orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

Zoomで今、何が起こっているのか

f:id:orangeitems:20200407152131j:plain

 

はじめに

Zoomというサービスがテレワークで流行していて、しかしセキュリティーに問題があっていろいろとすったもんだしていると伺いました。

何がZoomに起きているのか、いろんな記事を確認していきます。

 

 

さまざまな脆弱性

toyokeizai.net

アメリカ連邦捜査局(FBI)は3月30日、Zoomを使っていると、不明の人物が突如会議に割り込んできて、人種の悪口を流したり、画面をハイジャックしてポルノの画像を流したりといった報告が相次いでいると警告した。

FBIのボストン支局によると、3月末、マサチューセッツ州の高校でオンライン授業を実施していたところ、不明者が突然授業に“乱入”し、口汚い言葉で罵ったのち、教師の自宅住所を叫んだという。また、別の高校ではオンライン授業中に不審者がビデオ参加し、鉤十字の入れ墨を生徒たちに見せる事例もあった。アメリカでは、こうした現象を「Zoom Bombing(ズーム爆弾)」と呼んでいる。

 

jp.techcrunch.com

この変更によって、「Zoombombing」(ズームボミング、Zoom爆撃)を未然に防げる可能性がある。Zoom爆撃は2週間前に名付けられた用語で、悪意のあるユーザーがZoom会議に参加して、不快な画像や映像を共有する行為だ。その後新たなZoom爆撃の戦術が次々と編み出され、チャットスレッドにひどいGIFアニメを投入したり、バーチャル背景を使って悪意のあるメッセージを流したり、罵る言葉や中傷を叫ぶだけというものも出てきた。匿名の会議は組織的荒らし行為の温床になっている。

 

www.itmedia.co.jp

 Windows版の脆弱性は「悪意ある利用者が特定のパス文字列を投稿し、不注意な利用者がそれをクリックすると、悪意ある利用者がパスワードのハッシュ(Net-NTLM Hash)を取得できてしまう」というものです。既にアップデートのための修正プログラムも公開されていますので、今WindowsでZoomを使っている人は、直ちにアップデートしましょう。これは深刻な問題ではあるものの、ある意味「意図しない実装上の脆弱性」ともいえるもので、Zoomに限らず、全てのアプリに潜在する可能性があります。

 むしろ、Zoomの脆弱性のうちで私が“イヤな匂い”を感じたのは、それ以外のものです。例えば、カナダにあるトロント大学のグローバルセキュリティ研究所Citizen Labは「北米で実施されたWeb会議の一部が、本来接続するはずのない中国のデータセンターを経由する可能性があった」と伝えています。こちらに関しても、Zoomは修正したと述べています。

 

japan.zdnet.com

 Zoom爆弾という行為が、米国で新型コロナウイルスの感染拡大を防ぐために自宅待機を強いられ、退屈した若者の気晴らしになっているようだ。米司法省の発表は、このような状況を受けたものだ。

 若者や学生は、Discord、Reddit、Twitterといったさまざまなソーシャルネットワークを利用し、Zoomの会議を妨害するいたずら行為を組織するなどしている。

 そして悪意のある者がZoomのチャンネルに接続し、侮辱的な発言を投げかける、ポルノ画像を投稿する、他の参加者に犯罪予告をするといった行為に及んでいる。

 Zoom爆弾の問題は2週間で、学校の授業や地方自治体のミーティング、企業の会議、アルコホーリクス・アノニマス(AA)の集会など多くに影響した。

 

gendai.ismedia.jp

創業した当初のズームはとにかく利用者を増やすために、使い易さを最優先して製品が開発され、逆にセキュリティ面はなおざりにされた。当時はそれでも大した問題は起きなかったが、最近になってユーザー数が急増し、多大な注目を浴びるようになると、悪質なハッカー達から嫌がらせや攻撃を受けるようになった。

たとえばビデオ会議中に突如、外部からの侵入者によってポルノ映像やヘイト・スピーチなどが画面に表示されるようになった。これらは「Zoombombing」と総称される。
またユーザーのプライバシー保護も軽視されている。たとえばズーム利用者の個人情報が当人に断りなくフェイスブックに提供されたり、ズームと同時にマルチタスクで利用されているアプリの情報がビデオ会議のホスト(主催者)に知られてしまう、といった問題が指摘されている。

さらに(ビジネスパーソンのキャリアアップに使われるソーシャルメディア)LinkedIn上のプロフィール情報が、ズームを介して他のユーザーに知られてしまう問題も報告されている。これらを理由に米FBI(連邦捜査局)はズームのユーザーに警告を発し、NASA(航空宇宙局)やイーロン・マスク氏のベンチャー企業「スペースX」などが従業員のズーム利用を禁止した。

 

gigazine.net

そんなZoomにまた新たな問題が浮上しました。2020年4月3日、カナダのトロント大学に属するネットワーク中立性とセキュリティなどに関する学術機関Citizen Labが「暗号化キーが中国のサーバーを経由している」「『待機室』機能には脆弱性が存在する」という独自の調査結果を発表しました。

 

japanese.engadget.com

たとえば攻撃者が"¥¥攻撃者ホスト¥共有名¥C$"といったUNCを投げたとき、相手がそのハイパーリンクをクリックすれば、攻撃者には相手のWindowsネットワーク上のユーザー名とパスワード(NTLM)ハッシュが返されます。この情報を手に入れた攻撃者からは、"Pass the Hash"と呼ばれる一種のなりすまし攻撃が可能な状態になり、相手のPCやWindowsネットワークへの侵入の危険性が高まります。

 

jp.techcrunch.com

すでにTechCrunchでもZoomのセキュリティー対策が最悪だということは報じているが、さらに悪いニュースが出ている。

新型コロナウイルスの流行の影響で世界では多数の人々がリモートワークに移行し、ビデオ会議アプリのZoomの人気も急上昇している。しかしこの関心の高まりはZoomのセキュリティ対策とプライバシー保護のずさんさに注目を集めることになった。セキュリティ専門家2名がZoomのバグを利用してユーザーのWindowsパスワードを盗む方法を発見したのに続き、別の専門家がMacを乗っ取ることができるバグをさらに2つ見つけ出した。このバグはユーザーのウェブカメラやマイクを任意に操作できるという。

元NSAのコンピュータ専門家でJamfの主席セキュリティー担当のPatrick Wardle(パトリック・ウォードル)氏は、ゼロデイ攻撃に利用できる未発見のZoomのバグ2件をブログに発表した。同氏は4月1日にこの問題をTechCrunchに知らせてくれた。

 

アプリの成長とニーズが間に合わない顕著な例

上記にある問題のうち、いくつかは現時点で修正されているようですが、まるでユーザーがデバッグを行ったかのような状況です。

いくつかの企業・期間はZoom禁止まで行っているそうで、とは言え、テレワークで経済を凌がなければいけない状況は不可避です。ぜひ、さまざまなバグを塞ぎ、安定を手に入れて頂きたいと思います。

とりあえずは90日間、集中して修正に取り組むと言ってくれています。

 

amp.review

一方、今後90日間は新機能の追加を停止し、透明性レポートの準備、現行のバグ発見報償機プログラムの強化や侵入テスト実施による問題の特定と対処などの取り組みに専念するとしている。

 

成長途中に様々なトラブルは必ず発生し、それを乗り切った企業だけが本物になってきました。いくつもそんな事例を知っています。

こんな時期ですが、Zoom社にはぜひがんばっていただきたく。