Zoom 活用ノウハウ | Zoom | {{ site_settings.logo_alt }}

Zoomのセキュリティ問題とは?2020年7月現在までの最新アップデートや安全に使うための対策方法 | Zoom活用ノウハウ

作成者: ブイキューブ|2021.05.30

Zoomの導入を検討されている企業の方、もしくは既にZoomを導入されている方の中には、「Zoomのセキュリティって安全なの?」と疑問を持たれている方も多いのではないでしょうか

Zoomのセキュリティに関する問題は、新型コロナウイルスの影響により、世界的にZoomの利用者が急増した2020年3月ごろからアメリカを中心に指摘されるようになりました。

Zoomが明記していたセキュリティ対策が、実際には実装されていなかったことも問題を大きくした原因の一つです。

ユーザーからのZoomへのセキュリティの懸念が高まったことにより、Zoomはミーティング機能そしてウェビナー機能のアップデートを開始。2020年7月までにセキュリティを強固にする様々な機能が実装されています

本記事では、Zoomのセキュリティにはどのような問題があったのかを解説すると共に、2020年7月までに行われたZoomの対策、そして企業がZoomを安全に導入するにあたり、頭に入れておくべきことについて解説をしていきます。

Zoomのセキュリティは2020年4月のアップデートで、強固に

Zoomはかつてから、セキュリティの脆弱性に関する問題点が指摘されていましたが、2020年4月に複数回のアップデートを実施。「Zoom 5.0」へのバージョンアップを行い、セキュリティを強固なものにしました。

セキュリティに関する指摘は、アップデートにより収束に向かっており、現在では企業が最も安心して導入できるWeb会議ツールの1つになっていると言えるでしょう。

また同年4月には、Zoom社の経営陣からお客様に向けての声明文が発表されました。

声明文には、「Zoomは、業界で一番安全なビデオファーストコミュニケーションプラットフォームを開発し、大切なお客様に引き続き満足していただけるよう尽力しています。」と明言されており、Zoomはセキュリティを更に強固なものにするために、今後も多くの機能が追加される予定であることが示されています

指摘されていたZoomのセキュリティの問題点

Zoomを正しく安全に使うためにも、Zoomのセキュリティに関して、どのような問題点が指摘されていたのかを知っておく必要があるでしょう。

Zoomのセキュリティ問題で大きく指摘されているのは、以下の5つの問題です。

  1. Zoomのユーザー情報がFacebookに送信されていた
  2. 参加者のプライバシーを侵害する恐れ
  3. 第三者が勝手にミーティングに参加する恐れ
  4. Windowsユーザーのパスワードが盗まれるの可能性
  5. エンドツーエンドの暗号化がなされていない可能性

ここからは、上記で挙げた問題点の詳細と、Zoomが実施した対策について解説をしていきます。

Zoomのユーザー情報がFacebookに送信されていた

iOS版のZoomアプリを起動する際に、ユーザーの情報をFacebookにで同意なく送信されてしまう問題点が指摘されました。

これはZoomアプリに、Facebookアカウントでログインができるように「Facebook SDK」を採用したことにより、ユーザーのIPアドレス・使用端末・通信キャリアなどが転送されてしまっていたことが原因になっています。なお、Facebook SDKが収集していた情報に、参加者の氏名など個人を特定する情報は含まれていません。

実際に2020年3月には、Zoomのユーザーが、本人の同意なしにデータが転送されるのは米カルフォルニア州のデータ保護法に違反するとして、Zoom社を相手に集団訴訟を起こし、日本でも大きな話題を呼びました。

Zoom社はアップデートにより対応を行い、「Facebook SDK」を削除しながらも、Facebookアカウントでログインできる体制を再構築しました。ただし、旧バージョンのZoomアプリを利用する場合には適応されない可能性があるため、「Zoom 5.0」へのバージョンアップが必要になってきます。

参考:Zoomの iOS クライアントでの Facebook SDK 利用について - Zoom Blog

参加者のプライバシーを侵害する恐れ

Zoomのミーティングもしくはウェビナーの参加者が、Zoomから30秒以上視線を逸らしている場合、ホスト(管理者)に通知がいく「アテンショントラッキング」の機能がありました。

ミーティングやウェビナーに集中して参加しているかをホスト側が確認するために設けられた機能でしたが、ユーザーがからは監視されているようでプライバシーの侵害にあたるとして非常に不好評でした。

また、アテンショントラッキングの機能の存在をZoomが十分にユーザーに告知しておらず、知らず知らずの間に監視されていたことも批判が大きくなった要因です。

2020年4月4日のアップデートにより、アテンショントラッキング機能は削除され、現在はホスト側がこの機能を利用することはできなくなっています

第三者が勝手にミーティングに参加する恐れ

ミーティングやセミナーに関係のない第三者が勝手に参加してしまう「Zoom爆弾(Zoom Bombing)」と呼ばれる荒らしの問題が指摘されていました。

実際に日本の大学でもZoomを使ったオンライン授業を実施している最中に、第三者が招待URLを入手し、勝手に授業に参加。チャットルームを荒らす、不快な画像を共有するなどといった問題が報告されています。

このような問題を受け、Zoomはホスト側が参加者の入退室を管理できる「待合室」機能の設定をデフォルトでオンにするといった対策を講じました。またパスワードを必ず設定するといった対策を行うことによって、Zoom爆弾を防ぐことができます。

Windowsユーザーのパスワードが盗まれる可能性

Windows版のZoomアプリを使用すると、ハッキングの被害に合う可能性を否定できず、パスワードが盗まれる可能性があるという指摘がされていました。

Zoomのミーティングでは、参加者同士がグループチャットでテキストメッセージを送り合うことができます。このグループチャットを利用して、不正なリンクを共有することにより、クリックしたユーザーのIDやパスワードなどの認証情報が盗まれてしまうという問題です。

