Zoomの認証情報ハッキング事件から学べることとは
新型コロナウイルスの流行により、ビデオ会議アプリの Zoom は利用者数が2019年12月の1000万ユーザーから2020年4月には3億人を超えるまでに急成長しました。この急成長により、Zoom は大きな報酬を得ることになりましたが、同時にプライバシーの問題やセキュリティの欠陥も露呈しました。
2020年前半、Zoom は以下のようなプライバシーに関する被害に巻き込まれました。
- Zoomがユーザーデータを Facebook に送信し、ユーザーのプライバシー規約に違反したことが発覚(2020年3月)。
- 認証情報の共有、オープンな会議の開催、ユーザーのパスワード管理の不備などが、「Zoom爆撃 (Zoombombing)」現象につながった(2020年4月)。悪意を持った乱入者によって、主に学校や大学向けの Zoom を使った講義がメチャメチャにされ、下品な言葉の使用や、授業や会議を妨害するためにありとあらゆる迷惑行為を行いました。あまりに目に余る問題行動が多かったため FBI が関与し、世界中の多くの組織や国家機関での Zoom の使用が禁じられました。現在、Zoom爆撃は米国の法律に違反しており、犯人は起訴される可能性があります。
- ハッカーによってログイン情報が盗まれる(2020年4月)。Zoom チャットのハンドル・リンクを通じて、ハッカーがユーザーの Windows のログイン情報を盗み出すことができる脆弱性が存在することが分かっています。
- Zoomのバグによって、ハッカーがユーザーのマイクやウェブカメラを簡単にコントロールできるようになる(2020年4月)。
- Zoomの別のバグにより、ハッカーは macOS のデスクトップにルートアクセスできるようになる(2020年4月)。
- Zoomを調査していた研究者が、Zoom が規約に沿ったエンドツーエンドの暗号化を使用していないことを発見する(2020年4月)。流出したユーザーデータには、メールアドレスや写真も含まれていました。
- ”誤って” 中国のサーバーを経由(2020年4月)。Zoom社は、一部の無料通話で、参加者が中国にいなかったにもかかわらず、「誤って」中国のサーバーを経由していたことを認めています。
- 侵害された Zoomアカウント352件がダークウェブで発見される(2020年4月)。
これらのセキュリティ問題は、Zoom ユーザーにとって決して良い出来事ではありません。
会社でプライバシーに関する事件に巻き込まれないように、 TeamPassword の無料トライアルで対策を練りましょう。
Table of Contents
Zoomの認証情報ハッキング事件で起こったこと
2020年4月上旬、サイバーセキュリティ企業の Cyble は、ダークウェブのハッカーフォーラムで Zoom の認証情報が1つ 0.002 ドルで販売されているのを発見しました。一部のフォーラムユーザーは、Zoom の認証情報を無料で載せ、それによってZoom爆撃やその他のサイバー攻撃の実行に拍車がかかりました。Cyble は、53万件の Zoom 認証情報を購入し、それらが本物かどうかを判断したところ、ZoomミーティングのURL、ユーザーのメールアドレス、パスワード、ホストキーなど、顧客の多くの情報がリストに含まれていることがわかりました。Cyble では、Zoomのアカウント保持者に対し、すぐにメディアを通じて、パスワードの変更と、ビデオ会議アプリを使用する際に注意するよう呼びかけました。
Zoom の認証情報ハッキング事件の影響を受けた人
Zoom の認証情報のほとんどは、学校や大学の教員や学生のものでしたが、Chase や Citibank など、銀行などの大手企業の顧客も多く含まれていました。
Zoomの落ち度
2020年4月に発生した Zoom の認証情報漏洩事件を受けて、世界中の多くの企業がビデオ会議アプリの利用を禁止しました。Zoom を禁止した代表的な組織には、Google、SpaceX、Smart Communications、NASA、オーストラリア国防軍、台湾政府、カナダ政府などがあります。このような組織の多くは、より優れたセキュリティを提供するエンタープライズ向けの E2EE(エンドツーエンド暗号化)ビデオ会議の代替品に切り替え、2020年4月に Zoom から移行した組織では、Google Meet とGoogle Duo が人気の選択肢となりました。Zoom もこのセキュリティ被害を乗り切り、問題だらけだったセキュリティの大幅な改善が行われました。
