Web会議システムZoomのセキュリティに関しては色々と言われていますが、事実としてどうなのか、調べています。 完璧を目指していると終わらないので途中報告です。 参加者(生徒)として会議に参加した時に注意すべき点で気付いたことを列挙しました。
元システム屋の業として漏れの無い調査をしようとしたのが運の尽き。 設定に関する画面の収集が終わったかなと思ったら、右クリックで開く新たな設定サブウィンドウが見つかったりして・・・うわぁ、泥沼じゃぁ・・・
それに加えて4月16日に購入したiPadでホストを運用してみると、うぅぅ、画面構成がかなり違う! ・・・この泥沼、底無し?
という訳で
ホスト(主催者)側の設定に関する情報提供は後回しにして、参加者(生徒)としてどこを見れば良いか、注意すべき点を書きます。
【チェックポイント1】
1A:会議の開始時にパスワードを要求されたか
1B:ミーティングIDが毎回同じでないか
1C:開始時にホストの許諾が有るか(待合室の利用)
パスワードを要求されず、ミーティングIDが毎回同じで、ホストの許諾なしに参加できる場合のみ、注意が必要です。
どれか一つでも外れていれば危険性は格段に下がります。 たとえばパスワードを要求されずミーティングIDが毎回同じだけれどホストの許諾が無いと参加できない、とか。
Zoomではミーティングを開催できるよう登録をすると、パーソナルミーティングID(PMI)という固有の番号が与えられます。
ミーティングは毎回違う番号でも開けますし、このPMIを使うこともできます。
PMIを使ってミーティングをすれば、参加者にミーティングIDを連絡する必要が無くなるという「とっても便利な機能」です。
ですが、パスワードも設定せず、ホストの許諾も設定しない場合、ミーティングへの不審人物の侵入を防ぐのは「どのミーティングIDでどんな人たちが話し合っているか、不審人物が知らない」ということだけになります。
怖いことに、ZoomのPMIに関しては一覧リストが出回っているという噂があります。 パスワードを要求されず、ミーティングIDが毎回同じで、ホストの許諾なしに参加できる設定で今まで被害に合っていないとすると、それはまだ一覧リストに載っていないからだけかも?
ここから下のチェックポイントは「悪意の有るホスト」への注意です。
信頼できる人がホストになったミーティングではあまり心配しなくてよいです。
【チェックポイント2】
Windows版では画面の下に出るコントロールツールバー(別名:ミーティングコントロール)の左端にマイクの形のボタンが有ります。 そのすぐ右の「⋀」マークから音声関連のポップアップメニューが出ると思います。
そのメニューの中に「電話のオーディオに切り替える...」と表示されたら、ミーティングを開いたホストが初期設定を変えてないだけかも知れませんが・・・ もしかしたら国際通話に誘導して高額の請求をする詐欺を仕掛けられる可能性が有ります。
リンク:見知らぬ島からの国際電話詐欺に注意
既にZoomを使った方は音声の質が悪いことにお気づきと思います。 これを回避する目的で音声だけ電話回線を経由させる「とっても便利な機能」がZoomには準備されいます。
アメリカでは都市によっては市内回線はかけ放題・時間課金無しという所が昔からありました。 まだ携帯電話が登場する前の古いホームドラマで、10メートルもある電話線を引っ張って高校生の娘が受話器をバスルームに持ち込み長電話、電話も使えずトイレにも行けない父親が激怒するというシーンが有りました。
怪しい主催者が開いたミーティングで、「音声が悪いですか? じゃあ今から言う電話番号をセットして・・・」などという誘導が有ったら?
【チェックポイント3】
ホストからリモート操作の要求が来ても許諾してはいけません。
Zoomには特定の参加者を指名して、相手の許諾があったら参加者のパソコン(やタブレットも?確認中)をリモート操作できるという「とっても便利な機能」があります。
リモート操作できるのは以下の3種類で、要はなんでもできてしまいます。
1:デスクトップ全体
2:特定のアプリケーション
3:端末の再起動
凄いですねぇ、便利ですねぇ、怖いですねぇ。
【チェックポイント4】
チャット機能でのファイル転送には注意しましょう。
Zoomでは特定の参加者と文字によるチャットができますが、そのチャット機能の中にファイルを送信できるという「とっても便利な機能」があります。
言うまでの無いですね、ウィルス付きのファイルを送り込まれるかも?
ここまで「悪意の有るホスト」への注意点を書きました。
あと一点、全般的な注意として。
【チェックポイント5】
私ならZoom上で会計データとか人事データは扱いません。
WindowsからZoomに参加すると、画面の左上に緑色で鍵のアイコンが表示されますが、これはほとんど単なる気休めです。
Zoomではホストや参加者のやり取りはZoomのサーバーを経由していて、鍵のアイコンはサーバーとホスト、サーバーと参加者の間の暗号化を示しています。 ホストと参加者の間が暗号化されているのでは無いのです。 Zoomの社内では復号化された生データが流れていると報道されています。
リンク:「Zoom」のヴィデオ会議は、結局どこまで"安全"と言えるのか?
以前、企業の情報部門を担当していたときに個人情報保護法の施行準備として情報セキュリティ体制の徹底的な検証をしたことがあります。
なんだかんだ言って危険性が高いのは現実世界での人的な漏洩です。 いわゆるソーシャルハッキング。 肩越しに画面を覗くとか、パスワードがポストイットで貼ってあるとか、ゴミ箱のメモから漏洩するとか、USBメモリで持ち出すとか。
Zoomのサーバー管理者にソーシャルハッキングされたら防げないと推定されます。
とは言え、Zoomを使った遠隔授業とかZoom飲み会(まともなやつ)程度なら心配することは無いと思います。 なにしろ膨大な数のZoomミーティングが進行していますから、その「数の力」で機密性の高くない情報(=転売価値の低い情報)は実質的に大丈夫だろうということです。
以上、現時点でZoomに対して注意しておきたい点をまとめました。
パソコン用のアクセサリ類(マイクなど)を探して備品箱をひっくり返していたら、とても懐かしい物を見つけました。
劇場版アニメ映画「攻殻機動隊」の資料集CD-ROMです。
ネット世界を扱ったマトリックスの公開が1999年ですが、1995年に公開されたこのアニメ映画「GHOST IN THE SHELL/攻殻機動隊」は多大な影響を与えています。
個人的に嬉しいのは銃の扱いが非常に正確なこと。 アニメ制作のスタッフを海外に連れて行って、実際に銃を撃つ経験をさせているそうです。
鉄筋コンクリートに銃弾が当たった時の威力を安易な火花の表現であらわさず飛び散る破片で表現し、火花が散るのはモルタル部分が削れて鉄筋に銃弾があたるようになったタイミングから、というシーンはマトリックスでも引用されていました。 もっともマトリックスのそのシーンでは撃っている銃と飛び散る薬きょうが食い違っていて「あらあら」でしたけれど。
原作の士郎正宗さんの漫画は1989年からの発表で、この時代に書かれた作品としては先端技術で何が起きるかの想定が凄すぎます。 設定の背景を書いたコマ線の外側の手書き解説は何度も読み返したものです。
ちなみに1989年というのは東芝から初代のダイナブックが発売された年、640×400ドットの白黒画面がついて19万8千円という驚異の安さ! 私も買って受話器のカプラーといっしょに持ち歩いて使っていました。