使用している端末の情報が流出してしまうリスクです。
これは今は解決済みの問題なんですけど、少し前までiOS版Zoomアプリを開くと、端末の名前や通信会社名などがFacebookに勝手に送信される仕様になっていました。これはFacebookアカウントでログインしている人だけでなく、Facebookアカウントを持ってすらいない人の端末情報までFacebookに無断送信されていたんです。
この問題は2020年3月末に修正されているので、現在はもう心配ありません。でもこういう問題があると恐いですよね。
ウイルス感染
4つ目はZoomを使っている端末がウイルスに侵されるリスクです。これは悪意を持った第三者がミーティングに参加した場合に起こりうるリスクです。チャットで有害なファイルを送信して、開くと端末がウイルスに感染してしまうという話です。
ただ、iPhone版のZoomアプリでは、チャットでファイルの送受信ができないので、これはあまり心配ないと思います。
Zoom爆弾
5つ目はZoom爆弾です。これはセキリティリスクというより単なる「荒らし行為」ですね。
Zoomミーティングに、招待していない第三者が参加してきて、卑猥な画像・映像を画面共有したり、差別用語を書き込まれたなどの被害がSNS上で多数報告されています。
Zoom爆弾はあくまでミーティングのセキュリティホールをついた荒らし行為なので、Zoom爆弾を食らったからと言って、スマホやPCがウイルスに侵されたり、個人情報を抜き取られる心配は基本的にありません。
自分でできるZoomのセキュリティ対策5選
Zoomにはいくつかセキュリティリスクがありますが、そのほとんどは自助努力で回避できます。自分でできるセキュリティ対策を5つ紹介します。
Zoomアプリを最新版にアップデートする
Zoomのセキュリティは日に日に強化されていますが、アプリのバージョンが古いままだとセキュリティ強化が反映されません。なので、アプリは常に最新版にアップデートしておきましょう。
ちなみに、現在はセキュリティ上の理由から、バージョン5.0未満のZoomアプリではミーティングに参加できなくなっています。
余談ですが、アプリのバージョンが古いと、ミーティングの動作が重くなって他の参加者に迷惑をかけることがあります。注意してくださいね。
他サービスとアカウント情報を変える
Zoomがどんなにセキュリティを強化しても絶対安全とは言い切れません。なので、最悪アカウント情報が流出した場合に備えた対策も必要です。
最も効果的で簡単な対策は、アカウント情報を他のサービスと違うものにすることです。そうすれば、仮にZoomのアカウント情報が流出したとしても、被害はZoomだけで済みます。
もし他のサービスと同じメールアドレス・パスワードをZoomに登録していた場合、Zoomだけでなく他のサービスまで乗っ取られてしまいます。
そういったリスクを避けるためにも、サービスごとにメールアドレス・パスワードは変えるようにしましょう。最低でもパスワードだけは変えましょう。
ミーティングIDとパスワードを毎回変える
毎回同じミーティングID・パスワードを使っていると、一度ミーティングに侵入されたら常習的に荒らされることになります。
なので、自分でミーティングを開催する際は、毎回IDとパスワードをランダムに変更しましょう。
やり方は簡単です。Zoomアプリを起動して、ホーム画面の左上にある「新規ミーティング」をタップしてください。
すると以下のような画面になります。「個人ミーティングID(PMI)の使用」のスイッチをオフにしてから「ミーティングの開始」をタップしてください。
これでIDとパスワードがランダムに自動生成されます。
どうしても個人ミーティングIDで開催したい場合は、定期的に個人ミーティングIDを変更することをおすすめします。ミーティングIDの設定・変更に関しては以下の記事で詳しく解説しています。
待機室を有効化する
Zoomには待機室という機能があります。これはミーティングルームに入る前の待合室みたいなものです。待機室をオンにしておけば、参加者がミーティングルームに入る前に参加者をチェックすることができるので、部外者が参加してきた場合は待機室で撃退できます。
待機室を有効にするには、ウェブブラウザでZoomのホームページにアクセスして設定する必要があります。
ホームページを開いたらまずはサインインしてください。
次に右上のタブをタップして、プルダウンメニューから「マイアカウント」を選択してください。
するとプロフィール画面が表示されます。上の「プロフィール」というボタンをタップして、プルダウンメニューから「設定」を選択してください。
するとミーティング設定の画面になります。一番上に「待機室」があるので、スイッチをオン(青色)にしてください。
待機室の詳しい使い方は以下の記事で解説しているので、気になる人はあわせてチェックしてみてください。
ミーティングをロックする
あとは、参加予定の人が全員参加したら、ミーティングをロックしてこれ以上他の人が参加できないようにするのも有効です。
ミーティングをロックするには、ミーティング中に右下の「詳細」をタップして、メニューから「ミーティング設定」を選択してください。
そして、一番上の「ミーティングのロック」をオンにしてください。
これでもう誰も参加できなくなりました。IDとパスワードを知っていても入れません。
Zoomに限らずセキュリティ対策は必須
今回の内容をまとめます。
【Zoomのセキュリティリスク】
- Zoomアカウント情報の流出
- ミーティング内容の流出
- Zoomを使用している端末情報の流出
- Zoomを使用している端末のウイルス感染
- Zoom爆弾
【自分でできるセキュリティ対策】
- アプリを常に最新版にアップデートする
- アカウント情報を他のサービスと違うものにする
- ミーティングIDとパスワードを毎回変える
- 待機室をオンにする
- 全員が参加したらミーティングをロックする
セキュリティリスクというのはZoomに限らず、あらゆるサービス・ツールにあります。運営側も当然対策はしていますが、それでも完璧はありえません。利用者側も自分でできる対策を講じていきましょう。
この記事が役に立った場合はSNSでのシェアをよろしくお願いします