新型コロナウイルスのパンデミック(世界的大流行)に見舞われているなか、Web会議システムが注目されています。仕事も人間関係もオンラインで完結させる人が増え、今各種Web会議ツールが普及しています。企業の会議だけでなく就活生のオンライン面接や説明会、学校のオンライン授業などにも活用されるなど、世界中で利用が急激に伸びています。便利さが先行して普及しているWeb会議システム、セキュリティ面は大丈夫なのでしょうか?そこで、今回はWeb会議のセキュリティ対策と注意点についてまとめてみました。
Web会議システムのセキュリティリスクとは?
第三者による不正アクセス
Web会議で懸念されるセキュリティ事項としてはどんなものがあるのでしょうか。まず考えられるのは、Web会議システムの利用中に第三者が不正アクセスすることです。この場合、画面上に映し出される画像や動画などを盗み見したり、会議内容を盗聴されたりする危険性があります。またWeb会議システムには会議やプレゼンテーション用の資料を共有できるようなシステムがありますが、会議に使用する重要な資料が勝手にダウンロードされたり、アップロードされたりしてしまう危険性もあります。
紛失・置忘れなどの過失
ハッキングによる不正アクセス以外でも、社員の過失で会議に不正アクセスされるリスクもあります。例えば会社から貸与されているパソコンを置き忘れたり、紛失したりし、それを取得した第三者がその端末から簡単にWeb会議システムにアクセスする可能性もあります。
退職者のIDの使いまわし
IDとパスワードをアプリケーションまたWEBサイトに入力して手軽に利用できるWeb会議システムですが、IDやパスワードを使いまわしていたりした場合、元社員が退職後もアクセスできてしまいます。ID管理がずさんだと社外から不正利用される可能性が高まります。
大人気のZoomとセキュリティの懸念
無料で利用できるうえ直感的なインターフェースを備えており、最大100人までのグループヴィデオチャットに対応したZoomは、特に爆発的な人気を集めています。利用者は先月、感染が拡大する前の20倍以上に当たる2億人余りにまで急増しました。そんな中、Zoomの普及によってセキュリティやプライバシーの専門家が調査の手を強めたことによりさまざまな問題点が浮き彫りになりました。4月1日(米国時間)に発見された2件のゼロデイ脆弱性(修正前の無防備な脆弱性)もその一部です。FBI(連邦捜査局)も先月、Zoomにはセキュリティ上の問題があると指摘するなど、相次いで問題が報じられています。
「Zoom」のWindows版クライアントに脆弱性、認証情報を盗まれるおそれ
ビデオ会議ツール「Zoom」の「Windows」版クライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが、セキュリティ研究者の調査で明らかになった。
グループチャット機能では、ミーティング中に会議の他の参加者にメッセージを送信できる。また、送信したURLをハイパーリンクに変換する機能もあり、これを受信した人はブラウザーでウェブページを開くことができる。だがBleepingComputerの報告によれば、Zoomクライアントは通常のURLだけでなくWindowsネットワークのUniversal Naming Convention(UNC)パスもクリック可能なリンクに変換してしまうという。
ここで問題なのは、テキストメッセージに含まれるURL文字列をハイパーリンク化する機能です。これによって、ユーザーはURLをクリックするだけで簡単にアクセスできます。ところがWindows版ZoomはUNC(Universal Naming Convention)と呼ばれる、ローカルのWindowsネットワーク上の資源にアクセスするための文字列もハイパーリンク化してしまいます。つまり、"\\ホスト名\共有名\パス"といった文字列もアクセス可能なアドレスとして外部に共有してしまうため、これをクリックすればコンピューターはローカルにある場合と同じようにリモートからアクセスを試みます。
たとえば攻撃者が"\\攻撃者ホスト\共有名\C$"といったUNCを送信したとき、相手がそのハイパーリンクをクリックすれば、攻撃者には相手のWindowsネットワーク上のユーザー名とパスワード(NTLM)ハッシュが返されます。この情報を手に入れた攻撃者は、"Pass the Hash"と呼ばれる一種のなりすまし攻撃が可能な状態になるので、PCやWindowsネットワークへの侵入の危険性が高まります。
また、ZoomのiOSアプリがユーザーに知られることなく密かにフェイスブックにデータを送信していたことなども問題視され、セキュリティ、プライバシーの両面について創業者兼CEOであるEric S. Yuanが謝罪しました。
Web会議システムで確認すべき3つのセキュリティ項目
データの暗号化
Web会議システムを利用している間に、音声、文書、画像、動画などのデータが暗号化されているかどうかを確認しましょう。暗号化とは、音声や映像データを外部から読み取れない暗号に変換し(エンコード)、送信先で再び音声・映像データに復号する(デコード)一連の過程を指します。暗号化の有名なプロトコル(通信手段)にはSSL暗号化とAES暗号化があります。SSL暗号化はHTTPと組み合わせ、認証情報や個人情報、決済情報などの送受信を安全に行う手段として使われます。4月1日 、前出のZoomは「エンドツーエンドの暗号化」としていた内容に誤りがあり、Zoomによる会議でエンドツーエンドの暗号化が完全にはなされていないことも説明しています。Web会議システムが暗号化されていない場合、会議の内容はもちろん、共有される機密書類等も筒抜けになる可能性があります。そのため米宇宙ベンチャーSpace XやNASAなどは社員がZoomを使用することを禁止しています。
会議ごとの入室セキュリティコード(接続ID)とパスワード
会議ごとに入室セキュリティコード(パスワード)を設定し、会議の参加者はこのパスワードを入力しなければ会議にアクセスできないようにするなど、厳格なセキュリティオプションを設けた運用が可能なのかもポイントです。セキュリティコードを知っている人のみが参加できる設定にすることで、社外の参加者が多い場合や参加メンバーが頻繁に変わる場合などでも安心して運用することができます。
特定の端末・通信からのアクセス制限
Web会議システムのセキュリティ機能として、IPアドレスによる参加者指定があります。IPアドレスは端末ごとに与えられるので、端末の住所だと言えます。このIPアドレスを限定して許可することで、許可のない参加者を閉め出すことが可能です。また会議に参加する場合、IDやパスワードのほかにも端末認証機能を提供する製品もあります。端末認証の場合、主に端末の製造時に個別に付与されたMACアドレスを登録することで会議に参加できるようになります。
さいごに
手軽に利用できるWeb会議システムですが、セキュリティ面にも注意を払わないと重要な機密の流出にもつながりかねません。Web会議でも、通常の会議と同様に秘密情報、顧客情報などがやり取りされることがあり、その取り扱いには細心の注意が必要となります。今回挙げたリスクを念頭に、セキュリティ面でもしっかり対策の取れるシステムを利用するようにしましょう。
