Zoomの認証情報ハッキング事件から学べることとは

新型コロナウイルスの流行により、ビデオ会議アプリの Zoom は利用者数が２０１９年１２月の１０００万ユーザーから２０２０年４月には３億人を超えるまでに急成長しました。この急成長により、Zoom は大きな報酬を得ることになりましたが、同時にプライバシーの問題やセキュリティの欠陥も露呈しました。

２０２０年前半、Zoom は以下のようなプライバシーに関する被害に巻き込まれました。

• Zoomがユーザーデータを Facebook に送信し、ユーザーのプライバシー規約に違反したことが発覚（２０２０年３月）。
• 認証情報の共有、オープンな会議の開催、ユーザーのパスワード管理の不備などが、「Zoom爆撃 (Zoombombing)」現象につながった（２０２０年４月）。悪意を持った乱入者によって、主に学校や大学向けの Zoom を使った講義がメチャメチャにされ、下品な言葉の使用や、授業や会議を妨害するためにありとあらゆる迷惑行為を行いました。あまりに目に余る問題行動が多かったため FBI が関与し、世界中の多くの組織や国家機関での Zoom の使用が禁じられました。現在、Zoom爆撃は米国の法律に違反しており、犯人は起訴される可能性があります。
• ハッカーによってログイン情報が盗まれる（２０２０年４月）。Zoom チャットのハンドル・リンクを通じて、ハッカーがユーザーの Windows のログイン情報を盗み出すことができる脆弱性が存在することが分かっています。
• Zoomのバグによって、ハッカーがユーザーのマイクやウェブカメラを簡単にコントロールできるようになる（２０２０年４月）。
• Zoomの別のバグにより、ハッカーは macOS のデスクトップにルートアクセスできるようになる（２０２０年４月）。
• Zoomを調査していた研究者が、Zoom が規約に沿ったエンドツーエンドの暗号化を使用していないことを発見する（２０２０年４月）。流出したユーザーデータには、メールアドレスや写真も含まれていました。
• ”誤って” 中国のサーバーを経由（２０２０年４月）。Zoom社は、一部の無料通話で、参加者が中国にいなかったにもかかわらず、「誤って」中国のサーバーを経由していたことを認めています。
• 侵害された Zoomアカウント３５２件がダークウェブで発見される（２０２０年４月）。

これらのセキュリティ問題は、Zoom ユーザーにとって決して良い出来事ではありません。

会社でプライバシーに関する事件に巻き込まれないように、 TeamPassword の無料トライアルで対策を練りましょう。
‏‏‎ ‎

Zoomの認証情報ハッキング事件で起こったこと

２０２０年４月上旬、サイバーセキュリティ企業の Cyble は、ダークウェブのハッカーフォーラムで Zoom の認証情報が１つ 0.002 ドルで販売されているのを発見しました。一部のフォーラムユーザーは、Zoom の認証情報を無料で載せ、それによってZoom爆撃やその他のサイバー攻撃の実行に拍車がかかりました。Cyble は、５３万件の Zoom 認証情報を購入し、それらが本物かどうかを判断したところ、ZoomミーティングのURL、ユーザーのメールアドレス、パスワード、ホストキーなど、顧客の多くの情報がリストに含まれていることがわかりました。Cyble では、Zoomのアカウント保持者に対し、すぐにメディアを通じて、パスワードの変更と、ビデオ会議アプリを使用する際に注意するよう呼びかけました。

Zoom の認証情報ハッキング事件の影響を受けた人

Zoom の認証情報のほとんどは、学校や大学の教員や学生のものでしたが、Chase や Citibank など、銀行などの大手企業の顧客も多く含まれていました。

Zoomの落ち度

２０２０年４月に発生した Zoom の認証情報漏洩事件を受けて、世界中の多くの企業がビデオ会議アプリの利用を禁止しました。Zoom を禁止した代表的な組織には、Google、SpaceX、Smart Communications、NASA、オーストラリア国防軍、台湾政府、カナダ政府などがあります。このような組織の多くは、より優れたセキュリティを提供するエンタープライズ向けの E2EE（エンドツーエンド暗号化）ビデオ会議の代替品に切り替え、２０２０年４月に Zoom から移行した組織では、Google Meet とGoogle Duo が人気の選択肢となりました。Zoom もこのセキュリティ被害を乗り切り、問題だらけだったセキュリティの大幅な改善が行われました。

ハッカーが Zoom の認証情報を盗む手口

Cybleによると、ハッカーは Zoomのログイン情報を、あるウェブサイトやアプリケーションから盗んだログイン情報を使って別のウェブサイトにアクセスするサイバー攻撃である「クレデンシャルスタッフィング攻撃」と呼ばれるプロセスで入手した可能性が高いとのことです。この種の攻撃は、ユーザーが複数のウェブサイトやアプリケーションで同じユーザー名（またはメールアドレス）とパスワードを使い回していることで成り立ちます。

例えば、あなたの Facebook、Amazon、Zoom、Twitter、Instagram、そしてLINEのアカウントに同じメールアドレスとパスワードが使われているとします。この場合、ハッカーはこのアプリケーションのうち１つを突破するだけで、６つすべてのログイン情報を手に入れることができるのです。

クレデンシャルスタッフィング攻撃の仕組み

サイバー犯罪者は通常、セキュリティが不十分なウェブサイトやアプリケーションを攻撃し、ユーザーのメールアドレスとパスワードを抜き取ります。ハッカーは、Selenium、cURL、PhantomJS のような自動化ツールを使って、そのような認証情報を何百万ものウェブサイトやアプリケーションに対してテストするのです。もし、そのログイン情報が他のアカウントで使えた場合、そのユーザーの情報はリスト（この場合は Zoom の５３万人を超えるリスト）に追加され、最終的にはダークウェブで売り捌かれることになります。

