COVID-19のパンデミックを受け、教育機関や企業などでリモート会議(イベント)を導入する動きが強まり、Web会議サービスを提供するZoomでは(有料・無料併せた)会議参会者は昨年12月末の1000万人から3月には2億人を超える人数が利用しており、それに合わせて複数の問題も確認されています。ここではその中でZoom爆撃ともいわれるZoomミーティングを狙った荒らし行為についてまとめます。
Zoomを狙った荒らしの発生
- Zoomで行われるミーティングで本来参加を想定していない第三者が参加し行う荒らし行為(Zoombombing、Zoom爆撃)が発生している。
- 荒らし行為を通じてミーティングやイベント進行に支障が生じ、中断につながる恐れがある。
- 海外でZoomBombingによる被害報告が複数取り上げられている。公序良俗に反する内容(ポルノなど)を画面共有したり、ヘイトスピーチ等でチャットを汚染したりする事例が報告されている。
- FBI ボストン支部は2020年3月30日、マサチューセッツの学校で発生した事例を元に注意喚起を呼び掛けている。
事例 (1) プレゼン中に人種差別用語を書き込み
事例 (2) 複数の荒らしアカウントを生成・乱入か
- Zoomで開催されたシナゴーグで参加者数が205人から突如243人に増加。予期せぬ参加者1名により複数のアカウントが自動生成された可能性がある。
- グループ用のチャット画面はその後、罵詈雑言で埋め尽くされた。
Zoomミーティングをウォーダイヤリング
- Zoomの会議単位で発行される識別情報(ミーティングID)はランダムな数字9~11桁で構成されている。
- 総当たりで推測される攻撃に対し4%の確率で有効な会議を推定できたとする昨年7月にCheck pointの検証報告があった。
- その後、Zoom側はウォーダイアリングの対策を行ったとしているが、Torベースの検証ツール(開発者はzWarDialと呼称)を通じこれをバイパスできたとの報告がある。
- その検証ではパスワードで保護されていないZoomミーティングを1日で約2,400件検出。1時間当たり平均して110件の会議を発見し、成功率は14%に及ぶ。会議参加に必要となるリンクとして開催日時、主催者名、会議で取り上げるトピック等が確認できたという。
爆撃を予防しよう
荒らし行為等への予防策として複数の方法が紹介されている。
このガイドラインの他、SNS上では複数のHow toが共有されている。
- Keep Zoom Safe: Zoom Security Protocols To Prevent Virtual Antisemitism
- Best Practices for Securing Your Virtual Classroom
以下はこれらのHow to等を参考にpiyokangoが検証しまとめたもの。無料プランで検証したため、有料プランで可能な機能については実際の動作を確認していません。
設定を見直す
既定設定がこれから行う会議の内容として妥当か確認する。
- 参加者同士の個人間チャットが必要なければ「プライベートチャット」を無効化しておく。無効となっている場合、ホストのみ、あるいは全員でチャットが可能。
- ファイル送信の必要がなければファイル送信を無効化しておく。マルウェアがまかれる可能性もある。あ(その後 4月5日時点で当該設定項目自体の表示確認できず)
- 参加者側の画面共有設定が必要なければ共有対象者を「ホストだけ」としておく。
- 画面共有は会議開始後も変更できるが、事前にZoomの設定(ミーティングにて(基本))より画面共有の箇所を変更しておくのが良い。
- ホワイトボードなどを使い注釈を行うシーンがあるが、参加者に書いてもらう必要がなければ無効化しておく。
- 誤って遠隔操作される可能性を防ぐため、必要がなければ遠隔操作も無効化しておく。
- パスワード有効時も既定で参加リンクがワンクリック参加可能で生成されるため、無効化しておく。
開始前の荒らし対策
ミーティングスケジュール時に以下の設定を確認すること。
| 設定項目 | 設定内容 | 効果 |
|---|---|---|
| ミーティングID | 「自動的に生成」を選択(既定) | 一度きりの会議IDとなり何かあった際も仕切り直しが可能。 |
| ミーティングパスワード | 「ミーティングパスワードを必要とする」にチェック(既定) | ミーティングIDが漏れた場合に第三者による参加を予防。 |
また必要に応じて次のオプションを選択する。
| 設定項目 | 設定内容 | 効果 |
|---|---|---|
| ホストの前の参加を有効にする | ✔を外す(既定) | 参加者がホストが来る前に勝手に何かを始める(探査する)ことを防ぐ。 |
| 入室時に参加者をミュートにする | ✔を外す(既定) | 参加者が会議中にしゃべる(騒ぐ)ことを防ぐ |
| 待機室機能を有効にする | ✔を入れる | 事前に参加者をスクリーニング可能。 |
- ウェビナー等の有料プランでは事前登録を行った人のみ参加させることも可能。
開催通知に注意
- プライベートなミーティングの場合、SNSなどで招待リンクやミーティングIDをさらす行為を行わない。
- 英国首相が公開したZoomミーティング上での閣僚会議の画像でミーティングIDが掲載されていたが、幸いにしてミーティングパスワードが設定されていた。
This morning I chaired the first ever digital Cabinet.
— Boris Johnson #StayHomeSaveLives (@BorisJohnson) 2020年3月31日
Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp
- iOSやAndroid向けアプリの場合、(一時的に)画面上にパスワードも表示されるため特に注意が必要。
会議開始後にできること
- 全ての参加者が出席している場合、ミーティングのロック機能を使う。これは全員揃っているにもかかわらず後から誰かがさらに参加することを予防する。
- 誤ってホストが退室してしまった時や待機室は人数が多いと負荷も高いため、有料プラン利用時は共同ホストの利用も有効。
もし問題が起きたら
- 参加者が画面共有でトラブルを起こした場合は「参加者の共有を停止」で止められる。一度停止された参加者は再び許可されるまで共有はできない。ビデオの場合も同様に停止することが可能。
- 会議をどうしても閉鎖せざるを得ない場合、別チャネルを通じて今後の対応の案内や別のミーティングIDやパスワードを配布する。ChiTribeが受けた被害事例ではFacebookや電子メール等で案内し、5分以内に再開ができたという。
更新履歴
- 2020年4月3日 PM 新規作成
- 2020年4月5日 AM ワンクリックで参加可能なリンク生成の無効化を追記。
*1:https://twitter.com/KingBrennymma/status/1244755626359742470
*2:https://twitter.com/Elazarta/status/1245139564085248001
*3:https://twitter.com/exitpost/status/1240040106284777475
*4:https://twitter.com/j_donatella/status/1245055374262222848
*5:https://twitter.com/nancyhurcrabbe/status/1245914940835155968
*6:https://twitter.com/grrrrrrrrrrl/status/1245897548880998401
*7:記事中に言及がないが、同一環境では削除された後再参加はできないため、環境を変えて行われたのか、あるいは再参加が有効となっていた可能性がある。
