zoomの事例から、サイバー攻撃を改めて考える

リモートワークを始める一ヶ月ほど前、zoomの脆弱性が指摘されるようになってすぐに、勤めている会社ではzoomを利用することはなかった。その後、問題点が浮き彫りになるにつれ、zoomも対策を打ち出し、アップデートによって脆弱性に対応すべく最新版が配布されている。

zoomについてとか概要などは他の記事に譲るが、今回は攻撃の仕組みについて見ていきたい。

Contents

1. 攻撃内容
2. 終わりに

攻撃内容

攻撃内容を見ていくが、以下のトレンドマイクロの記事を参照する。
利用者が急増している「Zoom」のセキュリティリスクとその対策（最終閲覧2020/05/03）

Zoom Bombing

一つ目は、Zoom Bombingというもの。

「Zoom Bombing（ズーム爆弾、ズーム爆撃）」は、Zoom会議に招かれていない第三者が勝手に会議に参加し嫌がらせをする迷惑行為の総称です。単なる嫌がらせ行為だけではなく、潜伏してZoom会議の内容を盗み聞きして情報漏えいさせる、参考資料などに偽装したマルウェアを他の参加者に送付するなど、より悪質な行為も可能です。これは、開催者が会議に対してパスワードを設定していない場合、ミーティングIDがわかれば誰でも会議に参加できるZoomの仕様に問題があるためです。
https://is702.jp/news/3666/（最終閲覧2020/05/03）

部外者が入れてしまうということ。IDが分かれば入れてしまう。当然細かいシステムの仕様書が出回ることはないと思うが、Zoomライセンスサービス仕様書はpdfで公開されてる。動作環境、サポート通信ポートなどが書かれてある。問題発覚後にzoomは仕様変更を発表した。
IDが分かってしまえば入れるというのは、パスワードも同じで、推測されやすいパスワードであれば突破は容易だろう。「zWarDial」の自動ツールがあれば、容易く特定されてしまうIDもあるようだ。自動化でブルートフォースアタックすれば、薄いセキュリティを突破することは造作ない。

Zoom Help Center

zoomは4月頭から90日程度新機能のリリースをしないとした。現在進行形でバグ修正は行われているので、今後の動向にも目を離すことはできない。「zoom Help Center」は随時チェックしておいた方が良いだろう。
2020/05/03にはPMI、AES 256ビットGCM暗号化、会議API拡張などのアップデートがされているので、使用している人は要チェックだ。

パスワード周りの修正が目立つ

その他、トレンドマイクロの記事では、脆弱性、フィッシングについての問題を指摘しているが、zoom ヘルプセンターでアップデート履歴を見ると、パスワード関係の修正が目立つ。

2020年4月4日以降で、2020年5月3日までに、13回のバグ修正が行われている。
IDの修正は2020年4月12日に行われている。これによりZoom IDは最大11桁になっている。
リモートワークで注目を一気に浴びて、利用者も増えたことで想定していなかった影響がシステムに生じた。それが様々なバグになって表れた。
例えば、2020年4月26日の以下の修正。

Minimum password length of 6 characters for meeting and shared recording passwords
The minimum password length for both meeting and shared recording passwords will now be 6 characters.
https://support.zoom.us/hc/en-us/articles/204758419-New-Updates-for-Web（最終閲覧2020/05/03）

パスワード長のコードを書き換えたのだろうか。処理に色々と暗号化を加えてそうだ。

Fixed the issue where participant location was being returned as “null” via Dashboard Meeting Participant API
https://support.zoom.us/hc/en-us/articles/204758419-New-Updates-for-Web（最終閲覧2020/05/03）

これとか利用者が増えてきたことで出てきた修正だと思うんだが、どうなんだろう。
マイナーな修正も多くあるので、致命的な欠陥と同様に修正がちらほら出てきた感じだろうな。開発者は苦しそう。

でも、逆に現状は問題視されているけど、どうにかこの難局を乗り越えて、リモートワークツールの第一線になりそうだよね。今は主要な会議でのツール使用は避けて、集中的なバグ修正の後に、どれだけ強固なソフトになっているのか注目。そのときに、情勢がどのように変化しているかにも寄ると思うが、今後働き方は変革されていくので、楽しみでもある。