最近何かと話題の「Zoom」ですが、セキュリティに問題があるというニュースが飛び交っています。

台湾政府が使用を全面禁止にしたり、Googleやドイツ外務省が使用制限をしています。

果たしてこの状況の中でZoomを使うことは「あり」なのでしょうか？

※ここでは企業としての使用について考えます。

大人気のZoom

オリラジのあっちゃんが紹介するぐらい有名なツールになりました。

新型コロナウィルスの影響でリモートワークが進んだこともあり、全世界で2億人が使っているそうです。

実際にZoomを使った感想ですが、通話や会議を開くツールとしては非常に優秀な製品だと思います。

アーザスとしては？

まず結論を申し上げますと、弊社がZoomを導入するのは「なし」です。そもそもOffice 365（もうすぐMicrosoft 365）のTeamsがありますので、Zoomに乗り換える必要はありません。

ですが今まさにZoomを検討されている企業は結構あると思います。

Zoomを導入するにあたりいくつかのポイントがありますのでご紹介します。

Zoomの安全性について

そもそもZoomの何が危険なのでしょうか？

具体的には以下のようなことが言われています。本当にそうなのでしょうか。

• ユーザーの許可なくカメラが有効化される脆弱性がある
• OSの資格情報を盗まれる脆弱性がある
• Facebookアカウントを持っていないユーザーにデータにもデータを送信する

GIGAZINE

 

https://gigazine.net/news/20200409-google-bans-zoom/

Googleがオンラインビデオ会議アプリ「Zoom」の使用を禁止

オンライン会議アプリ「Zoom」は人々のリモートワークの移行に伴い利用されるようになっていきましたが、ユーザーの許可なくカメラが有効化される脆弱性や、OSの資格情報を盗まれる脆弱性、Facebookアカウントを持っていないユーザーであってもデータをFacebookに送信されてしまうことなど、数々の問題が指摘されています。このような状況を受けて、Googleは従業員に対し、ZoomアプリをインストールしたノートPCをリモート環境で使うことを禁止しました。

【解決済】カメラが有効化される

カメラが有効化されるというのはどういうことでしょうか？

それはZoomの脆弱性を利用し、カメラを起動させたりビデオ会議に参加させられてしまうということです。

知らない間にカメラが起動するとか怖いですね・・・。

ただこの脆弱性はすでに修正されているようで、カメラのオフもZoomの設定に盛り込まれています。

利用者が自ら参加しないと参加できない

悪意のあるビデオ会議に参加させるには、利用者がウェブサイトを介してZoomを起動する必要があります。

怪しいURLをクリックしなければよいのです。

Zoom-bombing（ビデオ爆撃）

これはZoomの会議IDを「zWarDial」というツールを使って検索し、会議に潜り込むというものです。

CNET Japan

 

https://japan.cnet.com/article/35151966/

横行する「Zoom襲撃」、InstagramやTwitterで共謀呼びかけ

ビデオ会議アプリ「Zoom」の会議に乱入する嫌がらせ行為に、InstagramやTwitterなどが利用されている。

会議はパスワードをかけることができますが、パスワードをかけていない例も多くあったようです。

会社で会議をする際はパスワードをかけることは重要ですね。

【解決済】OSの資格情報を盗まれる

Windows版には脆弱性がありました。

GIGAZINE

 

https://gigazine.net/news/20200403-zoom-password-windows-credentials-problems/

問題続出のオンラインビデオ会議ツール「Zoom」が抱える「パスワード問題」と「OS...

セキュリティおよびプライバシー面で多くの問題が指摘されているオンラインビデオ会議ツールの「Zoom」で、新たに「Zoomを利用している大手企業の多くがパスワードを設定しないままオンラインビデオ会議を行っている」ことが明らかになりました。

Windows端末のネットワーク上の位置を示すテキスト文字列を送信し、攻撃対象となったユーザーの使用するWindows端末のユーザー名とそれに対応するNet-NTLM-v2ハッシュを、リンクに含まれるアドレスに送信するよう仕向ける。

何だか難しいですね。つまりはこういうことかと思います。

1. 攻撃者がZoom for Windowsのチャットウィンドを使って特定の文字列を送信してクリックさせようとする

2. 本人が知らずにクリックするとWindowsの資格情報が盗みだされる

3. そして知らず知らずのうちにストレージにアクセスできるようにされちゃう

中々手の込んだやり口ですね。

速攻で修正された

PC Watch

 

https://pc.watch.impress.co.jp/docs/news/1244817.html

Windows認証情報が盗まれるZoomの脆弱性が即修正

　オンライン会議ツールを提供しているZoomは1日(現地時間)、ZoomのWindowsクライアントを介してUNC(Universal Naming Convention)パスを使用するさいに、Windowsの認証情報が盗まれてしまう脆弱性を修正したと発表した。

さすがにこの脆弱性はすぐに修正されました。

【解決済】了解なくFacebookにユーザーデータを送信していた

ITmedia NEWS

 

https://www.itmedia.co.jp/news/articles/2003/31/news132.html

ZoomのFacebookへのデータ転送（停止済み）で集団訴訟

新型コロナ対策の在宅勤務でユーザー急増中のWeb会議サービス「Zoom」の運営会社が、iOSアプリでユーザーに無断でユーザーデータをFacebookに転送していたとして集団訴訟を起こされた。「Facebook SDK」を採用していたためで、指摘を受けたZoomは既にデータ転送を停止している。