こちらの問題もZoom社は迅速に対応を行い、アップデートにより、2020年3月に解決されています。

エンドツーエンドの暗号化がなされていない可能性

「エンドツーエンド暗号化(E2E)」とは、通信を行う二者のみがデータの暗号化と復号を行うことができ、接続事業者や通信サービスの運営者であっても、通信内容を覗き見できないシステムのことを指します

Zoom社は、「Zoomのミーティングはエンドツーエンドで暗号化されている」と表記ていたものの、実際はエンドツーエンドの暗号化がなされておらず、Zoom側がユーザーの情報を閲覧できる状況になっていることが明らかになりました。

例えば、Zoomのオンラインミーティングでやり取りをした企業の機密情報が、Zoom側に見られてしまうという可能性があるシステムだったのです。

この問題を受けて、Zoom社は、一般的なエンドツーエンドの暗号化がなされていなかったことを認め、ユーザーへの謝罪を行いました。また、無料プランを含め全てのユーザーに、エンドツーエンドの暗号化を提供すると発表しました。

参考:ミーティング・ウェビナーの暗号化について (翻訳版) - Zoom Blog

Zoomを安全に使うための6つの対策方法

Zoomは、2020年3月以降アップデートを繰り返し、高いセキュリティ性を誇るようになりました。しかし、安全に扱うためには、Zoom側だけでなく利用する側のセキュリティに関する意識も大切です

ここからは、Zoomで安全にミーティングやウェビナーを行うための、対策方法について解説をしていきます。

①Zoomの最新バージョンに更新する

これからZoomを利用するのであれば、自動的に最新のバージョン「Zoom 5.0」がインストールされますが、4月27日以前にZoomを導入したユーザーは、アップデートを行う必要があります

Zoom 5.0には、通信を暗号化する「AES 256ビットGCM」のシステムをはじめ、厳重なセキュリティ対策がなされています。特にホスト側の権限が強くなり、意図しないユーザーのミーティングへの参加拒否や通報ができるようになりました。

なお、今後もセキュリティ強化のために、引き続きZoom社はアップデートをしていく予定です。Zoom 5.0にアップデートした後も、常に最新のバージョンの利用を心がけましょう。

参考:Zoom 5.0が登場しました!

②待機室の設定をオンにする

待機室機能を使うことにより、参加者は招待URLをクリックしてもホストの許可がなければ、ミーティングに参加できないようになります。この機能によって、不正にミーティングの招待URLを入手した人の参加を防ぐことができます

Zoom 5.0では、待合室機能はデフォルトで有効化されているので、特別な設定は必要ありません。ホスト側は、参加者の入室承認をしなければならず手間はかかりますが、セキュリティ対策を考えると、無効化しないことをおすすめします。

③パスワードを設定する

Zoomミーティングは、ミーティングIDだけで入室できますが、入室するためのパスワードを別途設定できます。任意のパスワードを決めることができるので、他人にわからない複雑なパスワードを設定し、定期的に更新することをおすすめします。

④ミーティングのIDをむやみに公開しない

パスワードの設定をしていないとミーティングIDがあるだけで、第三者がミーティングに勝手に参加できることになります。パスワードを設定し、安全に管理をするとともに、そもそもミーティングIDを他人に後悔しないようにしましょう。

⑤機密情報に関しては、なるべく話さない

Zoomミーティングはクローズドな環境のように思ってしまいますが、不正なアクセスにより通信を傍受される可能性が全く無いとは言い切れません。企業の経営に関わる重要な意思決定や、顧客の情報をZoomミーティングで話すのは控えるようにしましょう

⑥フリーWi-Fiを使用しない

カフェや駅・空港などでつい利用しがちなフリーWi-Fiですが、通信内容が暗号化されておらず、第三者が通信内容を傍受する可能性があります。新型コロナウイルスの影響で、オフィス以外で勤務するケースも多くなった現在において、Zoomの利用が想定される社員には、フリーWi-Fiを使用しないようにルールを徹底する必要があります。

テレワークにはセキュリティ対策が必須!とるべき7つの施策とツールを解説

関連記事「テレワークにはセキュリティ対策が必須!とるべき7つの施策とツールを解説」では、企業がテレワークを実施するにあたり、情報漏洩を防ぐために必要なセキュリティ対策について詳しく解説しています。これから本格的にテレワークを自社で行っていくという企業の担当者様は、ぜひ参考にしてください。

まとめ|アップデートにより企業にも安心して導入できるWeb会議ツールになりつつある

本記事では、Zoomのセキュリティの問題や、安全に扱うための対策方法について解説をしてきました。

Zoomは、2020年3月ごろからセキュリティに関するユーザーからの指摘が相次いだのは事実です。しかし、アップデートにより改善を行い、今や他のWeb会議ツールと比較しても、厳重なセキュリティ性を誇るツールの1つになりつつあります。

新型コロナウイルス禍において、人と人との接触を防ぐためにオフィスへの出勤人数を減らし、テレワークにシフトする企業が増えています。

テレワークにおいてWeb会議ツールは必須とも言えますが、企業はセキュリティ面をしっかりと確認した上で導入する必要があるでしょう。今回、ご紹介したZoomのセキュリティ面の問題や対策をしっかりと理解した上で、適切なツールを導入しましょう。

ブイキューブが提供するZoom

Zoomの代理店であるブイキューブではZoomミーティングのプロプランを月額 円〜 / ライセンスから利用できます。安心のサポート付きプランや、請求書払いにも対応し、企業のウェビナー導入を後押しします。詳細はこちら