20200426 【結論】zoomは安全に使えるといってよさそう
20200424 zoomの脆弱性 まとめ 修正版:20200426
必要不可欠なツールになりつつあるzoomにはどのようなセキュリティー上の脆弱性があるのかを調べてみた。
1、中国のデータセンターを経由する可能性の問題(修正済み)
2、zoom荒らし
3、iOSアプリがFacebookに端末データを勝手に送る問題(解決済み)
4、Windowsの認証情報が盗まれる(修正済み)
5、Macにいらないものまでインストールする(修正済み)
6、悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする可能性(修正プログラムあり)
7、暗号化の問題
暗号化キーをzoomが持っているため、技術的にはユーザーの情報をzoom社は見ることができる。
8、同僚以外の連絡先も「会社の連絡先」に登録される。
「Zoomではセッション中に同じ法人ドメインの同僚がいると「会社の連絡先」に自動的に登録されます。」マイナーなドメインだと、知らない人まで1000人規模で追加される。
9、録画が大量リーク
ホストが参加者の許可なしに録画できる。参加者は通知があるのみ。
2019年のカメラの脆弱性は解決済み
2020年4月に指摘があった脆弱性はおそらく未解決
→PCそのものにアクセスする必要があるので難易度が高く、他に比べたらそこまで気にする必要はないかも。
○結局、何に注意して使えばいいのか
・全員に関わること
ア)OSやアプリをアップデートして最新状態にする。
イ)信用できない人のリンクはクリックしない
ウ)ホストの人が信用できる人か考えて会議へ参加
エ)zoom社でみられても良い情報を扱う。
ウまではzoomでなくてもそうした方がいいこと。
・ホストをする時
ア)zoomの部屋にパスワードをかける
イ)共同ホストを無闇に割り当てない。(ホストは録画、チャットのDLが可能。ブレイクアウトルームで何かされる可能性あり)
場合によってチャット・画面共有などを不可にするとコントロールできる。
以下の記事ではホストが注意することを4つの状況でまとめている。
○ Zoomセキュリティに対する考え方とイベント開催について
よって過去のセキュリティ問題が確かにあったが 27日リリースのバージョン5.0によって 安全性は他のアプリと大差がなくなった
・その他
zoomの偽サイトがあるので注意が必要。以下に正規サイトのURLを記載しておく
○zoom正規サイト
○“怪しいZoom”に注意 使うとサポート料金を請求 IPAが注意喚起
追加情報20200426
○zoom社エリック・ユアンCEOは4月1日付けで今後90日間はプライバシー問題への対応に専念すると発表した。
○結局、zoomは使っても大丈夫なのか?
https://www.itmedia.co.jp/business/articles/2004/22/news026.html
セキュリティーに関する詳しい記事
○ Zoom、Cisco WebEX、TeamsをCASBでセキュリティで比較。結局Zoomは何が駄目?https://news.yahoo.co.jp/byline/ohmototakashi/20200424-00174931/
参考サイト集
オンライン会議ツール「Zoom」が問題山積み。荒らし予防策、修正状況まとめ
https://www.gizmodo.jp/2020/04/zoom-problems-and-so-on.html
Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう
https://www.itmedia.co.jp/enterprise/articles/2004/07/news027.html
zoomの脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html
zoomの脆弱性やセキュリティに関する5つの問題 すぐにできる対策も解説
https://tech-camp.in/note/technology/84112/
zoomを安全に利用する4つのポイント。zoom爆弾や情報漏洩へ対処する。
https://news.yahoo.co.jp/byline/ohmototakashi/20200406-00171691/
問題が相次いで発覚した「zoom」でヴィデオ会議を開く際に、まずユーザーが考えるべきこと
https://wired.jp/2020/04/03/zoom-backlash-zero-days/
悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」に対し、AppleがMRTで対応。
https://applech2.com/archives/20190711-apple-remove-zoom-vulnerability-server.html
Zoom、権限昇格の脆弱性などを修正した「Zoom Meeting for Mac v4.6.9」をリリース。インストール時にユーザーの承認を得るインストーラーも。
https://applech2.com/archives/20200403-zoom-meeting-for-mac-april-2-patch.html
zoomの脆弱性と危険性について解説
https://app-story.net/zoom-vulnerability-risk/