第12回　ビデオ会議システムの注意点

1. はじめに
2020年は年が明けてからCOVID-19、つまり新型コロナウイルスの影響が社会生活すべてに影響することとなりました。この連載も前回、前々回と在宅勤務に関するサイバーセキュリティの勘所といった内容で記述しています。VPN、つまり暗号化された仮想社内ネットワークの利用やパスワード管理、マルウェア防御といった対策は当然として、在宅勤務でこその最大の脅威は家族だとも書きました。気を許した家族だからこそ、情報漏洩や誤操作のきっかけになるのです。今回も在宅勤務で多用されるようになったWebExやZoomといったビデオ会議システムのセキュリティ上の注意点について取り上げましょう。


2. Zoom爆弾
大学でも新型コロナウイルスの影響は甚大で、今年の卒業式、入学式はほとんどの大学で中止、講義も学生を教室に集めての開催は不可能になり、ビデオ会議システムを利用した遠隔講義にとって代わりました。香川大学においても同様で、その初回のガイダンスの最中、各学生のパソコンやタブレット、そしてスマホの画面に性的画像や無関係な文字列が映し出されるという事件が起こりました。Zoom爆弾と呼ばれるもので、ビデオ会議の最中に、無関係な第三者が会議に紛れ込み、進行を妨害するというものです。Zoom爆弾という名前がついていますが、Zoomに特有の攻撃ではありません。すべてのビデオ会議で、その攻撃を受ける可能性があります。

Zoom爆弾による攻撃を受ける最大の要因は、許可されない第三者が容易に会議に入れるところです。通常、どのようなビデオ会議システムでも、その会議場の番号、すなわちミーティング番号（ID)とパスワードが設定されています。その管理を怠り、無関係な第三者にそれらを知られることによって、会議を妨害されるのです。会議の場所に相当するURLだけを教えることによって、会議に参加できる場合もあります。この場合も会議への正当な参加者だけにURLを伝えて、参加者各自が決して他人に漏らさないように注意しなければなりません。

Zoom爆弾はパスワードの管理だけで防げるものではありません。通常の会議と同様、主催者がしっかりと会議運営をしなければなりません。ビデオ会議での会議運営とは、入退出管理や発言権、それに資料等の提示（放映）する権限の管理です。正当な参加者を偽って第三者が会議に入り込む可能性も否定できませんし、参加者であっても無秩序発言を繰り返すかもしれません。悪意がなくとも、周囲の雑音や無関係な会話が紛れ込み、結果として会議を妨害する可能性もあります。映像等も悪意なく、無関係な画像が流されてしまうことも十分想定されます。主催者が会議のすべてをコントロールできるようにすべきなのです。


3. どのビデオ会議システムが安全か？
結論から言って、主だったところ、つまりZoom、Cisco WebEX、Teamsの3者に限れば、現時点での最新版および各ツールの利用方法の注意事項を守れば、どれも同じようなものです。「同じようなもの」という表現はそれぞれ絶対に安全というわけではないということです。Zoomに関しても年が明けてから利用者が急増し、それに伴って数々の脆弱性が指摘されましたが、この数か月で急速な改修が行われ、最新版を使う限り、他のビデオ会議システムと大きな遜色はありません。しかし、今後もこのZoomにしろ、他のビデオ会議システムにしろ、新たな脆弱性が指摘されないとは限りません。おそらく今後、どのビデオ会議システムも頻繁にシステム更新が行われると思われますが（それはセキュリティのためだけではなく、利便性を更新するためにも）、できるかぎり最新版を利用するようにすべきです。


4. 最後に、言い残したことは
細かな点を指摘すれば、利用しているビデオ会議システムについて以下の点の考慮が求められます。一つは、E2E（エンド・ツー・エンド）で暗号化が確保されているかということです。通常、ビデオ会議システムはクラウド上のサーバで運用されています。このサーバが会議の内容を盗み見したり記録したりすることは許されません。そのためにもビデオ会議のユーザとユーザの間ですべてのデータの暗号化が施されており、その中間にあるサーバではその内容を一切見ることができないようにしておく必要があるのです。ほとんどのビデオ会議システムがそれに対応しているはずですが、必ずしもそうではないシステムもあるかもしれません。次に会議の内容は見えないとしても、ユーザの個人情報、つまり参加者の氏名、メールアドレス、利用頻度等をビデオ会議システムの運用以外に利用、あるいは他社に譲渡している可能性もあります。プライバシーポリシーあるいは利用規約に注意すべきでしょう。さらにもう一つ、ビデオ会議システムには、文字によるチャットシステムが付属しており、プライベートチャットと称して、多人数の会議中でも、二者間で相手を指定してチャットが可能となっています。利用者は「プライベート」という文字がついているため、二者間でしか、そのチャット内容を見ることができないと勘違いすることがあります。通常、会議の主催者はすべてのチャットを見る権限がありますので、十分注意しましょう。