Webカメラを覗くとき、Webカメラもまたこちらを覗いている

安全性が脅かされるオンライン会議

2020年上期は、新型コロナウィルスの感染拡大に伴い、多くの企業でテレワークが普及した。オンライン会議の件数が増加し、オンライン会議アプリケーションの接続数が飛躍的に増えた。便利になる一方で、そのセキュリティ上の脆弱性が指摘されている。オンライン会議をしている最中に突然画面が真っ赤に塗りつぶされる事件や、いつの間にか見知ら参加者が会議に参加して会議内容が盗み見られる事件などが起きた。このようなオンライン会議に関する事件が世界中で発生し、ついにはFBIまでが捜査に乗り出した。

特に問題となったのは「Zoom」と呼ばれるオンライン会議アプリケーションである。Zoomは参加者にURLを配布し、アプリケーションをインストールするだけで、誰でもすぐにオンライン会議を開始できる。その利便性の高さから急速に利用が拡大し、新型コロナウィルスの感染拡大後は、利用者が5000万人から2億人に拡大した。利用者が急拡大した一方で、Zoomの脆弱性を突いた前述のようなトラブルも急増した。

テレワークは産業革命以来の大きな労働時間革命になると考えられ、日本でもワークスタイルの1つとして定着することが予想される。その一方で、新しいテレワーク文化を支えるサービスや私たちのリテラシーはまだまだ未成熟である。この記事では、オンライン会議の仕組みを解説しながら振り返るとともに、安全なオンライン会議を行うために私たちがセキュリティについて気を付けるべき点を考える。

オンライン会議の仕組みと問題点

オンライン会議は、拠点間を専用線で結んだビデオ会議と、ユーザーの端末間を接続したビデオ会議の2つに分けられる。拠点間の会議は、接続先が限定されるため安全性は高い。一方、今回のテレワーク拡大で問題となっているのは、ユーザーの端末間を接続したビデオ会議である。このオンライン会議方式では、アプリケーション提供企業のサーバーを経由せずに、インターネット回線を通じて個別の端末同士を接続してパケットの送受信を行うことが出来る。また、サーバーを経由しないことによって低レイテンシの動画送信が可能となる。この際に、接続した端末間でしかパケットを復号することができないエンドツーエンド(E2E)の暗号化方式を用いることが多い。

一見すると安全そうなオンライン会議の仕組みだが、すべてのアプリケーションが安全とは限らない。まず全てのアプリケーションがエンドツーエンドの暗号化方式を採用しているとは限らない。伝送路の最中で盗聴されると、パケットを復号され、情報が盗まれる可能性がある。次に、オンライン会議アプリケーションの提供企業のサーバー上で盗聴される可能性もある。オンライン会議では、参加者情報やオンライン会議中に作成した議事メモ、発表資料、録画した会議ビデオ等の情報を、アプリケーション提供企業が所有するサーバーを端末の間で送受信している。サーバーに情報をアップロードした場合、アプリケーション提供企業に過失があると情報が流失してしまう可能性がある。実際にZoom社は、参加者情報をFacebook社へ送信していたことを認めている。アプリケーション提供企業のサーバーを経由する以上、参加者以外の誰かが参加者リストや発言内容・会議メモを覗き見る可能性があることを常に忘れてはいけない。

もう1つの大きな問題点として、会議の参加者が必ずしも主催者にとって好ましい振る舞いをしない点がある。ある学校では、遠隔授業にオンライン会議アプリケーションを利用していたところ、学生以外の不審な参加者から妨害を受けた。このケースでは、学生が第三者に会議URLを公開したことで攻撃対象となった。URLを知った悪意のある第三者がオンライン会議に参加すると、会議情報を盗んだり、悪質な画像や大音量の音声を参加者に送り付けるなど会議運営が妨げられてしまう。会議主催者の不注意に起因する場合も多いが、オンライン会議を妨害しようとする参加者や悪意ある第三者がいることも念頭に置かなければならないのである。

安全なオンライン会議は、テレワーク文化の基盤となる

日本にテレワーク文化が根付くかどうかは、安全なオンライン会議アプリケーションが普及できるかどうかにかかっている。Zoomの問題を経て、対面会議を重用する旧来の働き方に戻らないように、私たちも情報セキュリティへの意識を高める必要がある。

企業のシステム管理者は、新しいオンライン会議アプリケーションを導入する前に、どのような仕組みでアプリケーションが情報をやり取りしているのか把握すべきである。アプリケーション提供企業が公表しているセキュリティ関連文書を必ず確認し、既知のセキュリティ上の課題が無いか安全性を評価してから導入を判断すべきである。また、アプリケーションを導入する前には、利用者に対して適切に教育・研修を行うことが望ましい。

これらに加えて、利用者にも可能なセキュリティ対策がある。オンライン会議の主催者は、会議中に取り扱える情報を事前に参加者内に限定することで、不用意な情報の流失を防ぐことができる。どの程度の情報までオンライン会議で会話することが可能か、事前に相談を行えば安心して会議をすることができるだろう。また参加者も、アプリケーションの安全性が不透明な場合は、IPA(情報処理推進機構)の情報セキュリティ安心相談窓口を活用したり、自社のシステム管理担当者へ相談すると良いだろう。主催者に誘導されるままアプリケーションを使用するのではなく、安全性に懸念があった場合には、まずは確認と相談を行うべきである。利便性を重視してセキュリティを軽視してはいけない。当たり前の姿勢に今一度立ち戻ってみることが、テレワーク文化定着への近道である。