Zoom.us のセキュリティ問題について
Zoom.us のセキュリティについて種々の問題が指摘されています.
以下では内藤が種々の記事を読んで,
この問題についてまとめた内容です.
技術的な詳細が分からないことが多いので,
あくまで記事を読んだ内藤の意見と考えてください
参考:
Zoomを用いたオンライン講義を安全に進めるために
(東京大学情報基盤センター)
内容:
URL をハイパーリンクに変換する機能が, UNC (Universal Naming Convention) に対しても適用できる.
このことによって, Windows clients のユーザ名・パスワードハッシュがリモート先にも見えるようになり,
悪意のあるコードを実行させることも可能.
この問題は fix されたが, 相変わらず「チャット」には潜在的な脆弱性があると考えられる.
チャット中に(不正な)hyperlink を埋め込んだり,
チャットのファイル送信機能を使ってマルウェアを送り込むことは不可能ではないはず
内容:
現在は, Zoom meeting 招待の URL にはパスワードが設定されている.
しかし, URL にはパスワードがコードされ, URL が流出した場合に,
悪意のあるユーザが入室し, 共有機能によって不適切な画面を全参加者に提示することができる.
これ以外にも meeting URL が流出する可能性があるかもしれない
対処方法:
「待合室」機能を使い, 正規のユーザ以外を入室させないことを徹底する.
参加者には「ニックネーム」ではなく, 正規のユーザであることがわかる名前で入室してもらうことが重要
Zoom では H.323 または SIP でミーティングに接続する機能を提供している.
SIP 接続に関しては, パスワードがかかっていない可能性がある.
(実際, ミーティングをスケジュールしたときに出てくる SIP 接続先の欄にはパスワードの記述がない)
ミーティングID(11桁の数値)をランダムに生成して, Zoom H323-SIP クライアントで接続すれば,
パスワードなしで(パスワードのかかった)ミーティングに接続できるのではないだろうか?
内容:
Zoom クライアントとクラウドサーバ間では暗号化はなされている.
クラウドサービスでは通常の動作
内容:
参加者の Zoom クライアントがバックグラウンドに30秒間隠れているとき,
そのことをホスト(会議主催者)が知ることができる.
内容:
Mac で Zoom クライアントをインストールする際に,
インストール手順を簡略化するために,
インストールの許可・パスワードの入力などの標準的な Mac のアプリインストールの手順を踏んでいない
内容:
Zoom クライアントはマイク・カメラに対してアクセスできる可能性がある.
また, 悪意のあるコードを仕込むことも可能である.
同一ドメインのユーザが透過的に見えること (全てのクライアント)
内容:
ユーザの「招待」などを行う場合?に, 同一ドメインのユーザプロファイルが一覧として表示される.
便利な機能として搭載されている可能性があるが,
クライアント側からも同様に見えるのであれば(ここは未確認),
大学内の多数の学生のプロファイルが透過的に見えてしまう.
なお, 「同一ドメイン」とは, ユーザが "@math.nagoya-u.ac.jp" の ID を持っている場合,
"nagoya-u.ac.jp" が同一ドメインとみなされている可能性あり(ここは未確認).
対処方法:
なし
名古屋大学多元数理科学研究科・情報化委員会
Hisashi Naito (名古屋大学)