コロナによる在宅ワークで話題になったZoomセキュリティネタまとめ
新型コロナウイルス(COVID-19)の流行により、在宅ワークをおこなう方が多くなったかと思います。
そんな中、在宅ワークに不可欠なZoom、FaceTime、Skypeなどのビデオ会議ツールへの攻撃が世界的に流行っているようです。
特に人気で利用者も多いZoomは脆弱性が見つかるなどの問題が多く上がってきていますので個人的にまとめていこうと思います。
※今後Zoomを使う方へのあくまで注意してほしい内容です。
使うな!とかじゃないですからね…
2020年4月3日までのZoom調査内容
Zoom社からメッセージがありました。 blog.zoom.us
記事の内容の抜粋
For the past several weeks, supporting this influx of users has been a tremendous undertaking and our sole focus. We have strived to provide you with uninterrupted service and the same user-friendly experience that has made Zoom the video-conferencing platform of choice for enterprises around the world, while also ensuring platform safety, privacy, and security. However, we recognize that we have fallen short of the community’s – and our own – privacy and security expectations. For that, I am deeply sorry, and I want to share what we are doing about it.
これをふまえてどんな問題があったかは以下に記載しています。
Zoomの人類皆家族(社長目線)問題
この問題を簡単に説明すると、気づかない間に約数千人の見知らぬユーザがすべて同じ会社に属しているように扱っており、見知らぬユーザ全員が参加可能なビデオ通話おこなっていたようです。
原因は、Zoomの「会社ディレクトリ」設定です。
本来ならば、サインアップした際会社のメールアドレスでログインをおこえば、同じメールアドレスのドメインを持つ同僚のユーザが連絡先リストに自動で追加される機能なのですが、個人の電子メールアドレスでサインアップした場合、同じメールドメインでログインしているユーザが連絡先リストに自動追加されるようです。
複数のZoomユーザが個人の電子メールアドレス(@gmail.comとか)でサインアップしていると、Zoomは同じメールドメインでログインしている何千人ものユーザを、同じ会社で働いているかのようにプールしてしまうので、個人情報を見ることやWEB会議に参加して情報を聞くことがお互いにできてしまいます。
参考記事 www.vice.com
"If you subscribe to Zoom with a non-standard provider (I mean, not Gmail or Hotmail or Yahoo etc), then you get insight to ALL subscribed users of that provider: their full names, their mail addresses, their profile picture (if they have any) and their status. And you can video call them," Gehrels said. A user still has to accept the call from the stranger for it to start, however.
gmail.comとかyahoo.co.jpとかメジャーなドメインはとかは対策されてました。
IOS版ZoomのFacebookデータ送信問題
リモートワークで注目を浴びていたZoomですが、
プライバシーポリシーに明確な記載がないですが、iOS版のZoomアプリに仕込まれたSDKを通じFacebookに端末データを送信していたという調査結果が報告されました。
記事によるとFacebookアカウントを持っていない場合でもFacebookにデータを送信しているようで、
iOS版のZoomアプリがFacebookにデータを送信している理由もプライベートポリシーに記載されていないため謎のままです。
この件について、Zoom広報は数日後に、「Facebook SDKが情報取得をしていることに気づかなかった」といっているようです。
詳細記事 www.vice.com
Windows版Zoomの脆弱性
ZoomのWindows版クライアントでは、ユーザのネットワーク認証情報が漏れる脆弱性が発見されました。
問題になったのは、テキストメッセージに含まれるURL文字列をハイパーリンク化するZoomの機能です。 本来ならば、ユーザはWindowsネットワーク上にあるOutlookやファイルサーバのURLをクリックすればそこに簡単にアクセスできるメリットがあります。 ただ、このZoomの機能はUNCと呼ばれるローカルのフォルダへアクセスするための文字列もハイパーリンク化してしまいます。
仮に¥¥ホスト名¥共有名¥パス
といった文字列もアクセス可能なURLとして外部に共有してしまうため、
これをクリックすればコンピューターはローカルにある場合と同じようにリモートからアクセスを試みてしまいます。
まぁつながりませんが…
しかし、攻撃者が¥¥攻撃者ホスト¥共有名¥C$
といったUNCを投げてきたとき、相手がそのハイパーリンクをクリックさえすれば、攻撃者には相手のWindowsネットワーク上のユーザー名とパスワードハッシュが返されてしまいます。
この情報を手に入れた攻撃者は、Pass the Hash
と呼ばれる一種のなりすまし攻撃が可能な状態になり、相手のPCやWindowsネットワークへの侵入の危険性が高まってしまいます。
参考記事 www.bleepingcomputer.com ※この記事には資格情報がリモートサーバーに送信されないようにする設定も記載されています!
