オンラインビデオ会議のセキュリティ
新型コロナウイルの感染拡大以降、これまで対面で行われていた多くの活動がオンラインに移行しました。子どもの自宅学習、在宅勤務、友だちや家族との連絡など、さまざまな活動がインターネットに頼るようになっており、この傾向は今後も続くと思われます。
ビデオ会議は、この代表的な現象といえるでしょう。2020年4月にZoomが発表したところでは、1日あたり3億人がビデオ会議に参加しています。2019年12月には、1日あたりの利用者が1000万人だったため、わずか4か月で30倍に増えたことになります。パンデミックの影響で、Zoomはここ数か月で最もダウンロードされたアプリのひとつとなりました。学生、教師、家族、企業、地域社会など、あらゆる規模のグループが、ビデオ会議を活用して、さまざまな活動を行っています。なかには著名なユーザーもいて、アメリカ連邦準備制度理事会のアラン・グリーンスパン元議長やボリス・ジョンソン英首相も利用しています。しかし、ビデオ通話はいったいどのくらい安全なのでしょうか。
ここでは、ビデオ会議の安全性と、どうすればビデオ通話の安全を保つことができるかについてご紹介します。
ビデオ会議の安全性
最近の在宅勤務の急速な広まりとハッキングの危険をふまえ、米国政府は、ビデオ会議が国家安全保障に関わる問題になりつつあると考えています。先日、米国の国家安全保障局が、最も人気のあるビデオ通話ツール13種の評価を発表しました。
主な評価基準はつぎのとおりです。
- エンドツーエンドの暗号化を使用して、第三者が通話を盗聴できないようにしているか
- ユーザーアカウント保護のために、多要素認証を採用しているか
- 公に公開され検証可能なオープンソースコードの技術を採用しているか
- データをアフィリエイトサービスなどの第三者と共有していないか
- ユーザーは必要に応じて(クライアント側とサーバー側の両方で)サービスとリポジトリからデータを安全に削除できるか
こちらでリポート全文を読むこともできますが、要旨としては、いずれのビデオ通話サービスも、少なくともひとつはセキュリティ上の不備を抱えていると、国家安全保障局は結論付けています。以下はその例です。
- Google GSuite と Microsoft Teams は、エンドツーエンドの暗号化を備えておらず、オープンソースコードを使用していない。
- Cisco WebEx、Zoom、Slack、Skype for Businessにはデータ削除ポリシーがあるものの、最適なものとは言えない
- GoToMeetingには多要素認証オプションがない
国家安全保障局は、FacebookのWhatsApp、Signal(WhatsAppはSignalのプロトコルを採用しています)、チャットアプリWickrに最も高い評価を与えています。国家安全保障局のレポートは絶対ではないにしても、ビデオ会議の安全性に関する重要な事柄をまとめた便利な指標と言えます。現在市場に出回っている製品のいずれも、安全に関するすべてのチェック項目をクリアできていないようです。
ビデオ会議の安全性に関する懸念
オンラインビデオ会議の安全性に関する懸念材料としては、以下が挙げられます。
エンドツーエンドの暗号化が行われているか
これは、通信を保護するためビデオ会議が暗号化されているかどうか、ということです。暗号化されていれば、関係者だけが視聴でき、無関係のユーザーはもちろん、そのサービス運営者自身も会議内容をのぞき見することはできません。データ暗号化とその仕組みについて、くわしくは 「データ暗号化とは何か」という記事をごらんください。
ビデオ通話を第三者が傍受して録画することができるか
他のユーザーが通話を盗み見して録画できるようになっていないでしょうか。誰が通話に参加できるか、しっかりと管理できているでしょうか。学校がオンライン授業でZoomを使用するようになれば、プライバシー侵害が子供の安全に直結するおそれがあります。Zoomのビデオ会議は、数字の並びでできている短いURLで簡単にアクセスできます。サイバー犯罪者は、こうした数字を簡単に生成したり推測したりすることができるため、注意が必要です。