ハッカーが Zoom の認証情報を盗む手口
Cybleによると、ハッカーは Zoomのログイン情報を、あるウェブサイトやアプリケーションから盗んだログイン情報を使って別のウェブサイトにアクセスするサイバー攻撃である「クレデンシャルスタッフィング攻撃」と呼ばれるプロセスで入手した可能性が高いとのことです。この種の攻撃は、ユーザーが複数のウェブサイトやアプリケーションで同じユーザー名(またはメールアドレス)とパスワードを使い回していることで成り立ちます。
例えば、あなたの Facebook、Amazon、Zoom、Twitter、Instagram、そしてLINEのアカウントに同じメールアドレスとパスワードが使われているとします。この場合、ハッカーはこのアプリケーションのうち1つを突破するだけで、6つすべてのログイン情報を手に入れることができるのです。
クレデンシャルスタッフィング攻撃の仕組み
サイバー犯罪者は通常、セキュリティが不十分なウェブサイトやアプリケーションを攻撃し、ユーザーのメールアドレスとパスワードを抜き取ります。ハッカーは、Selenium、cURL、PhantomJS のような自動化ツールを使って、そのような認証情報を何百万ものウェブサイトやアプリケーションに対してテストするのです。もし、そのログイン情報が他のアカウントで使えた場合、そのユーザーの情報はリスト(この場合は Zoom の53万人を超えるリスト)に追加され、最終的にはダークウェブで売り捌かれることになります。
2020年の認証情報ハッキング事件は Zoom に起因するか
この認証情報攻撃は、Zoom とユーザーの両方に責任があります。ユーザーはより良い認証情報とパスワードのセキュリティ対策を実践するべきで、Zoomはクレデンシャルスタッフィング攻撃を防ぐためのセキュリティ対策を講じるべきです。
クレデンシャルスタッフィング攻撃は、実は低コストで簡単に防ぐことができるのです。
例えば、Google の reCAPTCHA は、認証確認の前に、ユーザーが解くべき問題を作成します。その問題は人間にとっては簡単ですが、ボットにとっては複雑すぎるため、クレデンシャルスタッフィング攻撃の抑制になります。アプリケーションでクレデンシャルスタッフィング攻撃を防げるもう一つの方法は、2FA(二要素認証)です。そのため、2020年4月の認証情報のハッキングについては、Zoom に直接の責任はないかもしれませんが、クレデンシャルスタッフィング攻撃を防ぐために講じることができた措置はあると思われます。
14日間の無料トライアルで、ハッカーにあなたの認証情報を盗られないようにしましょう。
ユーザーによるクレデンシャルスタッフィング攻撃の防止方法
パスワードに関連する多くの攻撃を減らすことができるパスワードマネージャーを使うなど、ユーザーがクレデンシャルスタッフィング攻撃による被害を防ぐためにできることがいくつかあります。
同じパスワードは使わない
皆さんが犯す最大の間違いのひとつに、複数のアプリケーションやウェブサイトでの同じパスワードの使い回しがあります。必ずアカウントごとに別々のパスワードを使いましょう。
TeamPassword のようなパスワードマネージャーを使うと、アカウントごとに異なるパスワードを自動作成することができ、TeamPassword のブラウザ拡張機能を使えば、パスワードを忘れたり、メモ帳やスプレッドシートなど安全でない場所に保存したりする必要もありません。
ログイン情報を共有しない
ログイン情報の共有は、企業や個人がサイバー攻撃にさらされるリスクが高まります。同僚やフリーランサーおよび請負業者とパスワードを共有している場合でも、ログイン情報は別々に提供することが常にベストプラクティスになります。ユーザー名とパスワードが1つしかないアカウントでは、生のログイン情報を共有する代わりに、パスワードマネージャーを使わなければいけません。この方法だと、パスワードマネージャーへのアクセスのみが提供され、全員のアクセスを完全に制御することができるのです。
TeamPassword のグループと共有機能により、特定のアカウント用にグループを作成して、必要な人だけにアクセスを共有することができることから、チームメンバー、クライアント、フリーランサーとパスワードを安全に共有することができます。また、1クリックでユーザーのアクセス権を失効させることができ、不正な認証情報共有のリスクを軽減することができます。パスワードは決して公開されないので、チームメンバー、クライアント、フリーランサーは、その情報が必要なくなればアカウントにアクセスすることはありませんし、誰かがプロジェクトを離れるたびにパスワード変更を心配する必要もありません。
