武漢ウイルスのパンデミックを受け、教育機関や企業などでリモート会議(イベント)を導入する動きが強まり、Web会議サービスを提供するZoomの会議参会者は2019年12月末の1000万人から2020年3月には2億人を超える人数が利用し、リモート会議のデファクトスタンダードと化している。
私が参加するセミナー類もことごとくオンライン化され、そのすべてにおいてZoomが採用されている。
最近ではZoom飲み会やZoomコンパなるものも出てきているが、その延長線上で「Zoom爆弾」なるものもあり、今回はこれを考察したいと思う。
Zoom爆弾についてはコチラにまとめられている。
当初は主催者側のセキュリティ設定の問題と思い込んでいたのだが、どうもZoomの仕様の問題でもある様だ。
ウォーダイヤリングという言葉を聞いたことがあるだろうか?
語源自体はだいぶ昔にさかのぼるが、社内ユーザー向けのダイヤルアップ用のモデムなどを求めて、無差別にダイヤルアップを繰り返すハッキング(クラッキング)行為のことで、モデムが応答すれば、適当なIDやパスワードを使ってログインを試み、ネットワークに侵入するというものである。
時代の流れでモデム等は無くなったが、最近では、無線LANのアクセス・ポイントを求めて、ノートPCと無線LANカードを使って街中を検索する、ウォー・ドライビングというハッキング方法が存在している。
で、話がそれたが、Zoomの会議単位で発行される識別情報(ミーティングID)はランダムな数字9~11桁で構成されており、ウォーダイヤリングを試みると4%の確率で有効な会議が特定できるらしい。
仮に単純計算で世界で毎日1万件のZoomミーティングが行われているとしたら、400件くらいがハッキングされるということになる。
ちなみにZoom爆弾をくらうとどうなるのか?
YouTubeに参考になりそうな動画があった。
完璧な防御策は無いようだが、会議の性質に応じて対策を実施することは可能な模様。
・参加者同士の個人間チャットが必要なければ「プライベートチャット」を無効化しておく。無効となっている場合、ホストのみ、あるいは全員でチャットが可能。
・ファイル送信の必要がなければファイル送信を無効化しておく。マルウェアがまかれる可能性もある。
・参加者側の画面共有設定が必要なければ共有対象者を「ホストだけ」としておく。
・画面共有は会議開始後も変更できるが、事前にZoomの設定(ミーティングにて(基本))より画面共有の箇所を変更しておくのが良い。
・ホワイトボードなどを使い注釈を行うシーンがあるが、参加者に書いてもらう必要がなければ無効化しておく。
・誤って遠隔操作される可能性を防ぐため、必要がなければ遠隔操作も無効化しておく。
・パスワード有効時も既定で参加リンクがワンクリック参加可能で生成されるため、無効化しておく。
必要な設定を施して有意義なZoomミーティングにしていただきたい。