インターネットに接続されている場所なら、どこでもオンラインでWeb会議ができるサービスが注目を集めています。中でも「Zoom」は世界で75万社以上の企業で使われており、2億人のユーザーがいる人気のWeb会議サービスです。しかし利用者が多い反面、複数の脆弱性が発見されており、Zoomを対象としたサイバー攻撃も報告されています。
Zoomを対象とした攻撃の中でも、「Zoombombing」は「ビデオ爆撃」とも呼ばれている悪質なサイバー攻撃です。今回はZoombombingの概要と、Zoomに代わる他のWeb会議サービスについて徹底解説します。
この記事の目次
Zoombombing(ビデオ爆撃)とは
Zoombombing(ビデオ爆撃)とはWeb会議サービス「Zoom」にて、悪意を持ってミーティングに参加して、不適切な画像や動画を共有する攻撃のことです。
Zoombombingにより共有される画像や動画には、暴力的なものから性的なものまで、他のミーティング参加者が不快に感じられるものばかりです。インターネット初期に「掲示板荒らし」と呼ばれる不快な画像やテキストを書き込む悪質なユーザーが問題となっていましたが、それのZoom版がZoombombingと言っても良いでしょう。
このZoombombingの仕組みはどうなっているのでしょうか。ここでZoomの概要について、簡単に紹介しておきましょう。
Zoomの概要
Zoomとはインターネットを利用したWeb会議サービスのことです。複数のユーザーが同時に参加できる仮想の「会議室」を用意して、Webカメラの映像やパソコンの画面を共有しながら、会議ができるサービスです。実際の会議では、参加者が特定の場所に集まることが必要ですが、Zoomを使えば参加者は社内だけでなく自宅にいても会議に参加可能です。そのような特徴のため、テレワークを推奨している企業を中心に、ビジネスシーンで広く使われています。
Zoomはパソコンだけでなく、スマートフォンやタブレットでも利用できます。Windows、MacOS、iOS、Androidなど様々なOSにも対応していることもZoomのユーザーが多い理由となっています。
ちょっとしたWeb会議なら無料版Zoomで事足りますが、本格的なWeb会議に使いたい人向けに、有料オプションも用意されています。例えば無料版では会議の参加者数が100人までに制限されていますが、有料版ではさらに多くの人数が会議に参加できます。また40分間までに制限されていた会議時間も、有料版では24時間まで制限時間が増えます。現在では、Web会議だけでなく、社内研修やオンラインセミナーなどのツールとしても、Zoomは広く使われ始めています。
Zoombombing(ビデオ爆撃)の仕組み
そんな便利なZoomですが、「Zoombombing(ビデオ爆撃)」と呼ばれるサイバー攻撃に遭うケースが増えてきました。
そもそもZoomで開設できる会議は、会議室のURLを知っていれば誰でも参加できるようになっています。そのため悪意をもった攻撃者は簡単に会議室に侵入されます。また画面共有機能のデフォルトの設定を悪用して、悪意のある画像や動画を共有させられてしまいます。
他のサイバー攻撃とは異なり、Zoomの仕組みを理解していれば、誰でもZoombombingを仕掛けることが可能です。それゆえいたずら気分で攻撃を仕掛ける攻撃者もいます。Web会議のユーザーはZoombombingを防ぐために、Zoomの設定を変えるなどの対応が求められています。
Zoombombing(ビデオ爆撃)のリスク
実際にZoombombingに遭うとどのようなリスクが発生するのでしょうか。ここでは「情報漏えい」と「乗っ取り被害」について紹介します。
情報漏えい
ZoombombingはZoomのWeb会議室に侵入されることを前提とした攻撃です。そのため会議室に侵入された段階で、Web会議の情報が漏えいされてしまったと考えることが自然です。
乗っ取り被害
ZoomのWeb会議室をデフォルトの設定で行っているところに侵入して、画面共有機能を乗っ取られるリスクがあります。攻撃者に乗っ取られたWeb会議室の画面共有機能は、攻撃者により不適切な画像や動画を送り付けられてしまいます。
Zoombombing(ビデオ爆撃)への対策方法
Zoombombingを防ぐ方法を2つ紹介します。
Zoomの設定を変更する
ZoomでWeb会議室を開設する際に、設定を調整することでZoombombing対策となります。見直しておきたい設定は以下の通りです。
- 参加者側の画面共有が不要な場合は、共有対象者を「ホスト」のみにする
- ファイル送信が不要な場合は、ファイル送信機能を無効化する
- 参加者同士の会話が不要な場合は、プライベートチャット機能を無効化する
- 待機室機能を有効にする
- ホストの前の参加を無効にする
これらの設定を行うことで、Zoombombing対策となります。
別のWEB会議サービスを利用する
Zoombombing対策としてZoom以外のWeb会議サービスを利用する方法もあります。様々な企業がWeb会議サービスを展開していますが、その中でもセキュリティ対策が行われているWeb会議サービスを紹介します。
セキュリティ対策が行われているWEB会議サービス
セキュリティ対策が行われているWeb会議サービスとして以下の4つを紹介します。
Webex Meetings(シスコシステムズ)
サイトhttps://www.webex.com/ja/index.html
Webex Meetingsは世界最大のコンピュータネットワーク機器の開発会社であるCisco(シスコ)社が提供しているWeb会議サービスです。パソコンだけでなく、モバイルデバイスやタブレットなどあらゆるデバイスを活用して、会議の主催や参加が可能です。会議動画の録画も可能なので、会議に参加できなかった人に後日、会議動画のmp4ファイルを送信することもできます。
Microsoft Teams(Microsoft)
サイトhttps://products.office.com/ja-jp/microsoft-teams/group-chat-software
Web会議サービスに必須であるテレビ会議機能やチャット機能だけでなく、マイクロソフト社の利点を活かして、WordやExcelなどのアプリケーションが含まれるOffice 365との連携も可能です。Windows、Mac、iPhone、Androidなど使用できるデバイスも豊富です。
bellFace(ベルフェイス)
bellFaceは営業に特化したWeb会議サービスです。映像はインターネット回線を使い、音声は安定した電話回線を使うことで、安定した通信環境で取引先やお客様とコミュニケーションが可能です。また特許を取得した独自の技術で、紙の資料のような操作性で簡単に資料の共有が可能です。
FreshVoice(フレッシュボイス)
サイトhttps://www.freshvoice.net/
FreshVoiceは強固なセキュリティが売りのWeb会議サービスです。2003年の発売以来、乗っ取りや改ざん、スキミングなどの被害は一切なく、セキュアな環境でサービスを利用できます。そのため民間企業だけでなく、大量の個人情報を扱う公的機関においても導入が進んでいます。手軽に多拠点に対応できるクラウドタイプだけでなく、セキュアな環境にこだわりたい人にはサーバーに設置するオンプレミスタイプも選択可能です。
まとめ
Zoombombingの概要と対策方法、そして他のWeb会議サービスについて解説してきました。
テレワークなどの普及により、ZoomのようなWeb会議の開けるサービスが注目を集めています。インターネットを活用すれば便利に使えるサービスですが、その一方でZoombombingのような悪質な攻撃への対策も必要です。
ZoombombingはZoomに適切な設定を行えば防げる攻撃です。また被害に遭ってしまっても、冷静に対応すれば大きな問題に発展することはないでしょう。