ここから本文です

Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか

4/7(火) 7:05配信

ITmedia エンタープライズ

 2020年3月末から、日本では一気にテレワークが浸透し始めました。そんな中、ものすごい勢いでビジネスパーソンに利用されているツールが「Zoom」です。私自身も複数の打ち合わせをWeb会議で実施しましたが、いまのところその全てでZoomを指定されました。大学のオンライン授業にも利用可能ということもあり、職種や規模に関係なくZoomが注目されています。

 なぜここまでZoomが注目されたのか、直接の要因は正直よく分からないのですが、ここまで多くのユーザーに広がるアプリの特徴は「誰かが使い始めると、そこから芋づる式にいつの間にか広まっている」という点かもしれません。ユーザーが急増する様子に、私は初期のLINEを思い出しました。

 さて、急速に広まったZoomですが、現在セキュリティの問題で厳しい視線を向けられています。それでもZoomを使い続けたい読者や、使い続けて問題ないかどうか迷っている読者に今お伝えできるメッセージは「今表面化しているリスクをしっかり把握すべきである」ということ。もっとかみ砕いてお伝えすると「今は使わない方がいいのでは?」かもしれません。

今回の騒動に学ぼう 「悪意のない脆弱性」と「悪意のある脆弱性」の見分け方

 私も何度かZoomを利用し、その機能には驚いています。スムーズにビデオや音声を共有できますし、会議のメンバーがそれぞれのPCで開いている画面も、簡単に全員と共有できます。もしかしたら、これまで社内で顔を突き合わせていた会議で、目の前にあるプロジェクターを利用するよりも簡単かもしれません。これこそが、Zoomがここまで広まった理由の1つなのでしょう。

 ただし今、Zoomにはたくさんの脆弱(ぜいじゃく)性が明らかになっています。それらは大したことがないというレベルのものではありません。例えば、ZoomのWindows版アプリにおいて、ユーザーログイン情報窃盗につながる脆弱性が発見されました。既に日本においても、Zoomの脆弱性について、情報処理推進機構(IPA)が注意喚起を出しています。

 セキュリティ関連の指摘が相次いだことを受け、Zoom側も対応に動いています。同社は公式に「新機能追加をストップし、セキュリティ向上に務める」というメッセージを発表しました。

設計上、ある意味仕方のない「脆弱性」とは

 Windows版の脆弱性は「悪意ある利用者が特定のパス文字列を投稿し、不注意な利用者がそれをクリックすると、悪意ある利用者がパスワードのハッシュ(Net-NTLM Hash)を取得できてしまう」というものです。既にアップデートのための修正プログラムも公開されていますので、今WindowsでZoomを使っている人は、直ちにアップデートしましょう。これは深刻な問題ではあるものの、ある意味「意図しない実装上の脆弱性」ともいえるもので、Zoomに限らず、全てのアプリに潜在する可能性があります。

 むしろ、Zoomの脆弱性のうちで私が“イヤな匂い”を感じたのは、それ以外のものです。例えば、カナダにあるトロント大学のグローバルセキュリティ研究所Citizen Labは「北米で実施されたWeb会議の一部が、本来接続するはずのない中国のデータセンターを経由する可能性があった」と伝えています。こちらに関しても、Zoomは修正したと述べています。

 これは「設計上の脆弱性」と考えられるかもしれません。修正が済んでいない点にZoom側の関係者が気付かなかった、もしくはすぐに修正する準備ができていた可能性もあります。この脆弱性に対してユーザーが採るべき対策も「すぐにアップデートする」だけです。

より注意すべき「意図的な脆弱性」とは

 問題は「意図的な脆弱性」かもしれません。私がもっとも注目したのは、macOS版Zoomの挙動です。私自身もmacOSでZoomを利用しているため、会議のホストから送られてきたURLをクリックしたところ、クライアントアプリを入れるように指示がありました。当時は「通常のアプリをインストールするときとは何となく挙動が違うな」と違和感を持ったのですが、その正体はユーザーがインストールを直接「許可」しなくても、アプリケーションのインストールが始まる仕組みになっていたことで、これがまさに大きな問題でした。

 Zoomは、macOS版アプリのインストールにおいて「Web会議参加までのクリック数を減らすための」手法を利用したとしています。しかし、その手法はいわゆるマルウェアが利用するような、ある意味でユーザーをだますようなものにも見えます。そのため、多くのセキュリティ専門家がこの手法を強く非難しています。

 これは実装上の不備で埋め込まれた脆弱性でもなく、設計上漏れてしまった脆弱性でもありません。いわば、ユーザーをだますために“意図的に作られた”脆弱性です。基本的に全てのアプリには脆弱性が残ってしまう可能性があるため、ベンダーも私たちもそれが発見され次第、修正プログラムを作り、それを適用する必要があります。しかし、最後に挙げたような挙動は、ベンダー自体がさまざまな理由を付け、利用者に対して本来使うべきではない手法をとった脆弱性です。こういった手法を採るベンダーを、私は信頼したいとは思えません。

1/2ページ

最終更新:4/7(火) 7:05
ITmedia エンタープライズ

こんな記事も読まれています

あなたにおすすめの記事