新型コロナウィルスの流行により、ビデオ会議アプリの Zoom は12月の1000万ユーザーから2020年4月には3億人を超えるまでに急成長しました。この急成長は、Zoom にとって大きな報酬を得ることになりましたが、プライバシーの問題やセキュリティーの欠陥も露呈しました。
2020年前半、Zoom は以下のようなプライバシーに関する災害に巻き込まれることになりました:
- Zoomがユーザーデータを Facebook に送信し、ユーザーのプライバシー契約に違反したことが発覚(2020年3月)。
- 認証情報の共有、オープンな会議の開催、ユーザーのパスワード管理の不備などが、「Zoom爆撃」現象につながった(2020年4月)。トラブルメーカーによって、主に学校や大学向けの Zoom 通話がメチャメチャにされ、下品な言葉の使用や、会議を妨害するためにありとあらゆることをしたりして、迷惑行為を行いました。あまりにひどいので FBI が関与し、世界中の多くの組織や国家機関での Zoom の使用が禁じられました。現在、Zoom爆撃は米国の法律に違反しており、犯人は起訴される可能性があります。
- ハッカーによってログイン情報が盗まれる(2020年4月)。Zoom チャットのハンドル・リンクを通じて、ハッカーがユーザーの Windows のログイン情報を盗み出すことができる脆弱性が存在します。
- Zoomのバグによって、ハッカーがユーザーのマイクやウェブカメラを簡単にコントロールできるようになる(2020年4月)。
- Zoomの別のバグにより、ハッカーは macOS のデスクトップにルートアクセスできるようになる(2020年4月)。
- Zoomを調査していた研究者が、このアプリが約束通りエンドツーエンドの暗号化を使用していないことを発見する(2020年4月)。流出したユーザーデータには、メールアドレスや写真も含まれていました。
- ”間違って” 中国のサーバーを経由(2020年4月)。Zoom社は、一部の無料通話で、参加者が中国にいなかったにもかかわらず、「間違って」中国のサーバーを経由していたことを認めています。
- 侵害された Zoomアカウント352件がダークウェブで発見される(2020年4月)。
残念ながら、Zoomの認証情報53万件がダークウェブ上で公開され、Zoomとその3億人のユーザーにとって頭痛の種となりました。
会社でプライバシー災害を起こすわけにはいきません。 TeamPassword の無料トライアルで対策を練りましょう。
Zoomの認証情報ハッキング事件で起こったこと
2020年4月上旬、サイバーセキュリティ企業の Cyble は、ダークウェブのハッカーフォーラムで Zoom の認証情報が1つ 0.002 ドルで販売されているのを発見しました。一部のフォーラムユーザーは、Zoom の認証情報を無料で載せ、それによってZoom爆撃やその他の破壊的な攻撃の実行に拍車がかかりました。Cyble は、53万件の Zoom 認証情報を購入し、それらが本物かどうかを判断したところ、ZoomミーティングのURL、ユーザーのメールアドレス、パスワード、ホストキーなど、顧客の多くの情報がリストに含まれていることがわかりました。Cyble では、Zoomのアカウント保持者に対し、すぐにメディアを通じて、パスワードの変更と、ビデオ会議アプリを使用する際に注意するよう呼びかけました。
Zoom の認証情報ハッキング事件の影響を受けた人
Zoom の認証情報のほとんどは、学校や大学の教員や学生のものでしたが、Chase や Citibank など、銀行などの大手企業の顧客も多く含まれていました。
Zoomの落ち度
2020年4月に発生した Zoom の認証情報漏洩事件を受けて、世界中の多くの企業がビデオ会議アプリの利用を禁止しました。Zoom を禁止した代表的な組織には、Google、SpaceX、Smart Communications、NASA、オーストラリア国防軍、台湾政府、カナダ政府などがあります。このような組織の多くは、より優れたセキュリティを提供するエンタープライズ向けの E2EE(エンドツーエンド暗号化)ビデオ会議の代替品に切り替え、2020年4月に Zoom から移行した組織では、Google Meet とGoogle Duo が人気の選択肢となりました。とにもかくにも、Zoom は嵐を乗り切ったようであり、2020年の問題だらけのスタート以来、セキュリティの大幅な改善が行われました。
ハッカーが Zoom の認証情報を取る手口
Cybleによると、ハッカーは Zoomのログイン情報を、あるウェブサイトやアプリケーションから盗んだログイン情報を使って別のウェブサイトにアクセスするサイバー攻撃である「クレデンシャルスタッフィング攻撃」と呼ばれるプロセスで入手した可能性が高いとのことです。この種の攻撃は、ユーザーが複数のウェブサイトやアプリケーションで同じユーザー名(またはメールアドレス)とパスワードを使い回していることで成り立ちます。
例えば、あなたの Facebook、Amazon、Zoom、Twitter、Instagram、そして電気料金のアカウントに同じメールアドレスとパスワードが使われているとします。この場合、ハッカーはこのアプリケーションのうち1つを突破するだけで、6つすべてのログイン情報を手に入れることができるのです。「情報漏えいを起こしたA社からユーザー名とパスワードが漏れ、そのユーザー名とパスワードを使って SNS のアカウントにログインした場合、そのアカウントも危険にさらされる可能性があります。」Zoomの認証情報ハックに伴うNSA(アメリカ国家安全保障局)の声明。
クレデンシャルスタッフィング攻撃の仕組み
サイバー犯罪者は通常、セキュリティが不十分なウェブサイトやアプリケーションを攻撃し、ユーザーのメールアドレスとパスワードを抜き取ります。ハッカーは、Selenium、cURL、PhantomJS のような自動化ツールを使って、そのような認証情報を何百万ものウェブサイトやアプリケーションに対してテストするのです。もし、そのログイン情報が他のアカウントで使えた場合、そのユーザーの情報はリスト(この場合は Zoom の53万人を超えるリスト)に追加され、最終的にはダークウェブで売り捌かれることになります。