2020年4月3日:Windows認証情報が盗まれる脆弱性が修正された pc.watch.impress.co.jp
MacOS版Zoomのゼロデイ
ZoomのMacOS版では2つのゼロデイが公開されました。
root権限への権限昇格
Zoomインストーラーは、権限付きの権限実行のAPIを呼び出して、さまざまな特権付きインストールタスクを実行できる状態になっているようです。
さらに恐ろしいのは、このインストールタスクにはroot権限への特権昇格につながる脆弱性を含まれてます。
Appleは権限付きの権限実行のAPIでは非推奨であり、使用すべきではないことを明確に述べていますが、APIはroot権限で実行されるバイナリを検証しないため、権限のない攻撃者またはマルウェアが、/ (root)
ディレクトリ内の情報を改ざんまたは置換することで、root権限へ昇格できる可能性あります。
root権限へ昇格されるとMacOS内でできないことはなくなってしまいますので、
好きなだけ情報も盗まれてしまいます。
カメラとマイクの権限継承
ズームを使用するには、システムのマイクとカメラにアクセスする必要があります。
MacOSでは(最近のバージョン)、アクセス時にユーザの承認が必要となっています。
残念ながらZoomには、悪意のあるコードをプロセススペースに挿入できる特定のexclusion
があり、
Zoomの(マイクとカメラ)アクセス時に悪意のあるコードを一緒に流し込むことができます。
これにより、ZoomでおこなったWEBミーティングを記録したり、マイクとカメラに任意のタイミングで起動したり(PCの持ち主にアナウンスはされない)することも可能になってしまいます。
参考記事 https://objective-see.com/blog/blog_0x56.html
Zoomマルウェア
無茶苦茶人気なZoomなので、攻撃者たちはサイバー犯罪のターゲットとしているという記事もありました。
現在、Zoom関連のマルウェアの事例はほとんどありませんが、2月のみでアクティブなZoomユーザーが21%増加しているため、悪用はほぼ避けられないとのことです。
まぁ、現時点でまだ明確な事例がないので脳の片隅に置いとく程度でお願いします…
参考記事 www.hackread.com
ZoomBombing
どうしようもない嫌な連中が、Zoomの画面共有機能を使って、暴力的なものからえっちぃものを含む最低の動画を他の参加者に送りつけてくるやつですはい…
海外では学校のWEB授業中にあったらしいです。
対策
- すべての会議をパスワードで保護します。
- 参加者用の待合室を作成します。
- 会議が始まる前に主催者が出席する必要があります。
- 開始した会議をロックします。
- 画面共有透かし。メールの一部を共有画面に配置します。
- 音声署名が必要–各会議参加者の資格情報を音声トラックに埋め込みます
- 参加者またはすべての参加者の記録を有効/無効にします。
- 新しいウィンドウが開いたときに画面の共有を一時的に停止します。
- 特定のメールドメインを持つ個人のみが参加できるようにします。
- エンドツーエンドの暗号化で会議を保護します。
エンドツーエンドの暗号化で会議を保護ですが、残念ながらZoomはサポートされていないようです。
Zoomの場合、「エンドツーエンド」という名の「トランスポート暗号化」らしいです。
参考記事 theintercept.com
終わりに
何かの参考になれば幸いです。
ちなみに、一度Zoomのアカウントを作成したらZoomからは逃げられないようです。
参考:「Zoom」が今も抱えるさまざまな問題 jp.techcrunch.com