連載
» 2020年04月07日 07時00分 公開

半径300メートルのIT:Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう (1/2)

テレワークに多くの企業が移行する中、Web会議でおなじみになりつつある「Zoom」の脆弱性が話題になっています。どんなアプリにも脆弱性は付き物で、基本的に修正、アップデートすれば解決する――はずなのですが、今回はセキュリティ記者として見過ごせない問題が出てきたので、解説します。

[宮田健,ITmedia]

 2020年3月末から、日本では一気にテレワークが浸透し始めました。そんな中、ものすごい勢いでビジネスパーソンに利用されているツールが「Zoom」です。私自身も複数の打ち合わせをWeb会議で実施しましたが、いまのところその全てでZoomを指定されました。大学のオンライン授業にも利用可能ということもあり、職種や規模に関係なくZoomが注目されています。

 なぜここまでZoomが注目されたのか、直接の要因は正直よく分からないのですが、ここまで多くのユーザーに広がるアプリの特徴は「誰かが使い始めると、そこから芋づる式にいつの間にか広まっている」という点かもしれません。ユーザーが急増する様子に、私は初期のLINEを思い出しました。

 さて、急速に広まったZoomですが、現在セキュリティの問題で厳しい視線を向けられています。それでもZoomを使い続けたい読者や、使い続けて問題ないかどうか迷っている読者に今お伝えできるメッセージは「今表面化しているリスクをしっかり把握すべきである」ということ。もっとかみ砕いてお伝えすると「今は使わない方がいいのでは?」かもしれません。

今回の騒動に学ぼう 「悪意のない脆弱性」と「悪意のある脆弱性」の見分け方

 私も何度かZoomを利用し、その機能には驚いています。スムーズにビデオや音声を共有できますし、会議のメンバーがそれぞれのPCで開いている画面も、簡単に全員と共有できます。もしかしたら、これまで社内で顔を突き合わせていた会議で、目の前にあるプロジェクターを利用するよりも簡単かもしれません。これこそが、Zoomがここまで広まった理由の1つなのでしょう。

 ただし今、Zoomにはたくさんの脆弱(ぜいじゃく)性が明らかになっています。それらは大したことがないというレベルのものではありません。例えば、ZoomのWindows版アプリにおいて、ユーザーログイン情報窃盗につながる脆弱性が発見されました。既に日本においても、Zoomの脆弱性について、情報処理推進機構(IPA)が注意喚起を出しています。

 セキュリティ関連の指摘が相次いだことを受け、Zoom側も対応に動いています。同社は公式に「新機能追加をストップし、セキュリティ向上に務める」というメッセージを発表しました。

相次ぐセキュリティ問題の指摘について、Zoomは公式WebサイトやSNSを通して謝罪のメッセージや対策を発表しています(出典:Zoom)

設計上、ある意味仕方のない「脆弱性」とは

 Windows版の脆弱性は「悪意ある利用者が特定のパス文字列を投稿し、不注意な利用者がそれをクリックすると、悪意ある利用者がパスワードのハッシュ(Net-NTLM Hash)を取得できてしまう」というものです。既にアップデートのための修正プログラムも公開されていますので、今WindowsでZoomを使っている人は、直ちにアップデートしましょう。これは深刻な問題ではあるものの、ある意味「意図しない実装上の脆弱性」ともいえるもので、Zoomに限らず、全てのアプリに潜在する可能性があります。

 むしろ、Zoomの脆弱性のうちで私が“イヤな匂い”を感じたのは、それ以外のものです。例えば、カナダにあるトロント大学のグローバルセキュリティ研究所Citizen Labは「北米で実施されたWeb会議の一部が、本来接続するはずのない中国のデータセンターを経由する可能性があった」と伝えています。こちらに関しても、Zoomは修正したと述べています。

 これは「設計上の脆弱性」と考えられるかもしれません。修正が済んでいない点にZoom側の関係者が気付かなかった、もしくはすぐに修正する準備ができていた可能性もあります。この脆弱性に対してユーザーが採るべき対策も「すぐにアップデートする」だけです。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