Zoom:セキュリティとプライバシーの10のヒント

会社のビデオ会議、家族との会話、オンライン飲みでZoomを利用するときに覚えておきたいヒントの数々。

世界各地でソーシャルディスタンス(他者との距離を取ること)や自己隔離の動きが進む中、連絡を取り合うための手段が求められるようになりました。使いやすいとの評判で価格も手頃なZoomは、あっという間に多くの利用者を獲得しましたが、一方でセキュリティ面において不足の部分が見えてきました。

利用者が増えたことで、Zoomの不具合が次々と明らかになりました。提供元の企業は、急増する負荷にシームレスに対応しつつ、セキュリティリサーチャーの指摘にも迅速に反応しています。しかし、どのようなサービスでもそうですが、コードをアップデートすれば問題がすべて解決するわけではなく、しっかり覚えておいた方がよい問題もあります。この記事では、Zoomを使用するときのセキュリティとプライバシーのヒントを10項目にわたって説明します。

1. 常識を働かせる

Zoomのアカウントは、その他Webサービスのアカウントと変わりません。アカウントを開設するときは、セキュリティの基本に従うことが大切です。パスワードは、他のところでは使っていない強力なパスワードにしましょう。また、アカウントを2段階認証/2要素認証で保護してください。こうしておくと、万が一アカウントのデータが漏洩した場合でも、不正ログインされる可能性が低くなります(今のところそのような事例は発生していませんが)。

このほか、Zoom特有の問題もあります。登録が済むと、ログインIDとパスワードのほかに、パーソナルミーティングID(PMI)が渡されます。このIDは、公開しないようにしましょう。Zoomには、パーソナルミーティングIDを使ってミーティングを作成するオプションがあります。この方法で不特定多数が参加できるミーティングを開催した場合、あなたのパーソナルミーティングIDを知っている人は誰でも参加可能になります。関係のない人に会議へ乱入されたくはないでしょうから、IDの共有は慎重に。

2. Zoomへの登録には仕事用メールアドレスを使用する

Zoomには、同一ドメインのメールアドレス(@gmail.com や@yahoo.comのようなメジャーなドメインのものを除く)を同じ会社に属するものと判断し、同一ドメインを使っている会議参加者の連絡先に自動的に登録してしまうという問題があります(原稿執筆時点では未修正。リンク先は英語記事)。たとえば、「@yandex.kz」で終わるメールアドレス(カザフスタンの無料メールサービス)でZoomに登録した人が、この問題に遭遇しています。小規模なメールプロバイダーのメールサービスを使っていると、同じことが起きる可能性があります。

そこで、Zoomに登録する際は会社のメールアドレスを使用しましょう。実際の会社の同僚と会社の連絡先を共有する分には、問題ありません。仕事用のメールアドレスを持っていない場合は、広く使われているドメインのメールアドレスを作って、個人情報の詳細を非公開の状態にした上で、Zoom用に使用しましょう。

3. 偽のZoomアプリケーションに用心する

KasperskyのセキュリティエキスパートであるDenis Parinovが発見したところでは、名の知れたビデオ会議サービス(WebEx、GoToMeeting、 Zoomなど)の名前をファイル名に組み込んだ悪意あるファイルの数は、今年3月、昨年同月の3倍に達しました。Zoomなどビデオ会議サービスの需要が高まっているのに乗じ、サイバー犯罪者たちがマルウェアをビデオ会議用クライアントに見せかけようとしている可能性が高いと考えられます。

どうぞだまされないで!Zoomを使うならば、WindowsやMacの場合は公式サイト(zoom.us)から、モバイルデバイスの場合はApp StoreまたはGoogle Playからダウンロードしましょう。

4. 会議のリンクはSNSで共有しない

大勢が集まる公開イベントを開催しようと考えたとき、現在はオンラインで開催するしかない場合が多々あります。こうした需要からも、Zoomへの関心が高まっています。あなた自身も公開イベントを主催することがあるかもしれませんが、本当に誰でも参加できるタイプのイベントを開催する場合であっても、SNSで会議のリンクをシェアするのはお勧めできません。

この記事を読む前にZoomの話題を目にしたことがあるなら、「Zoombombing」についてご存じだと思います。Zoomでの会議を不快なコンテンツで荒らす行為のことで、Techcrunchのジャーナリストであるジョッシュ・コンスチン(Josh Constine)氏が使い始めた言葉です(リンク先は英語)。Discordや4Chan(いずれも英語の掲示板、荒らしが多いことで知られる)上には、次の襲撃先を話し合うスレッドが複数あります。

これから開催予定のイベントの情報を、彼らはどこで得ているのか?そう、SNSで見つけるのです。したがって、Zoom会議のリンクを公にするのは避けましょう。何らかの理由で公開したいのならば、パーソナルミーティングIDを使うオプションを有効化しないことをお勧めします。

5. 会議はそれぞれパスワードで守る

参加してほしい人だけに参加してもらうには、やはりパスワードが重要です。Zoomは最近、パスワード保護が規定で有効になるように仕様を変更しました。よい動きです。とは言え、ミーティング用のパスワードと、自分のアカウントのパスワードを混同しないようにご注意ください。また、会議のリンクの場合と同じように、会議用のパスワードをSNS上でシェアしたり、その他誰でも見られるような場所に掲載したりしないでください(せっかく荒らしに入られないようにしているのに、これでは努力が水の泡です)。

