こたえのない学校のオンラインプログラムご利用のみなさまへ
Zoomの安全性について、お問い合わせを受けるため、当法人としての見解をこちらにご連絡いたします。
4月26日:内容をアップデートしました。
◆Zoomを安全に使用するためのポイントと当法人の対応につきまして
1.会議や教室を「公開」しない。Zoomでの会議を「非公開」にするには、会議参加者にパスワードを発行する、ホストが会議への参加者を管理できる「待機室」を設定するという2つの方法がある。
2.ソーシャルメディアの投稿で、会議や教室へのリンクを共有せず、特定の人に直接リンクを提供する。
3.最新バージョンのZoomを使用する(zoomは4月1日から90日間のセキュリティ強化計画を実施中)。
4.参加者が揃ったら、会議にロックをかける。
5.画面共有オプションを管理。Zoomでの画面共有を「ホストのみ」に変更する。
6.ミュート設定やチャット権限、注釈機能を適宜コントロールする。
7.信頼できる共同ホストを設定し、参加者管理を複数人で行う。
8.万が一、部外者が入ってきた場合は削除の対応をとる。
【参考】
https://sites.google.com/zoom.us/zoomjapanfaq/zoomblog https://zoom.us/docs/doc/Top 10 ways to Secure Your Zoom Meetings.pdf
◆お手元のPCにあるデータ改ざんや盗みとりの可能性について
これらのキーワードで調べてみた限りは、ハッカーが直接そこまでできる報告はなさそうです。 ただし、Windowsで古いバージョンのzoomを使っていると、チャットに送信される悪意のあるリンクをクリックした場合に、認証情報を盗まれたり任意の実行可能ファイルを起動されたりする可能性があるようです。
(4月1日前後にリリースされたバージョンにはこの脆弱性に関する修正適用済みとのこと)
【参考】
https://scan.netsecurity.ne.jp/article/2020/04/06/43923.html https://project.nikkeibp.co.jp/idg/atcl/19/00001/00108/?ST=idg-cm-software&P=1
よって、念のためホストだけでなく、プログラムにご参加いただく皆さまにも最新バージョンへのアップデートをお願いしたほうがより安全だと考えています。
また、50万人分以上のZoomアカウント情報が売買されたというニュースも出ておりますが、下記記事によれば、これらの情報は、
****
別のサービスから漏えいしたIDとパスワードを使って他のウェブサービスへのログインを自動的に試みる攻撃手法「クレデンシャルスタッフィング」によって取得された
****
と記載されております。よって、この問題に関しては、「携帯電話などでの二段階認証が設定されていないセキュリティの甘さ」と言えると同時に、「利用者側が他と同じパスワードを使用しないということで防げるもの」、という認識でおります。
【参考】
https://gigazine.net/news/20200414-hacker-sold-over-500k-zoom-accounts/
◆社)こたえのない学校としての対応
当法人では、過去も含め、不特定多数の人が目にする公開の場所にURLを流しておりません。また、2020年4月より、URLにパスワードも埋め込み、待機室も設定しているので、「非公開」になっております。ホスト側のソフトウエアも最新のものにアップデートしております。
また、過去も含めまして、不特定多数の方に対してのZoom会議は行なっておりません。基本的に会議に入ってくる人のお名前をこちらで全て確認してから承認していますので、怪しい名前の場合は承認しないようにしております。
※接続が不安定な場合などに、本来の参加者が途中で出入りすることもあるため、会議にロックをかけるまでの対応は現実的には難しく、実施しておりません。
とはいえ、どんなシステムも完全に安全とは言えず、またZoomの安全管理が極めて不十分であったことは報道のとおりであると認識しております。
また、私たちもネット上から情報を得ておりますので、最新情報に更新されていなかったり、間違った情報にアクセスしたりしている場合もございます。
その場合は遠慮なくご指摘いただけますと幸いです。
(よろしければ、お問い合わせフォームよりご連絡ください→コチラ)
どうぞよろしくお願い申し上げます。
一般社団法人 こたえのない学校
藤原さと