新型コロナウイルスのパンデミック(世界的大流行)による都市封鎖や外出自粛の影響により、多くの企業においてはリモートワークやテレワークが必要不可欠なものとなりました。そのためWeb会議システムの需要が一気に高まりました。Web会議システムは企業と従業員の間をつなぐコミュニケーションツールの他、商談や面接にも積極的に活用されています。また教育現場でもオンライン授業のツールとして取り入れられてきました。とても便利なWeb会議システムですが、需要の高まりに便乗して、サイバー攻撃者の攻撃も高まりました。今回はWeb会議システム等のコミュニケーションアプリが受けるサイバー攻撃の手法や被害、その解決策について詳しくみていきたいと思います。
Web会議システムとは
Web会議システムとは、遠隔拠点とインターネットを通じて映像・音声のやり取りや、資料の共有などを行うことができるコミュニケーションツールのことを指します。メッセージの送信、ビデオミーティング、画面の共有といった機能を持ち、リモートであってもまるでその場にいるようにビジネスを行うことが可能です。
Web会議システムを使用するにあたり、専用の設備やネットワーク環境、複雑な設定は一切必要ありません。Web会議システムはクラウドサービスが一般的であるため、インターネット回線につながっているパソコンがあれば、場所を選ばずどこからでも簡単に接続することができます。また、パソコンだけではくスマートフォン・タブレット端末にも対応しています。Webカメラやヘッドセット、マイクスピーカーといった簡易的な機器で使用することができ、事前の準備や設定を行う必要がないのでスムーズに展開が可能です。
Web会議のさまざまなメリット
1.時間の無駄が省ける
会議をおこなう際、通常であれば決められた場所(会議室など)に足を運ぶ必要があります。会議場所は社内でおこなうこともあれば、外部でおこなう場合もあるでしょう。しかし、Web会議はPCやスマートフォン、そしてネット環境があればどこでも参加できるため、会場へ出向く時間を削減することができます。
2.低コストで運用できる
Web会議システムは、テレビ会議のようにモニターや専用回線などを必要としないため、導入時の初期費用が少なく済む傾向にあります。特にクラウド型であればサーバー設置が不要なため、初期費用がかかりません。システムの利用料を支払うだけで運用できるため、トータルのコストを大幅に抑えられるのもメリットです。
3.様々な働き方が実現する
Web会議システムにより、働き方の幅が広がることも大きなメリットです。これまでは、普段在宅勤務している社員であっても、会議に出席するためだけに出社する必要がありましたが、Web会議システムを使ってどこからでも会議に参加できるようになったことで、リモートワーカーとして働くことが可能になりました。
4.業務の効率・生産性の向上
会議場所への移動や資料作成の手間が省けるということは、その分の時間を有意義に使うことができるということです。Web会議にすることで無駄がなくなり、業務の効率や生産性の向上へとつながるでしょう。
Web会議システムのシェア
昨年行われた日本でのWeb会議システムのシェアを調べたある調査では、「Zoom」が35%でトップとなり、2位以下は「Skype」(18%)、「Microsoft Teams」(18%)という結果が発表されました。
別の調査でも日本ではZoom(30%)、Skype(25%)、Microsoft Teams(16%)という結果になりました。「Skype」と「MS Teams」はいずれもマイクロソフト社が提供するWEB会議システムで、二つを合わせると41%と最も多く、Zoom社がこれに続いています。一方で、アメリカでは「Zoom」の利用率が48%と他と比べて突出して高く、マイクロソフト社が提供する「Skype」及び「MS Teams」を合わせた計21%に、大きく差をつけています。
Web会議システムを狙ったサイバー攻撃先に述べたようにWeb会議システムのシェアで人気の高いZoomはサイバー攻撃の対象にもなりやすくなりました。多くの企業がテレワークを導入し、web会議システムであるZoomの利用者は急激に増加しました。2019年12月現在の利用者はのべ1000万人ほど(1日あたり)でしたが、2020年4月にはのべ3億人に達しました。しかし、web会議システムZoomの需要が高まるにつれて、専門家からセキュリティや脆弱性に関する問題が指摘されました。
「Zoom爆撃」「Zoom爆弾」「Zoom Bombing」といった言葉をご存じでしょうか。これは他人がZoomを利用して行っているオンラインの会議や飲み会、友達同士の会話などに勝手に参加して、そこに不快な画像を表示させたり不適切な言動を発したりする行為のことです。コロナウイルスの影響もあってオンライン会議・授業やオンライン飲み会など、ビデオ会議ツールに対する需要が一気に高まった結果、注目されたのがZoomです。注目が集まったことに伴っていくつかの重大なセキュリティの問題が指摘され、その中には「Facebookに利用情報が送信される」「暗号化の形式が発表と異なる」といったものも含まれており、「このままZoomを使っていて大丈夫なのか」と漠然とした不安を感じるユーザーが多くいました。