アカウントの情報データがどのように利用されているか
EUの一般データ保護規則や カリフォルニア州の消費者プライバシー法など、プライバシーに関するルールはどのくらい遵守されているでしょうか。どのようなデータが収集され、誰がその収集データにアクセスできるか、ポリシーが公開されているでしょうか。
ビデオアプリに関連するデータがどこに保存されるか
これは、機密情報や機密文書をやりとりする場合にはとくに重要な項目です。
- Skypeでは、手動で変更しないかぎり、受信した画像はデバイスの中に保存されます。
- Zoomでは、ビデオ通話と同時に進行するチャットログをダウンロードすると、ビデオ通話に参加しているユーザー同士のプライベートなチャットまで含まれてしまいます。たとえば、仕事関係の通話をしているときに、他の参加者と秘密で私用チャットをしていると、見られたくないそのチャットの情報までダウンロードされてしまいます。
アプリに監視機能が備わっていないか
たとえば、Zoomの「アテンショントラッキング」機能がかつて物議をかもしたことがあります。ユーザーが何かをクリックして30秒以上Zoonウィンドウから離れていると、ホストがそれを確認できるという機能です。この機能を使うと、従業員が本当に会議に参加しているかどうか経営者がチェックしたり、学生が授業を本当にリモートで視聴しているか調べたりすることができるようになります。
マルウェアを不用意にダウンロードし不正侵入の被害に遭う危険はないか
たとえばビデオ通話の利用時に、カメラやマイクにアクセスするプログラムを知らないうちにダウンロードしてしまう可能性があります。こうしたプログラムを悪用し、サイバー犯罪者が個人情報を漏えいしてしまうかもしれません。
Zoomの例を挙げると、過去にはZoomのセキュリティの脆弱性が報告されています。たとえば2019年、Zoomがユーザーのデバイスに隠しWebサーバーをインストールしていたことが判明しました。この隠しサーバーは、本人の許可なくユーザーをZoom通話に強制参加させることができました。また、これとは別のバグが原因で、Zoomを使用しているユーザーのMacがハッキングされることもありました。Webカメラにアクセスされたり、マイクを乗っ取っとられたりするなどの被害が発生したのです。この事態を受けてZoomはセキュリティ上の問題に真剣に取り組むようになり、公式ブログで定期的に情報を公開しています。
オンラインビデオ通話のハッキングの事例
ビデオ通話のハッキングで最も有名な事例のひとつが「Zoom爆撃」です。これは、ハッカーがチャットルームに乱入して人種差別的な言葉を吐いたり、暴力をほのめかして脅迫したりする行為です。「Zoom爆撃」という用語はZoomアプリに由来しているものの、WebExやSkypeといったZoom以外のビデオ会議プラットフォームでも同様の事件が発生しています。2020年3月のFBIの発表では、増加するビデオ通話のハッキングについて、捜査が進められているとのことです。
RedditやDiscordには、Zoomの通話を荒らす方法について話し合われているフォーラムがあります。またTwitterでは、不正侵入できるビデオ会議のパスワードを公開するアカウントが多数存在しています。ビデオ通話をハッキングしてオンライン授業を妨害しようと煽っている学生もいます。
招待されていないユーザーに不正侵入され、卑猥な言葉や人種差別発言を乱発してビデオ会議を乗っ取られると、ホストは会議を閉じざるを得ないのですが、その様子が録画され、TikTokやYouTubeなどの動画共有プラットフォーム上で公開されてしまうこともあるのです。
過去には、「Zoom.us」を含むURLをGoogleで検索するとパスワード保護されていない会議を見つけることができたため、不正侵入被害が多発していました。
ビデオ会議が乗っ取られ騒ぎを起こされるのも迷惑ですが、誰にも気づかれずにビデオ会議に潜入している侵入者のほうが、より危険です。参加者個人のプライバシーだけでなく、ビジネスでZoomを利用している企業の機密情報が危険にさらされるリスクがあります。