6. 「待機室」を有効にする

会議をしっかりコントロールするための機能には、このほかに「待機室」があります。主催者から承認を得るまで待機させる機能で、最近になって既定で有効化されました。この機能を使えば、会議への参加が主催者の許可制になるので、参加するはずではない誰かがパスワードを入手してやってきても、会議に入れないようにすることができます。また、迷惑な人を会議から待機室へ退去させることもできます。

7. 画面共有機能に注意する

通常のビデオ会議用アプリケーションには、画面共有機能があります。ある参加者の画面を他の参加者の画面に表示する機能で、Zoomにもあります。そこで、いくつか注意点を挙げてみます。

  • 画面共有機能を主催者のみに限定するか、会議参加者全員が使えるようにするか:他の人から画面を共有してもらう必要がないのであれば、どちらを選ぶかは言うまでもありません。
  • 複数の参加者が同時に画面を共有できるようにするか:こうする必要がある理由がぱっと出てこないのなら、その必要がないということでは。今後有効にする必要が出てきたときは、この点をもう一度思い返してみてください。

8. できるだけWebクライアントを使用する

さまざまなZoomクライアントでさまざまな不具合が生じています。一部のバージョンは、デバイスのカメラとマイクに不正アクセスを許すタイプの不具合があり、別のバージョンでは、Webサイトが利用者を同意なく通話に追加できるようになる不具合がありました(リンク先はいずれも英語)。Zoomは、これらを含む各種問題の解決に迅速に対応し、同じく外部から指摘されていたFacebookやLinkedInへの利用者データ共有を停止しました。しかし、適切なセキュリティ評価が行われていない以上、Zoomクライアントに脆弱性が残っている可能性は高く、第三者とのデータ共有のようなグレーなことがまだ行われているかもしれません。

したがって、Zoomのクライアントをデバイスにインストールするのではなく、WebブラウザーからZoomを利用することをお勧めします。Webクライアントはブラウザーのサンドボックス内にとどまり、デバイスにインストールされたクライアントのようにさまざまな権限を持つことがないので、起きるかもしれない問題は比較的抑えられます。

しかし、場合によっては、Webインターフェイスを使おうと思っても、Zoomがさっさとインストーラーをダウンロードしてしまって、会議に参加するにはもうクライアントをインストールするしかなくなっている場合があるかもしれません。そういったときは、少なくとも、Zoomをインストールするデバイスの数を1台までに制限することができます。インストール先のデバイスは、2台目のスマートフォンや予備のノートPCなど、個人情報が入っていないデバイスを選ぶのがよいでしょう。警戒しすぎに聞こえるのは重々承知ですが、「後悔先に立たず」という言葉がありますから。

ところで、勤め先ですでにSkype for Business(以前の名称はLync)を使用しているならば、そちらを利用することもできます。Skype for BusinessはZoomと連携できます。また、Zoomと同じようにビデオ会議が可能で、ここまで見てきたような不具合はありません。

9. 「エンドツーエンドの暗号化」を文字どおり信じない

Zoomが市場でシェアを伸ばしたのは、価格と機能だけが理由ではありません。エンドツーエンドの暗号化をうたっているのも、理由の1つです。エンドツーエンドの暗号化とは、あなたと相手との間で交わされる通信をすべて暗号化し、あなたたち以外の誰かには見えない状態にするものです。そのサービスのプロバイダー(たとえばこの場合ならZoom)であっても、暗号化された通信の中身を見ることはできません。

しかし、複数のセキュリティリサーチャーは、そうはなっていないと指摘しています。これに対してZoomは、この「相手」がZoomのサーバーを意味すると認めざるを得ませんでした(英語記事)。要するに、会議の動画は暗号化されますが、Zoomの社員、可能性としては法執行機関も、動画にアクセス可能であるという意味です。チャット内のテキストについては、確かにエンドツーエンドで暗号化されているようです。この暗号化をめぐるあれこれは、Zoomの使用をきっぱりやめてしまうほどの理由にはなりません。その他の一般的なビデオ会議サービスも、エンドツーエンドの暗号化がなされていないことですし。何にせよ、Zoomで個人的な秘密や取引上の秘密を話し合わない方がよさそうです。

10.  人々が何を見て何を聞くかに思いを巡らす

これは、Zoomにかぎらずどのビデオ会議サービスにも言えることです。会議に参加する前に、「自分が参加した瞬間に他の参加者には何が見えるだろうか(聞こえるだろうか)」と考えるようにしましょう。あなたは部屋に一人でいるかもしれませんが、他の参加者はあなたがそれなりにちゃんとした服装をしているだろうと思っているかもしれません。基本的な身だしなみは整えて参加するのがよいのではないでしょうか。

自分の画面を共有する場合にも、同じことが言えます。他の人に見せたくないウィンドウは閉じておきましょう。会議参加者の誰かにあげる予定のサプライズギフトを検索中なのが知られてしまったり、転職サイトを見ているのがばれてしまったりするかもしれません。

Zoomの会議を楽しもう

自己隔離が続くと飽きてきますし、孤独を感じるかもしれません。でも、考えてみてください。ブロードバンドもビデオ会議もない時代、リモートで仕事をする術がなかった時代にこんな状況になっていたら…。このようなツールがあって、どんなにありがたいことか。使い方に気をつけて、オンラインでの会合を楽しみたいですね。

ヒント