２０２０年の認証情報ハッキング事件は Zoom に起因するか

この認証情報攻撃は、Zoom とユーザーの両方に責任があります。ユーザーはより良い認証情報とパスワードのセキュリティ対策を実践するべきで、Zoomはクレデンシャルスタッフィング攻撃を防ぐためのセキュリティ対策を講じるべきです。

クレデンシャルスタッフィング攻撃は、実は低コストで簡単に防ぐことができるのです。

例えば、Google の reCAPTCHA は、認証確認の前に、ユーザーが解くべき問題を作成します。その問題は人間にとっては簡単ですが、ボットにとっては複雑すぎるため、クレデンシャルスタッフィング攻撃の抑制になります。アプリケーションでクレデンシャルスタッフィング攻撃を防げるもう一つの方法は、２FA（二要素認証）です。そのため、２０２０年４月の認証情報のハッキングについては、Zoom に直接の責任はないかもしれませんが、クレデンシャルスタッフィング攻撃を防ぐために講じることができた措置はあると思われます。

１４日間の無料トライアルで、ハッカーにあなたの認証情報を盗られないようにしましょう。

ユーザーによるクレデンシャルスタッフィング攻撃の防止方法

パスワードに関連する多くの攻撃を減らすことができるパスワードマネージャーを使うなど、ユーザーがクレデンシャルスタッフィング攻撃による被害を防ぐためにできることがいくつかあります。

同じパスワードは使わない

皆さんが犯す最大の間違いのひとつに、複数のアプリケーションやウェブサイトでの同じパスワードの使い回しがあります。必ずアカウントごとに別々のパスワードを使いましょう。

TeamPassword のようなパスワードマネージャーを使うと、アカウントごとに異なるパスワードを自動作成することができ、TeamPassword のブラウザ拡張機能を使えば、パスワードを忘れたり、メモ帳やスプレッドシートなど安全でない場所に保存したりする必要もありません。

ログイン情報を共有しない

ログイン情報の共有は、企業や個人がサイバー攻撃にさらされるリスクが高まります。同僚やフリーランサーおよび請負業者とパスワードを共有している場合でも、ログイン情報は別々に提供することが常にベストプラクティスになります。ユーザー名とパスワードが１つしかないアカウントでは、生のログイン情報を共有する代わりに、パスワードマネージャーを使わなければいけません。この方法だと、パスワードマネージャーへのアクセスのみが提供され、全員のアクセスを完全に制御することができるのです。

TeamPassword のグループと共有機能により、特定のアカウント用にグループを作成して、必要な人だけにアクセスを共有することができることから、チームメンバー、クライアント、フリーランサーとパスワードを安全に共有することができます。また、１クリックでユーザーのアクセス権を失効させることができ、不正な認証情報共有のリスクを軽減することができます。パスワードは決して公開されないので、チームメンバー、クライアント、フリーランサーは、その情報が必要なくなればアカウントにアクセスすることはありませんし、誰かがプロジェクトを離れるたびにパスワード変更を心配する必要もありません。

強力でユニークなパスワードを作成する

セキュリティの弱いパスワードやよく使われるパスワードは、ハッカーにログイン情報を推測されやすくなります。サイバー犯罪者は、フィッシングやSNS のプロフィール調査を通じて、ペットの名前、子供の名前、思い出の日、旧姓などの情報を集め、パスワードの組み合わせを推測する可能性があります。強力なパスワードは、大文字、小文字、記号、数字を組み合わせた１２文字以上である必要があり、それを作るには、パスワードジェネレーターの使用が最も効果的です。

パスワード生成ツールはセキュリティ対策に取り組むにあたって素晴らしい第一歩ですが、作成したパスワードは、確実に安全に保管および共有されないといけません。TeamPassword は、パスワードをすべて保存し、３２文字のパスワードを生成することができる内蔵のパスワードジェネレータを備えています。さらに、TeamPassword のブラウザ拡張機能または iOS や Android のネイティブアプリを使ってアカウントにアクセスでき、二要素認証を設定することで、パスワードマネージャーにさらに強固な保護を実現できます。

Zoom の認証情報ハッキング事件から得られた主なポイント

• まずは、どのアカウントでも必ず一意のパスワードを使用すること。みんながこのパスワードのテクニックを実践していれば、２０２０年のZoom の認証情報ハッキング事件は起こらなかったでしょう。
• 定期的にパスワードをリセットすること。TeamPassword では、少なくとも ９０〜１８０ 日ごとのパスワード変更を推奨しています。アカウントに不審な動きがあると思われる場合は、すぐにパスワードを変更し、アプリケーションやウェブサイトのカスタマーサポートに連絡してください。
• ２FA（２要素認証）が可能なアカウントはすべて「有効」にすること。余計な手間はかかりますが、ハッキング被害、特にその過程でお金がなくなるリスクを考えれば２FAを有効にしておくのが賢明な判断です。
• パスワードジェネレーターを使って、推測がほぼ不可能な強力でユニークなパスワードを作成すること。大文字、小文字、記号、数字で最低１２文字を使いましょう。

‏‏TeamPassword - パスワード管理ソリューション

TeamPassword は、企業がパスワードを全て一箇所で管理するのをお手伝いする強力なパスワード管理ソリューションです。高度な暗号化により、チームメンバーとのパスワードの共有を心配する必要はありません。

皆さんが最高の製品とサービスを顧客に提供することに集中できるように、セキュリティはTeamPassword にお任せください。ぜひ今すぐ TeamPassword の無料トライアルをお試しください。