Web会議のヤバい落とし穴に気をつけてほしい件【Zoombombing】

短文コラム

 

どうもこんばんは。

 

最近はもっぱら家でパソコンばっかりしてます。

このまま少なくともあと1ヶ月くらいは在宅勤務になりそうな予感ですが、
その期間中はオンラインでの会議も多いかと思います。

 

 

そんな中、在宅勤務中のセキュリティに対する意識って、ちゃんと持てているでしょうか。

 

在宅勤務におけるルールについて

 

これまで在宅勤務の制度がなかったり、持ち出し可能なPCが準備されていなかったりと
今回の緊急事態で、急ぎルールや環境を整備したというような会社も多いでしょう。

 

私の会社でもそうですが、

  • 必ずVPN接続をすること
  • カフェなど公共の場でPCを出すのはNG
  • 覗き見を防止できるシートをつける

 

上記のようなルールが定められている会社も多いかと思います。

 

また、細かな就業規則なども、会社に出勤する時とどのように違うのか確認しておく必要があります。
日本テレワーク協会からは、企業が在宅勤務のルールを作る際の参考情報もまとめられていたりします。

日本テレワーク協会
日本テレワーク協会は、テレワークを通じ、調和のとれた日本社会の持続的な発展に寄与して参ります。テレワークによる情報通信技術を活用した場所や時間にとらわれない柔軟な働き方が、社員の働きやすい環境整備を実現すると共に、企業革新・企業成長を可能とさせることが出来ます。

 

従業員側の視点でも、こういうものを見ると、在宅勤務ができるようにするためには、たくさんの決め事を検討する必要がある、ということも理解できますね。

 

 

Web会議の見落としがちなセキュリティリスク

 

在宅勤務になったら、当然ですが直接会話することは不可能なので、
必然的にWeb会議のためのツールを使ったコミュニケーションになると思います。

 

ここでも、例えばルールとして、

  • 実施時はイヤホンを必ずつける
  • 機密情報は家族であっても聞かれないように気をつける
  • 家の中以外ではやらない

 

といったような、会議が物理的に盗み聞きされたりしないようにするルールづくりはあるかもしれません。

 

 

しかし、もっと根本的な穴を見落としていませんか?

 

 

Web会議って、URLが分かれば
誰でも入れてしまう可能性があるんですよね。

 

 

Web会議ツールでは、会議に参加するためのURLが、
そのサービスのドメイン+会議ID のような構成になっていることが多いです。

※例えば有名どころのZoomだと、下のドメインの後ろにIDをつけた形

 

マンションで例えると、エントランスでのオートロックがドメインで、後ろのIDが部屋の鍵のようなイメージですね。

 

 

ただここで気づくと思いますが、ドメインは基本変わらないので、↑でいうところのオートロックが開きっぱなしの状態だということになります。

※ドメインは企業などで利用する場合、独自に設定されていたりするので、ここでは無料プランなどライトに使っている場合を想定

 

 

で、あとは部屋の鍵ですが、会議IDって基本的に何桁かの数字の羅列になっています。

 

 

もちろん、完全に外部から特定の会議を狙って入ることは、IDが特定できるような状態でない限り難しいですが、
適当な数字を入れてたまたま当たったと考えるとどうでしょうか。

 

普通に入れますよね。

 

 

なので、悪意のあるユーザーが、ランダムにIDを打ちまくってアクセスを試みたら、そこにたまたま当たった会議は普通に入られてしまう、ということになります。

 

 

気づいたら全く知らない人が会議に参加していた、なんてことになったら
めちゃくちゃ怖くないですか?

 

 

もちろん、会議IDにプラスしてパスワードが設定できたりするものが多いので、そういう対策ができていれば問題ないかもしれません。

 

ただ私の経験上、これまでWeb会議をする場合にパスワードがちゃんと設定されていたことは、それほど多くなかったように思います…

 

あとは、毎回変更するのがめんどくさいからといって、
会議ID(URL)を使い回すのもやめておきましょう

 

 

Zoomのセキュリティ強化とまとめ(Zoombombing)

 

まぁそんなこんなで、Twitterでもシェアしましたが、
Zoomさんも対策に乗り出してくれたようです

 

 

Zoombombing っていうんですね。

 

 

 

Web会議を行うためのツールは、他にも世の中にたくさんあると思いますが、
その中にはセキュリティが甘くリスクの大きいツールも存在しているかもしれません。

 

世界的に利用者もかなり増えている中、こういったセキュリティに対する意識を
ユーザー側もちゃんと持っておきたいですね。

 

 

またこのような情報をキャッチしたら、Twitterなどでもシェアしていきたいと思います。

本日は以上とさせていただきます。

 

 

タイトルとURLをコピーしました