強力でユニークなパスワードを作成する
セキュリティの弱いパスワードやよく使われるパスワードは、ハッカーにログイン情報を推測されやすくなります。サイバー犯罪者は、フィッシングやSNS のプロフィール調査を通じて、ペットの名前、子供の名前、思い出の日、旧姓などの情報を集め、パスワードの組み合わせを推測する可能性があります。強力なパスワードは、大文字、小文字、記号、数字を組み合わせた12文字以上である必要があり、それを作るには、パスワードジェネレーターの使用が最も効果的です。
パスワード生成ツールはセキュリティ対策に取り組むにあたって素晴らしい第一歩ですが、作成したパスワードは、確実に安全に保管および共有されないといけません。TeamPassword は、パスワードをすべて保存し、32文字のパスワードを生成することができる内蔵のパスワードジェネレータを備えています。さらに、TeamPassword のブラウザ拡張機能または iOS や Android のネイティブアプリを使ってアカウントにアクセスでき、二要素認証を設定することで、パスワードマネージャーにさらに強固な保護を実現できます。
Zoom の認証情報ハッキング事件から得られた主なポイント
- まずは、どのアカウントでも必ず一意のパスワードを使用すること。みんながこのパスワードのテクニックを実践していれば、2020年のZoom の認証情報ハッキング事件は起こらなかったでしょう。
- 定期的にパスワードをリセットすること。TeamPassword では、少なくとも 90〜180 日ごとのパスワード変更を推奨しています。アカウントに不審な動きがあると思われる場合は、すぐにパスワードを変更し、アプリケーションやウェブサイトのカスタマーサポートに連絡してください。
- 2FA(2要素認証)が可能なアカウントはすべて「有効」にすること。余計な手間はかかりますが、ハッキング被害、特にその過程でお金がなくなるリスクを考えれば2FAを有効にしておくのが賢明な判断です。
- パスワードジェネレーターを使って、推測がほぼ不可能な強力でユニークなパスワードを作成すること。大文字、小文字、記号、数字で最低12文字を使いましょう。
TeamPassword - パスワード管理ソリューション
TeamPassword は、企業がパスワードを全て一箇所で管理するのをお手伝いする強力なパスワード管理ソリューションです。高度な暗号化により、チームメンバーとのパスワードの共有を心配する必要はありません。
皆さんが最高の製品とサービスを顧客に提供することに集中できるように、セキュリティはTeamPassword にお任せください。ぜひ今すぐ TeamPassword の無料トライアルをお試しください。
おすすめの記事
パスワードの使い回しが招く「クレデンシャルスタッフィング攻撃」の脅威
パスワードは使い回さず、アカウントごとに異なるパスワードを設定することで、「クレデンシャルスタッフィング」と呼ばれる種類のサイバー攻撃の標的になるリスクを下げることができます。そして、パスワードは複雑で推測しにくい強力なものである必要があります。
【2025年版】管理職が知っておくべきサイバーセキュリティに関する間違い5選
進化が続く現代のデジタル社会では、ご自身の会社を無防備な状態にする可能性のある、初歩的なミスがたくさんあります。そこで、本記事で取り上げる5つの大きなミスとそのリスクについて認識し、それらを犯していないことを確認しましょう。
【最新版】あなたのパスワードは大丈夫?使ってはいけないパスワードTOP50
「123456」や「password」のようなシンプルで覚えやすく、誰もが簡単に予測できてしまう脆弱なパスワードに、何百万人もの人々がいまだに頼っていることをご存知でしょうか?本記事では、2025年になってもなお多くの人が利用している危険なパスワードの正体を暴いていきます。
時間ベースのワンタイムパスワード(TOTP)を利用するメリットとユースケース
本記事では、時間ベースのワンタイムパスワード(TOTP)による多要素認証(MFA)を常に有効にすべき理由と、適切なパスワードマネージャーを使用することで、チームが多要素認証を導入する方法について説明します。
