「Zoombombing」（Zoom爆撃）の被害を防ぐ方法とは？ FBIの推奨策は：Zoomを襲う悪質行為【後編】

在宅勤務などのテレワークの手段として導入が進むWeb会議ツール「Zoom」。その利用時に注意すべき脅威が、第三者が会議に乱入する「Zoombombing」だ。どう対処すればよいのか。

[Margaret Rouse，TechTarget]

　「Zoombombing」は、Web会議ツール「Zoom」を使った会議に第三者が不正侵入し、悪質な画像やマルウェアをばらまくサイバー攻撃だ。これを防ぐには、会議ごとのIDである「ミーティングID」ではなく、パスワードを使用して会議に参加するように設定するとよい。

併せて読みたいお薦め記事

Zoomにまつわるトラブル

• Zoomが訴訟に追い込まれた「エンドツーエンド暗号化」の意味とは？
• 「Zoom」がテレワーク需要で不具合　自宅の無線LANトラブルが原因の苦情も

Web会議ツールとセキュリティ

• 「Teams」がZoomを教訓にセキュリティ強化　それでも感じる不足とは
• ZoomなどのWeb会議で「バーチャル背景」を使いたくなる“切実な理由”
• バーチャル背景だけじゃない　Web会議のプライバシーとセキュリティ8大保護策

　仮想ロビー機能「待機室」を利用して、「ホスト」（会議主催者）が許可した参加者だけが入室できるようにすると安全性が高まる。待機室を有効にするには、Zoomのポータルサイトにサインインして「ミーティング」をクリックし、すでに設定したミーティングまたは「新しいミーティングをスケジュールする」を選択して、「ミーティングオプション」の「待機室を有効にする」をオンにする。

　Zoomは、大規模な公開グループ会議では画面共有をホストのみに許可することを推奨している。そのためには、「画面の共有」ボタンをクリックし、「高度な共有オプション」で設定するとよい。

“FBIお墨付き”のZoombombing対策も

　会議を開始して参加者全員が入室したら、ホストが会議室をロックすることでセキュリティを高められる。参加者全員の音声を入室と同時にミュートし、参加者が自分ではミュートを解除できないようにすることも妨害防止に役立つ。ホストは参加者の名前にマウスを重ねてその参加者を退出させることも可能だ。

　米連邦捜査局（FBI）は、プライバシーとセキュリティの強化策として、リモートアクセスやオンライン会議アプリケーションを最新バージョンにアップデートすることを推奨している。Zoomの提供元であるZoom Video Communicationsは2020年1月のアップデートで、会議を標準でパスワード保護し、攻撃者が会議に乱入しづらくした。

　2020年4月にはさらにセキュリティを強化し、会議への不正侵入防止に役立つ新しい暗号化とプライバシー保護機能を追加した。このアップデートでは、ホストが不審な参加者を報告できる新しいセキュリティボタンが加わった。この報告はZoom Video Communicationsのトラスト＆セーフティチームに送信され、チームはZoomが不適切に使用されていないかどうかを調査し、場合によってはその不審な参加者をブロックする。

　他にも参加者は強制的に待機室に入り、ホストの許可がないと会議に参加できないようになった。決まった大きさのデータ単位で暗号化する「ブロック暗号」と、ブロック暗号の安全性を高める仕組み「暗号利用モード」の組み合わせとして、鍵長256bitの「AES-GCM」による保護を可能にした。これによりプライバシー保護が強化され、オンライン会議の機密性が高まる。

　ZoomにはZoombombing以外にも、攻撃者が参加者の制御を奪う危険があるなどの脆弱（ぜいじゃく）性について批判があった。セキュリティ問題を解決する取り組みとして、Zoom Video Communicationsはセキュリティ研究者によるバグの発見を奨励する「バグバウンティ（報酬金）プログラム」を強化した。

　セキュリティとプライバシーの問題を解決できれば、Zoomは長期的な成功に向かって大きく前進するだろう。Zoom Video Communicationsの競合相手にはFacebook、Google、Microsoft、Cisco Systems、LogMeIn、Blue Jeans Networkなどがあり、競争の激化も課題だ。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。