Forbes が最近報じたところでは、あるサイバー犯罪者は盗まれたZoomの認証情報を50万件超も売りさばいています。これには、パーソナルミーティングのURLとZoomホストキーも含まれていました。この認証情報のほとんどが、他のサービスで流出したパスワードを悪用して不正入手されたものと考えられています。
これを受けて、Zoomはつぎのように述べています。
「弊社はすでに、こうしたパスワードダンプとパスワードダンプを作成するために用いられるツールを発見するため、情報セキュリティ調査企業と契約を結びました。また、ユーザーをだましてマルウェアをダウンロードさせたり認証情報を入力させたりする数多のWebサイトを閉鎖させることに成功しています。弊社は調査を続け、不正侵入されていることが明らかになったアカウントをロックし、パスワードをより強力なものに変更するようユーザーに要請しています。また、セキュリティ強化の取り組みをさらに推し進める技術の導入を検討しています。」
Zoomの通話を保護する方法
ビデオ通話ツールとして、Skypeが昔から広く知られています。また、FaceTimeもよく使われています。ところがコロナ禍以降、Zoomが最も人気のあるビデオ会議アプリとなりました。
ユーザーの急増にともなって、Zoomはビデオ会議を利用するユーザーのセキュリティを真剣に考慮していないのではないかという批判が高まっています。以前から一部のユーザーが考えていたように、Zoomがエンドツーエンドの暗号化を備えていないという事実が、疑念を呼んでいます。Zoomは、会議にロックをかける方法をブログや動画で公開していますが、それでも依然として、セキュリティはユーザー自身の肩にかかっている状態です。
Zoomの通話を保護するための7つのヒント
- パスワードを設定し認証を求めることで、ミーティングルームにロックをかけることができます。こうすると、招待したいユーザーだけが通話に参加できるようになります。
- 画面の共有にロックをかけることもできます。そうすることで、必要なユーザーしか画面を共有できなくなります。
- 送られてきたリンクやドキュメントをクリックしたり開いたりするときは、注意が必要です。別の手段を使って、送信者がほんとうにリンクやドキュメントを発信したか確認してください。
- 背景に映り込むものに注意してください。たとえば、身の回り品や子どもの写真などを見られたくない場合は、それらが映り込まないように移動させてください。Zoomには背景を変更できる機能があります。(Skypeなど、その他のビデオ会議アプリにも、背景をぼかすオプションがあります。)
- 画面共有機能を使用する前に、画面に映り込む内容に注意してください。たとえば、他のタブや、プライベートなチャットのウィンドウが開いているかもしれません。または、仕事の機密情報や個人情報が含まれるドキュメントが映り込むかもしれません。住所が記載されたメールを誤って表示したり、IDやクレジットカードなど、他人に見られたくないものを誤って表示したりしないように注意してください。
- インストールしたZoomアプリケーションの設定を確認してください。デフォルトでは有効になっていないセキュリティ設定がいくつかあります。Zoomは、デスクトップ用と携帯電話用で設定が異なります。デスクトップ版の設定は、モバイル版よりも細かい制御ができます。たとえば、ホスト用に多くの管理ツールが用意される一方で、ユーザー側ではブロックされたアカウントの設定しか管理できません。
- アプリのアップデート情報を常に確認してください。最新の状態に保つことで、新しいプライバシー保護機能やセキュリティ機能を入手して、通話の安全をさらに高めることができます。
ビデオ通話を保護する方法
ビデオ通話を保護する方法は、プラットフォームごとに細かく異なります。このため、自分が利用するプラットフォームでの方法をきちんと理解することが重要です。とはいえ、どのビデオ通話アプリを利用しているかに関わりなく、大筋の原則はほぼ共通しています。
オンラインビデオ通話の安全を守るためのポイントはつぎのとおりです。
共有している内容を確認する
