Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう:半径300メートルのIT(2/2 ページ)
テレワークに多くの企業が移行する中、Web会議でおなじみになりつつある「Zoom」の脆弱性が話題になっています。どんなアプリにも脆弱性は付き物で、基本的に修正、アップデートすれば解決する――はずなのですが、今回はセキュリティ記者として見過ごせない問題が出てきたので、解説します。
より注意すべき「意図的な脆弱性」とは
問題は「意図的な脆弱性」かもしれません。私がもっとも注目したのは、macOS版Zoomの挙動です。私自身もmacOSでZoomを利用しているため、会議のホストから送られてきたURLをクリックしたところ、クライアントアプリを入れるように指示がありました。当時は「通常のアプリをインストールするときとは何となく挙動が違うな」と違和感を持ったのですが、その正体はユーザーがインストールを直接「許可」しなくても、アプリケーションのインストールが始まる仕組みになっていたことで、これがまさに大きな問題でした。
Zoomは、macOS版アプリのインストールにおいて「Web会議参加までのクリック数を減らすための」手法を利用したとしています。しかし、その手法はいわゆるマルウェアが利用するような、ある意味でユーザーをだますようなものにも見えます。そのため、多くのセキュリティ専門家がこの手法を強く非難しています。
これは実装上の不備で埋め込まれた脆弱性でもなく、設計上漏れてしまった脆弱性でもありません。いわば、ユーザーをだますために“意図的に作られた”脆弱性です。基本的に全てのアプリには脆弱性が残ってしまう可能性があるため、ベンダーも私たちもそれが発見され次第、修正プログラムを作り、それを適用する必要があります。しかし、最後に挙げたような挙動は、ベンダー自体がさまざまな理由を付け、利用者に対して本来使うべきではない手法をとった脆弱性です。こういった手法を採るベンダーを、私は信頼したいとは思えません。
とはいえ、Zoomを使わないと仕事にならない――悩める読者が使える対策
とはいえ、私の立場では「Zoomを使うWeb会議なら参加しません」などと発言できるわけもなく、どうやってこの状況と付き合うべきかということも並行して考えなくてはなりません。実は、Zoomアプリをインストールせずとも、Zoom会議にはWebブラウザから参加可能です。Web会議参加のためのURLをクリックすると、しばらくして「ブラウザから参加してください」というメッセージと一緒にリンクが表示されますので、こちらからWeb会議へ参加するのが良いかもしれません。ただし、ブラウザ版を使ったとしても、先に説明した経路の問題など、設計仕様上の問題はクリアされないというリスクはあります。
より大きな注意点は、今回のようなZoomの各種セキュリティリスクの現状を、組織のシステム管理部門がしっかり把握できているかということです。組織によっては、Zoomがいまだ「シャドーIT」扱いされているケースも多いのではないでしょうか。システム管理部門はなるべく早く現状を把握し、Zoomの使用を許可するか、それとも条件を付けるかなどを含めてしっかり対策を打つべきでしょう。その際には、既にメールサービスとして導入しているOffice 365の「Microsoft Teams」をはじめ、Gmail、G Suiteと一緒に利用可能な「Google Hangout」など、代替として使えるアプリと比較検討すべきかもしれません。
セキュリティに気を付けているつもりの私も、ほんの少しの違和感はあったものの、Mac版Zoomのインストールから実行までやりきってしまったので説得力はないと思いますが、自分で判断できないからこそ、他のセキュリティ専門家がどのような検証をしているのかをしっかり追う必要があるでしょう。
とりわけ今回のように、新しくて便利なソリューションを提供するベンダーを「どう信頼するか」というのは、とても難しい問題だと思います。ならば、新しいベンダーのソリューションよりも、あえて既にメールサービスやオフィスアプリなどを導入している「一度信頼したベンダー」が提供するソリューションの方が、今の組織では利用しやすいのかもしれません。ただし、その一度信頼したベンダーにも、今後同様に脆弱性のニュースは出てくる可能性はあります。しっかりと情報を追い続けることの大切さは、どのベンダーについても変わりませんね。
関連記事
- Zoomに複数の脆弱性が判明 Web会議の「乗っ取り」被害、全米で相次ぐ
ZoomのWindowsクライアントとmacOSクライアントに未解決の脆弱性が判明した。FBIは「ZoomのWeb会議が乗っ取られる被害が相次いでいる」として注意を呼び掛けた。 - Zoom、相次ぐセキュリティ問題やプライバシー問題で謝罪 対応について説明
Zoomの利用が予想をはるかに超えて激増し、対応に追われる中で、「プライバシーとセキュリティに対する期待に応えられなかった」としてエリック・ユアンCEOが謝罪した。 - 「リスクの見える化」は誰の仕事? ――遠隔で働くあなたを守るのは
危機に乗じた犯罪が増え続けています。社会の混乱を“商機”と捉える悪質な犯罪者に屈しないために、われわれ組織人が今一度考えるべきサイバーリスクを見直しましょう。 - 「SASE」とは? テレワーク時代に「守り」の考え方が変化している
激動の時代、変化するのは「働き方」だけではありません。働き方が変われば守るものも、守り方も変わってきます。そんな中、よく聞くようになった「SASE」とは?
Copyright © ITmedia, Inc. All Rights Reserved.