Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう:半径300メートルのIT(2/2 ページ)
より注意すべき「意図的な脆弱性」とは
問題は「意図的な脆弱性」かもしれません。私がもっとも注目したのは、macOS版Zoomの挙動です。私自身もmacOSでZoomを利用しているため、会議のホストから送られてきたURLをクリックしたところ、クライアントアプリを入れるように指示がありました。当時は「通常のアプリをインストールするときとは何となく挙動が違うな」と違和感を持ったのですが、その正体はユーザーがインストールを直接「許可」しなくても、アプリケーションのインストールが始まる仕組みになっていたことで、これがまさに大きな問題でした。
Zoomは、macOS版アプリのインストールにおいて「Web会議参加までのクリック数を減らすための」手法を利用したとしています。しかし、その手法はいわゆるマルウェアが利用するような、ある意味でユーザーをだますようなものにも見えます。そのため、多くのセキュリティ専門家がこの手法を強く非難しています。
これは実装上の不備で埋め込まれた脆弱性でもなく、設計上漏れてしまった脆弱性でもありません。いわば、ユーザーをだますために“意図的に作られた”脆弱性です。基本的に全てのアプリには脆弱性が残ってしまう可能性があるため、ベンダーも私たちもそれが発見され次第、修正プログラムを作り、それを適用する必要があります。しかし、最後に挙げたような挙動は、ベンダー自体がさまざまな理由を付け、利用者に対して本来使うべきではない手法をとった脆弱性です。こういった手法を採るベンダーを、私は信頼したいとは思えません。
とはいえ、Zoomを使わないと仕事にならない――悩める読者が使える対策
とはいえ、私の立場では「Zoomを使うWeb会議なら参加しません」などと発言できるわけもなく、どうやってこの状況と付き合うべきかということも並行して考えなくてはなりません。実は、Zoomアプリをインストールせずとも、Zoom会議にはWebブラウザから参加可能です。Web会議参加のためのURLをクリックすると、しばらくして「ブラウザから参加してください」というメッセージと一緒にリンクが表示されますので、こちらからWeb会議へ参加するのが良いかもしれません。ただし、ブラウザ版を使ったとしても、先に説明した経路の問題など、設計仕様上の問題はクリアされないというリスクはあります。
より大きな注意点は、今回のようなZoomの各種セキュリティリスクの現状を、組織のシステム管理部門がしっかり把握できているかということです。組織によっては、Zoomがいまだ「シャドーIT」扱いされているケースも多いのではないでしょうか。システム管理部門はなるべく早く現状を把握し、Zoomの使用を許可するか、それとも条件を付けるかなどを含めてしっかり対策を打つべきでしょう。その際には、既にメールサービスとして導入しているOffice 365の「Microsoft Teams」をはじめ、Gmail、G Suiteと一緒に利用可能な「Google Hangout」など、代替として使えるアプリと比較検討すべきかもしれません。
セキュリティに気を付けているつもりの私も、ほんの少しの違和感はあったものの、Mac版Zoomのインストールから実行までやりきってしまったので説得力はないと思いますが、自分で判断できないからこそ、他のセキュリティ専門家がどのような検証をしているのかをしっかり追う必要があるでしょう。
とりわけ今回のように、新しくて便利なソリューションを提供するベンダーを「どう信頼するか」というのは、とても難しい問題だと思います。ならば、新しいベンダーのソリューションよりも、あえて既にメールサービスやオフィスアプリなどを導入している「一度信頼したベンダー」が提供するソリューションの方が、今の組織では利用しやすいのかもしれません。ただし、その一度信頼したベンダーにも、今後同様に脆弱性のニュースは出てくる可能性はあります。しっかりと情報を追い続けることの大切さは、どのベンダーについても変わりませんね。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。
関連記事
Zoomに複数の脆弱性が判明 Web会議の「乗っ取り」被害、全米で相次ぐ
ZoomのWindowsクライアントとmacOSクライアントに未解決の脆弱性が判明した。FBIは「ZoomのWeb会議が乗っ取られる被害が相次いでいる」として注意を呼び掛けた。
Zoom、相次ぐセキュリティ問題やプライバシー問題で謝罪 対応について説明
Zoomの利用が予想をはるかに超えて激増し、対応に追われる中で、「プライバシーとセキュリティに対する期待に応えられなかった」としてエリック・ユアンCEOが謝罪した。
「リスクの見える化」は誰の仕事? ――遠隔で働くあなたを守るのは
危機に乗じた犯罪が増え続けています。社会の混乱を“商機”と捉える悪質な犯罪者に屈しないために、われわれ組織人が今一度考えるべきサイバーリスクを見直しましょう。
「SASE」とは? テレワーク時代に「守り」の考え方が変化している
激動の時代、変化するのは「働き方」だけではありません。働き方が変われば守るものも、守り方も変わってきます。そんな中、よく聞くようになった「SASE」とは?
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。