ビデオ通話中の発言や行動など、ネット上で共有される内容には気を付けましょう。通話を録画したものを他人が手に入れたり、何者かが突然無断で会議に乱入したりするリスクがあるため、公開する内容には注意してください。どうしても必要な場合を除き、個人情報を公開するのは避けましょう。
招待リンクの共有に注意
招待リンクを、公開されているソーシャルメディアに投稿したり、グループメールやオンラインプロフィールなど、他人に見られるおそれのある場所で公開したりしてはいけません。会議ソフトウェア内から参加者を招待するようにし、招待者にも、リンクを共有しないよう伝えてください。
会議が転送されたら警告するよう設定
ビデオ会議への招待がメールで他の人に転送されたら警告が出るように設定することができます。この設定を利用すると、追加された招待者に問題ないか確認できるうえ、招待の不正な転送をすぐ見分けることができます。必要なら、会議への参加制限を設定しなおしたり、ビデオ会議の日程を変更したりしましょう。
強力なパスワードを設定する
ほとんどのビデオ通話アプリには、パスワードで通話を保護する機能があります。簡単に推測できない強力なパスワードを設定しましょう。パスワードは使いまわしせず、アプリやサービスごとに異なるものを使用してください。
ビデオ会議ツールでエンドツーエンドの暗号化を選択する
こうすることで、第三者が通信を傍受できなくなります。エンドツーエンドの暗号化を備えている主要なビデオアプリはつぎのとおりです。
- Google Duo
- Apple の FaceTime
- Cisco WebEx
- GoToMeeting
- Signal
ソフトウェアを最新の状態に保つ
アプリは定期的にアップデートしましょう。アプリが古くなっていたり、過去のバージョンのまま使用していたりすると、セキュリティ上重要な脆弱性が修正されず、不正侵入などの被害に遭う可能性が高まります。多くの場合、アップデートにはセキュリティパッチが含まれていて、バグや脆弱性を修正してくれます。ハッカーから身を守るため、ビデオ会議アプリを最新の状態に保ちましょう。アプリの開発者がセキュリティ上の欠陥を修正するパッチを配信したら、アプリをアップデートしてその更新を適用することができます。これは、ビデオ通話やビデオ会議アプリにかぎらず、あらゆるアプリで必ず必要な対策です。アプリとデバイスを最新の状態に保つことはとても簡単です。ほとんどの場合、アップデートを確認するだけで、他に何もする必要はありません。ビデオ会議の参加者が利用可能な最新バージョンを使用していることを、あらためて確認してください。
すべての参加者が集まったところで、会議にロックをかける
ただし、参加者が退席してしまった場合は、会議のロックをいったん解除して再接続してもらい、復帰後にあらためてロックをかける必要があります。
ビデオ会議ソフトウェアで待合室機能を活用する
この機能を使うと、参加者はビデオ会議の前に別のバーチャルルームに集められます。ホストは、そのルームにメンバーだけにミーティングルームへの入室を許可することができます。会議の主催者は、メンバーの入室を管理しましょう。ビデオ通話開始時に参加者一人ひとりに発言してもらい、身元不明の参加者がいないかチェックしてください。
ルールを知る
ビデオソフトウェアで何ができるか、機能を調べてみてください。時間をかけてすべての設定をクリックし、ユーザープロファイルや提供されている機能をすべてチェックして、変更が必要なものがないか確認してください。どうしたらよいか分からない場合は、忘れずにメモを取って後で調べましょう。
プライバシー保護のための追加機能を有効にする
プライバシーをさらに強力に守ることができる追加機能がないか、確認してみましょう。
たとえば、サービスによっては以下のような追加機能を利用できます。
- Skype:電話番号やメールアドレスを手がかりに他人が自分を見つけられるようにしておくかどうか、設定することができます。
- FaceTime:電話番号やメールアドレスを手がかりに、他人が自分を見つけられるようにしておくかどうか、設定することができます。長いあいだ交流のなかった同級生や遠い親戚から連絡をもらいたくない場合は、このオプションをオフにすると便利です。