2020年の認証情報ハッキング事件は Zoom に起因するか
この認証情報攻撃は、Zoom とユーザーの両方に責任があります。ユーザーはより良い認証情報とパスワードのエチケットを実践しないといけないし、Zoomはクレデンシャルスタッフィング攻撃を防ぐためのセキュリティ対策を講じるべきです。ウェブサイトやアプリケーションがクレデンシャルスタッフィング攻撃は、実は安く簡単に防ぐことができるのです。
例えば、Google の reCAPTCHA は、認証確認の前に、ユーザーが解くべき問題を作成します。その問題は人間にとっては簡単ですが、ボットにとっては複雑すぎるため、クレデンシャルスタッフィング攻撃の抑制になります。アプリケーションでクレデンシャルスタッフィング攻撃を防げるもう一つの方法は、2FA(二要素認証)です。そのため、2020年4月の認証情報のハッキングについては、Zoom に直接の責任はないかもしれませんが、クレデンシャルスタッフィング攻撃を防ぐために講じることができた措置はあると思われます。
14日間の無料トライアルで、ハッカーにあなたの認証情報を盗られないようにしましょう。
ユーザーによるクレデンシャルスタッフィング攻撃の防止方法
パスワードに関連する多くの攻撃を減らすことができるパスワードマネージャを使うなど、ユーザーがクレデンシャルスタッフィング攻撃による被害を防ぐためにできることがいくつかあります。
同じパスワードは使わない
皆さんが犯す最大の間違いのひとつに、複数のアプリケーションやウェブサイトでの同じパスワードの使い回しがあります。必ずアカウントごとに別々のパスワードを使いましょう。
TeamPassword のようなパスワードマネージャを使うと、アカウントごとに異なるパスワードを作成することができ、TeamPassword のブラウザ拡張機能を使えば、パスワードを忘れたり、メモ帳やスプレッドシートなど安全でない場所に保存したりする必要がありません。
ログイン情報を共有しない
ログイン情報の共有は、企業や個人がサイバー攻撃にさらされるもう一つの危機です。同僚やフリーランサーおよび請負業者とパスワードを共有している場合でも、ログイン情報は別々に提供することが常にベストプラクティスになります。ユーザー名とパスワードが1つしかないアカウントでは、生のログイン情報を共有する代わりに、パスワードマネージャを使わなければいけません。この方法だと、パスワードマネージャへのアクセスのみが提供され、全員のアクセスを完全に制御することができるのです。
TeamPassword のグループと共有機能により、特定のアカウント用にグループを作成して、必要な人だけにアクセスを共有することができることから、チームメンバー、クライアント、フリーランサーとパスワードを安全に共有することができます。また、1クリックでユーザーのアクセス権を失効させることができ、不正な認証情報共有のリスクを軽減することができます。パスワードは決して公開されないので、チームメンバー、クライアント、フリーランサーは、その情報が必要なくなればアカウントにアクセスすることはありませんし、誰かがプロジェクトを離れるたびにパスワード変更を心配する必要もありません。
強力でユニークなパスワードを作成する
弱いパスワードやよく使われるパスワードは、ハッカーにログイン情報を推測されやすくなります。サイバー犯罪者は、フィッシングやSNS のプロフィール調査を通じて、ペットの名前、子供の名前、思い出の日、旧姓などの情報を集め、パスワードの組み合わせを推測する可能性があります。強力なパスワードは、大文字、小文字、記号、数字を組み合わせた12文字以上である必要があり、それを作るには、パスワードジェネレーターの使用が最も効果的です。
ただ、パスワード生成ツールは素晴らしい第一歩ですが、作成したパスワードは、確実に安全に保管および共有されないといけません。TeamPassword は、パスワードをすべて保存し、32文字のパスワードを生成することができる内蔵のパスワードジェネレータを備えています。さらに、TeamPassword のブラウザ拡張機能または iOS や Android のネイティブアプリを使ってアカウントにアクセスでき、二要素認証を設定することで、パスワードマネージャにさらなる保護層を追加することがもできます。
Zoom の認証情報ハッキング事件から得られた主なポイント
- まずは、どのアカウントでも必ず一意のパスワードを使用すること。みんながこのパスワードのテクニックを実践していれば、2020年のZoom の認証情報ハッキング事件は起こらなかったでしょう。
- 定期的にパスワードをリセットすること。TeamPassword では、少なくとも 90〜180 日ごとのパスワード変更を推奨しています。アカウントに不審な動きがあると思われる場合は、すぐにパスワードを変更し、アプリケーションやウェブサイトのカスタマーサポートに連絡してください。
- 2FA(2要素認証)が可能なアカウントはすべて「有効」にすること。余計な手間はかかりますが、ハッキング被害、特にその過程でお金がなくなることほど嫌なことはありません。
- パスワードジェネレーターを使って、推測がほぼ不可能な強力でユニークなパスワードを作成すること。大文字、小文字、記号、数字で最低12文字を使いましょう。
TeamPassword - パスワード管理ソリューション
TeamPassword は、企業がパスワードを全て一箇所で管理するのをお手伝いする強力なツールです。高度な暗号化により、チームメンバーとのパスワードの共有を心配する必要はありません。
皆さんが最高の製品とサービスを顧客に提供することに集中できるように、セキュリティはTeamPassword にお任せください。ぜひ今すぐ TeamPassword の無料トライアルをお試しください。
