インターネットを通じて様々な場所から会議に参加できるWEB会議サービスが広まりつつあります。音声だけでなくパソコンやスマートフォンのカメラの映像や、画面共有機能を使って会議資料などの共有も可能であり、実際の会議室で会議しているのと同じように会議が可能です。
しかしインターネットを使用しているということで、気を付けたいのがセキュリティ対策です。今回はWEB会議サービスの概要とセキュリティ上のリスク、そしてセキュリティ対策について徹底解説します。
WEB会議サービスとは
WEB会議サービスとはインターネットを使って、音声、動画、チャット、資料などを複数のユーザーと共有して会議が行えるサービスのことです。Webブラウザを使うものや、専用のソフトウェアをインストールして使うものなど様々です。またパソコンだけでなくスマートフォンやタブレットで利用できるものもあります。
WEB会議サービスのセキュリティリスク
WEB会議サービスにおけるセキュリティリスクについて2点紹介します。
情報漏えい
悪意のある攻撃者がWEB会議に不正に侵入して、会話を盗み読みしたり、画面に表示されている映像を盗み見したりするリスクが考えられます。またWEB会議サービスにはファイルの送受信機能を持つものがあります。WEB会議に侵入した者が、会議資料をダウンロードしたり、あるいは悪意のあるファイルをアップロードしたりする可能性があります。
乗っ取り被害
WEB会議サービスの脆弱性を利用したり、不正な方法で入手したアカウントを悪用したりして、WEB会議サービスを乗っ取る被害が発生しています。
WEB会議サービスが乗っ取られると、不適切な画像や映像が共有されることがあり、WEB会議サービスの管理者も、そのような攻撃者を排除することができないこともあります。その場合、会議自体を終了させることでしか解決できないケースもあります。
WEB会議サービスが狙われる事例
WEB会議サービスはどのような方法で狙われるのでしょうか。具体的な事例について2点紹介します。
Zoombombing(ビデオ爆撃)
ZoombombingとはWeb会議サービス「Zoom」において、Web会議に不正に参加して、悪意のある動画や画像を共有する攻撃のことです。
Zoomでは会議室のURLを知っていれば、誰でもWeb会議に参加できるようになっています。そのためZoombombingは高度なサイバー攻撃のスキルがなくても、簡単に会議室に侵入して攻撃を仕掛けることが可能です。実際、いたずら気分でZoombombingを仕掛ける攻撃者もいます。
Zoombombingを防ぐためには、Zoomで会議室を開設する際にデフォルトの設定を変更して、パスワードを設定し、待機室機能を使うなどの対策が有効です。
Zoomの不正クライアント
正規版のZoomクライアントに成りすました、不正なZoomクライアントによる被害も発生しています。
検索エンジンで「Zoom」と検索して表示されたWebサイトからダウンロードされた偽のZoomクライアントをパソコンにインストール後、セキュリティ警告と電話番号が表示されて、電話をしたらサポート料金を請求されるなどの事例が発生しています。正規のZoomクライアントでは、そのようなことは発生しません。これは偽のZoomクライアントをインストールしてしまったために発生した事例です。
Zoomクライアントに限らず、ソフトウェアをダウンロードする場合には、必ず正規の配布元のWebサイトであることを確認して、正しいファイルをダウンロードすることが重要です。
なお、正規版のZoomのダウンロードセンターは以下です。
サイトhttps://zoom.us/download
WEB会議を行う場合のセキュリティ対策
WEB会議を安全に行うためには、どうしたら良いでしょうか。具体的なセキュリティ対策について5つ紹介します。
暗号化機能
セキュリティ対策の要となるのが、暗号化機能です。暗号化とはインターネット回線でやり取りされる情報を、外部から読み取られないように変換する技術のことです。情報を送信元で暗号化して送信し、情報の正規の受信者は暗号化された情報を復号化して元の情報に戻して、受信します。
暗号化技術にはWebサイトの暗号化で使われるSSL暗号や、Web会議で使われるAES暗号が有名です。SSL暗号はWebブラウザのアドレスバーで「https」から始まるURLのWebサイトで採用されている暗号化方式です。一方AES暗号とは、アメリカで規格化された暗号化方式の一つであり、強度の高い暗号化方式として知られています。
入室セキュリティコード(接続ID)
Web会議では1つの会議ごとに会議室を設定して、その会議室に対して入室セキュリティコード(接続ID)が設けられています。入室セキュリティコードを設定することで、そのコードを知っている者以外のWeb会議への参加を防ぐことが可能です。
IPアドレス指定
Web会議に参加できるデバイスのIPアドレスを指定することで、Web会議の参加者を制限することができます。IPアドレスとはインターネットに接続されたコンピュータの住所のようなものです。指定されたIPアドレスを持つデバイスのみWeb会議に参加できるように制限をかけることで、他のデバイスからのWeb会議の参加を拒否できます。
端末認証機能
端末に固有の情報を使用することで、Web会議の参加者に制限をかけることも可能です。端末認証によく使われる情報として、デバイスのMACアドレスがあります。MACアドレスとは、ネットワーク機器に一意に割り当てられるIDのことです。
IPアドレスはインターネットに接続する環境によって変わることがありますが、MACアドレスは同じデバイスを使っていれば、基本的に変わることはありません。同じデバイスを様々なインターネット接続環境で使用する場合、MACアドレスによる端末認証機能を使えば、設定が容易になります。
サーバでのファイル非保存
Web会議で使われるWordやExcel、PowerPointなどの資料ファイルをサーバへ保存しないことも、セキュリティ対策として重要です。もしWeb会議終了後にも資料ファイルがサーバ上に保存されていると、無関係な人にダウンロードされてしまい、情報が漏えいする可能性があります。
Web会議で使われた資料ファイルは、会議終了後に削除するか、適切なアクセス権限を設定したり、パスワードをかけたりしておくなどをして、第三者から読み取られないようにしておくことが必要です。
まとめ
場所にとらわれないで会議ができるWeb会議サービスは非常に便利ですが、適切に管理しなければ思わぬ被害に遭うことも考えられます。特にセキュリティ対策は重要です。資料ファイルや画面の共有など、Web会議サービスならではの利点もありますが、悪意のある攻撃者から攻撃の標的となってしまうことがあることは、この記事で紹介した通りです。これからWeb会議サービスの利用を検討しているのでしたら、機能やコストだけでなく、セキュリティについても考慮することが必要不可欠です。