- Google Duo:このサービスにはノックノック機能が用意されています。これは、こちらから電話をかけると、相手は、応答する前にこちらのことを配信動画で確認することができるという機能です。この機能に不安を感じる場合は、Duoアプリのメイン画面の右上隅にある3つの点をクリックすると、[設定]、[ノックノック]と出てきますので、それをクリックしてオフにしてください。
偽アプリをダウンロードしない
偽物のアプリを見分ける方法を学びましょう。評価やユーザーからのレビューをチェックし、認証されていないWebサイトからのアプリに注意してください。
リアルで知っている相手としかチャットしない
プライベートな情報を共有する前に、ビデオ通話の相手が信頼できる人物かどうか確認するようにしてください。友だち以外からのチャットリクエストや通話は受けないほうがよいでしょう。発信者不明の電話には出ないでください。
多要素認証を設定する
ハッカーがアカウントに不正侵入しようとしても、パスワード以外の情報が必要になるため、不正侵入の被害に遭う危険を減らすことができます。
通話していないときにアプリが動作していないかチェックする
使用していないWebカメラは覆い、使っていないアプリやプログラムは完全に終了してください。
ビデオ会議が録画されることを防ぐ
議長またはホスト以外の出席者が会議を録画できないようにブロックするか、警告表示を設定して、録画を始めた出席者が分かるようにします。
アプリの余計な権限や機能をオフにする
たとえば、アプリに関係ない第三者に情報を共有するものや、広告主や提携企業にデータを提供することでアプリの利便性が向上するなどと謳うものがあります。また知らない人が、自分を見つけたり、友だちになったり、グループやチャットルームに入ってきたり、メッセージを送りつけてきたりすることができるような設定はオフにしましょう。だれかに自分のことを録画されるおそれがあるような機能は切っておきましょう。あらゆるものにパスワードを設定しましょう。
必要ないときは、通話時にビデオを使用しない
Webカメラをオフにして音声通話を利用すれば、背景などに入り込んだ情報が流出する危険もなくなります。音声通話を利用すれば、インターネット接続のネットワーク帯域幅を節約することにもつながり、リモート会議全体の音の品質や動画の品質を向上させることができます。
大規模なリモート会議を行う場合は、ビデオ会議機能の代わりにネット配信を使用することを検討する
ネット配信とは、インターネット上で行う会議やプレゼンテーションのことです。参加者は、プレゼンテーションを視聴して登壇者に質問を送信したり、他の参加者と交流したりすることができます。ネット配信では、ホストと選ばれた登壇者だけが制御を行えるため、大規模な会議をより安全に管理できます。
無線公衆LAN(無料Wi-Fi)を利用するときは注意する
無料のWi-FiホットスポットはログインIDやパスワードを入れずに使えるためとても便利ですが、同時にサイバー犯罪者に悪用される危険もあります。保護されていないデバイスがそのようなWi-Fiネットワークに接続すると、不正アクセスされる可能性があるのです。このため無線公衆LAN(無料Wi-Fi)を利用する際には注意が必要です。
信頼できる人以外に携帯電話を渡さない
携帯電話に物理的にアクセスできる人物なら、悪質なアプリを簡単にインストールして不正侵入できてしまいます。
ビデオ会議が急増した今日では、ビデオ通話はサイバー犯罪者の新たな標的となりました。ビデオ通話技術の発達にともない、サービスを提供する事業者はユーザーの安全を確保するために日々改善を続けています。
ビデオ会議を利用する側の対策としては、カスペルスキーのウイルス対策を利用することをご検討ください。パソコンやAndroidデバイスをウイルスから守ることができます。またバーチャルプライベートネットワーク(VPN)を使用して通信データを暗号化し、送受信する大切な個人情報を保護することができます。
関連記事:
オンラインビデオ会議のセキュリティ
Kaspersky