ZoomがFacebook SDKでFacebookにユーザ情報を送信していた、というものです。

新しいZoomではFacebook SDKを使用していませんので、アップデートを怠っている人は気を付けましょう。

結局Zoomは安全なのか？

今のところはZoomにセキュリティ的に致命的な問題はないと考えています。

私はセキュリティの専門家ではありませんが、ユーザーを狙った攻撃はセキュリティに関するリテラシーが低い場合に被害が発生します。

• 見知らぬ人からのチャットで不用意にリンクをクリックしてしまった
• 会議室にパスワードをかけ忘れた

いずれも個人のリテラシーが高ければ発生しません。

現時点ではZoomは袋叩きにされるほど危険ではない思います。

Zoomにプライバシー・セキュリティ意識が低かったのは確か

ASCII.jp

 

https://ascii.jp/elem/000/004/009/4009227/

ビデオ会議のセキュリティをめぐってZoomとマイクロソフトがつばぜり合い

新型コロナウイルスの感染防止のため、在宅勤務を推進する企業が増加し、ビデオ会議の需要が高まっている。しかし、急成長したZoomはセキュリティやプライバシーの課題が指摘されており、失速感は否めない。一方、Microsoft Teamsを擁するマイクロソフトはこうしたZoomの動きを牽制しつつ、セキュリティの実装に自信を示している。

2020年4月1日には、Zoom Video Communicationsのエリック・ユアンCEOが、同社ブログのなかで、「プライバシーとセキュリティへの期待に応えられなかったことを認識している。そのことを深くお詫びする」と陳謝。「今後90日間、問題をよりよく特定し、対処し、積極的に問題を解決するために、必要なリソースを投入することを約束する。お客様の信頼を維持するために必要なことを行ないたい」とした。新機能の開発を止めてでも、これらの課題解決を優先することを示してみせたといえる。

今までは「BtoB」ゆえに顕在化していませんでしたが、急に注目され「BtoC」となったことで脆弱性が次々と発見されることになったZoom。

Facebookの件はそもそも意識が低すぎると言わざるをえません。

ではZoomを入れるべきか

個人でアプリレベルで使う分には良いと思います。それこそLINEを使うのと同じです。

しかし、会社のパソコンに勝手にZoomをインストールして使って良いか？というと答えはNoだと思います。

企業で導入する場合は、以下の項目を検討する必要があります。

• 無料ではなく有償版で検討する
• 使用に関してのルールを決める
• 導入して生産性が上がるのかを考える

有償版の検討

今後テレワーク化がどんどん進んだ場合、無償版では安定して接続できないといったことがあるかもしれません。無償版で問題が発生した場合、どのぐらいのスピードで対応されるかも分かりません。

よってビジネスプランのようにサポートがある有償版がおススメです。

Zoom Video

 

https://zoom.us/pricing

Video Conferencing, Web Conferencing, Webinars, Screen Sharing

Zoom is the leader in modern enterprise video communications, with an easy, reliable cloud platform for video and audio conferencing, chat, and webinars across mobile, desktop, and room systems. Zoom Rooms is the original software-based conference room solution used around the world in board, conference, huddle, and training rooms, as well as executive offices and classrooms. Founded in 2011, Zoom helps businesses and organizations bring their teams together in a frictionless environment to g...

ルール決め

導入前にルールを決めないと必ず混乱が起きます。

勝手に通話やグループや会議が乱立してからではもう遅いです。必ずルールを決めましょう。

生産性について考える

Zoomを入れただけですぐに生産性が上がるわけはありません。

Zoomでどのような効果があるのか？どのようなアウトプットを期待するのか？をもう一度考えましょう。

一日中会議してたって意味ないですからね。

リモートワークツール比較!Zoom・Slackにする前にOffice365のTeamsを検討しよう

Teamsがテキストチャットや音声通話・ビデオ通話が安定してできるので、なんだかんだ日本企業に合ったツールだと思っています。

ただ、色々なツールがリリースされています。無料！安い！だけが良いことではありません。目的に応じて必要なツールを選定する方が良いと思います。

是非この記事を参考にテレワークを進めて下さい。

アーザスBlog

 

https://a-zs.net/remotework

2020.04.07

リモートワークツール比較!Zoom・Slackにする前にOffice365のTeamsを検討しよう

アーザス代表の中島です。皆さん如何お過ごしでしょうか。新型コロナウィルスの影響で世界が大変な状況です。都心部では外出自粛となり、弊社でも90％以上の社員がリモートワークで業務にあたっています。リモートワークで欠かせないのがリモートワークのツールです。具体的には、チャットやテレビ会議ができるコミュニケーションツールです。今回はそのコミュニケーションツールについて比較しました。人気のツールリモートワークで人気のコミュニケーションツールといえば以下の4つでしょう。 Teams Zoom Slack Chatworkアーザス...

最後に

何かと話題のZoomですが、流行りすぎると色々な弊害が出てしまうものです。特に企業で導入する場合は、慎重に進めないと後々導入してからでは取返しがつかない場合もあります。

テレワーク（リモートワーク）や在宅勤務で困ったことがありましたら、アーザスにお問い合わせください。