他にも次のようなZoomのセキュリティ・脆弱性に関する問題が指摘されています。
Facebookに利用情報が送信される
これは、ユーザーがZoomアプリを開いたときのデータをFacebookに送信していた問題です。送信されたデータは個人情報ではなく、Zoomの利用端末に関する情報です。具体的には、Zoomの使用デバイスの種別や通信会社などの名前が送信されていました。特に問題されたのはFacebookの利用者だけでなく、アカウントを持っていないZoomの参加者の端末情報も送信されていたことです。実際に米国ではユーザーに無断でFacebookにデータが転送されていた件で集団訴訟にまで発展しました。こうした問題はその後アップデートによって解決されており、もし今後新たな脆弱性などが発覚したとしても早急に解決する方向で対応されるものと思われます。
認証情報が盗まれるリスク
2020年3月上旬までに配信されたZoomアプリをWindowsのユーザーが使った場合に、セキュリティの脆弱性が指摘されました。Zoomの機能を利用してユーザーがハッキングの被害にあった場合に、IDやパスワードのなどの認証情報が流出するリスクがありました。Zoom社が行ったアップデートによって、この脆弱性の問題は3月中に解決されました。
暗号化問題
暗号化とは、特別な処理によってあるデータを別のデータに変換してセキュリティの維持やプライバシーの保護をするものです。変換したデータに合った「鍵」を使うことで、元のデータを復号できます。
web会議システムZoomは「エンドツーエンド」と呼ばれる高度な暗号化によって、情報を守っていると主張していました。しかし実態は、暗号化は行われていたものの、その解除のための鍵をZoomのサーバーで管理するシステムになっていました。このシステムでは、厳密なエンドツーエンド方式で情報が守られているとは言えないため、世界中から批判を受けました。
Zoom社の行ったセキュリティ・脆弱性の改善
- 暗号化を最新のものにアップデートした(AES-256 GCM)
- Facebook社製の通信プログラムが削除された
- データセンター(通信を経由するところ)を選択できるようにした
- Zoom上で不正ユーザーの通報・ブロックが可能になった
- アイコンで暗号化をチェックできるようになった
Web 会議システムで必須のセキュリティ対策
「Web 会議システム」は便利である一方、第三者による不正アクセス、社員の過失による情報漏えい、プライベートな情報の表面化といったセキュリティ面のリスクが存在するのも実情です。ビジネスで利用するならば、次のような点に注意を払う必要があります。
暗号化されている
Web会議システムを利用している間は音声や文書、画像や動画など多くのデータが飛び交うため、これらのデータが暗号化されていることをしっかり確認しておきましょう。利用したいWeb会議システムの公式サイトにおいて、SSLやAESといった暗号化に関するセキュリティ情報が公開されていれば、比較的安全なサービスであると考えられます。
セキュリティオプションの設定ができる
会議ごとにパスワードを設定し、このパスワードを入力しなければ会議に参加できないなど、セキュリティを強化する機能があることを確認しておきましょう。
他にも自分で次のような点に注意して利用することが必要です。
- アプリを常に最新版にアップデートしておく
- ミーティングを作成する際には類推されにくいパスワードを設定する
- ワンクリックで参加できる機能をオフにしておく
- 待機室機能によってホストの承認なしに参加させない
- 会議室をロックして第三者の参加を防止する
- ミーティングURLを安易に公開、共有しない
- フリーWi-Fiでの会議参加は控える
さいごに
「Web 会議システム」のメリットはインターネット環境さえあればどこでも簡単に相手の顔を見ながらコミュニケーションできることでしょう。新型コロナウイルスの影響でテレワーク環境を整備する必要に迫られる中、既存の仕事環境とほぼ同程度の質を担保するツールとして導入されています。
しかし便利な一面、サイバー攻撃の温床にもなりやすく、その利用には最新の注意が必要です。Web会議システムを利用する前に、セキュリティソフトを導入するほか、社内のデータベースを予め暗号化しハッキングに備える等、多重防衛を心掛けることで、こうした便利なツールを安心して使いこなしていけることにもなるでしょう。
ペンタセキュリティの暗号化ソリューション「D'Amo」の詳しい情報はこちら
