Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「ZoomBombing」に要注意

 全世界的に新型コロナの影響でリモートワークへの切り替えが進む中、人気ツール「Zoom」でも本来の使い方とは違う”攻撃”には警戒が必要な様です。

threatpost.com

 

Zoomの関係者は、ビデオ会議プラットフォームのユーザー向けに、オンライン会議中にトロールやさらに深刻な脅威のアクターによる「Zoom爆弾」の被害を避けるためのヒントをリリースしました。

オンラインビデオ会議サービスの開発者は、ソーシャルメディアZoom会議のリンクを公開して広く共有することを避け、システム内のいくつかの簡単な管理ツールを使用して、招待されていない参加者が不快で脅迫的な方法で会議を中断するシナリオを回避するよう警告しました。

「Zoomを使用してプラットフォームを使用し、仮想イベントをホストする人が増えるにつれ、イベントに参加するすべての人が善意でそうすることを確実にするためのヒントを提供したいと考えました」と、このトピックに関する最近のZoomブログの投稿によると、「他のほとんどの公開フォーラムと同様に、人を招集することを目的としたイベントを(招待されているかどうかにかかわらず)人が中断させる可能性があります。」

(Threatpost記事より引用)

 

キタきつねの所感

先週(記事を書いている時点からみてですが)、初めてZoomを使った九州サイバーセキュリティシンポジウムに参加してみましたが、色々な課題はあったとは思いますが、コロナ騒動が沈静化するまで、こうしたWebセミナーは一般化していく可能性を感じました。

 

そんな中で、海外では「Zoom爆弾」と呼ばれるミーティングの妨害行為が問題となっている様です。

 

(機械訳)

Zoomのハングアウト中に誰かが非常にグラフィックポルノの画面共有を開始したので、それは突然終了しましたlol。多分これらのプラットフォームは最初に徹底的にテストする必要があります

※引用先Twitterの画像がマスキングされているので分かりにくいですが・・・

 

Zoom等の会議(セミナー)は、設定にもよるとは言え、会議のリンクを知っている方が全て参加が出来る事が一般的です。この事自体は、”このご時世”の会議としてはとても有益である事が多いのですが、一般に公開されたセミナー等では留意が必要です。

 

この記事に報告された妨害行為“2 Girls One Cup”という女性のためのミーティングだった様で、意図しない(招待してない)参加者が妨害行為(イカガワシイ画像の共有、不適切なコメント)をしてきたようで、Zoom会議の閉鎖(会議終了)を余儀なくされたと書かれています。(別な報告事例では、会議参加者の住所を突き止める脅迫等も起きている様です)

 

先日の九州のセミナーでも、事前登録と会議Meetingパスコードが配布されたりといった一定の対策は出来ていましたが、この「会議リンクと会議パスコード」は共通である為、悪意のある第三者がその情報を知った場合、招待すべきではない参加者が会議に紛れ込んでしまう可能性は十分に考えられます。

 

こうした事態を考慮すると、Zoomでのイベントに関してはThreatpostの記事にも書かれている通り、Zoom Personal Meeting ID(PMI):個別ID付与をする事も含めて考慮する事が必要かも知れません。(※ビジネス系会議であれば)

 

一般に開放するセミナーであれば、音声管理・・は難しそうな印象でしたが、画面共有は主催者側だけが可能とするコントロールであったり、意図しない参加者を強制排除(キック)する管理者を決めていくといった事も必要かも知れません。

 

 

余談です。変なホテルでの脆弱性報告が話題となったLance氏は、Zoomは危ないから止めておけ、と言っています。(セキュリティ上は懸念があるそうです)

 

彼が代わりに推奨していたのは、Jitsi Meetというツールです。(無料です)英語である点や、使い勝手の部分(自分でホストしないと通信回線が細そうと別な方がコメントしてました)を考えると、Zoomや他のTV会議ツールを使う方が現実的かと思いますが、セキュリティについては最低限考慮して利用していく事が求められていると思います。

meet.jit.si

 

※過去記事参考

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 ビデオ会議のイラスト

 

更新履歴

  • 2020年3月29日 AM(予約投稿)