こんにちは、Kanot(狩野)です。現在アメリカの大学で講座を担当しているのですが、ご存知の通りコロナの影響でオンライン化に急に舵を切ることになりました。その中でよく使っているのが、日本でも急速に普及中の「Zoom」というビデオ会議サービスです。一方、そのZoomの特性を悪用した、ZoomBombing(Zoomを使った悪質行為)の被害がアメリカの大学で問題になっており、注意喚起も兼ねて紹介したいと思います。Zoomミーティングを主催する方は、ぜひご一読ください。
5/25追記。Zoom社が頻繁にバージョンアップし、仕様が変わっています。本投稿の内容も古くなっている可能性がありますので、ご注意ください。
Zoom Bombingとは何か?
ひとことで言うと、Zoomの画面共有またはチャットを使って、ポルノ画像やグロ画像などを不特定多数に送りつける悪質行為です。ZoomBombingとはZoomにBomb(爆弾)を落とすと言う造語で、Zoomボミングと読みます。
Zoomの初期設定では、画面共有すると自動的に画面が最大化することや、クリック一つで参加者全員にファイル配布ができることから、大学の授業など不特定多数が参加するミーティングが標的になりやすく、大学やWebinarと呼ばれるオンラインセミナーなどが狙われています。
Zoom Bombingがなぜ起きるのか?
まずはURLの問題です。Zoomミーティングをしたことある方はご存知だと思いますが、ZoomのURLはとてもシンプルです。例えば「https://zoom.us/j/数字9桁」という構成です。
このように、URLさえ知っていればID登録等しなくてもミーティングに参加できるのがZoomの最大の強みであり利便性だったのですが、それを悪用されている状況です。
一方、勘の良い方はわかると思いますが、これは機械が勝手にランダム数字で試すには非常に簡単、かつ検索サイトでも検索が容易です。私のような素人でもGoogleで「Join Zoom Meeting https://zoom.us/j/*」などと検索すれば、複数のミーティングURLを見つけることができます。これらをさらに大学名や組織名などで絞り込むことで、よりターゲットを絞ったZoom Bombingができることになります。
次に、Zoomにはパスワードをつける機能があるのですが、使っていない方も多く、URLさえ入手できてしまえば、世界中どこからでも匿名で入室することができてしまいます。(後日追記:デフォルトでパスワードがONになりました。)
そして厄介なのが、講義中やWebinar(オンラインセミナー)中にこのような行為があった場合、その人を見つけて退出させることは可能ですが、不適切な画像を見せられた参加者のショックは大きいです。加えて、その人はミーティングURLを知っているので、別アカウントなどで再度入室し、同じ行為を繰り返すリスクがあり、それを講義中に防ぐことは非常に難しいです。
Zoom Bombingを防ぐにはどうしたらよいのか?
では、Zoom Bombingは防げないのかと言うと、十分対策可能です。既存の機能でかなりリスクを下げることができます。それぞれの設定方法はZoomのマニュアルサイトか設定画面を見ていただくとして、ホストとしてできることを挙げておきます。
まずは、無料アカウントでもできることです。(間違ってたら教えてください。)
- 入室時にパスワードを要求する
(1) パスワードを手入力させる、(2) パスワードをURLに埋め込んで参加者に共有、という2つの選択肢があります。前者の方が確実ですがやや面倒、後者は簡単ですがURLが漏れると結局同じという特徴があります。 - ミーティングのURLをなるべく再利用しない
Zoomは簡単に番号生成できるので、セミナーなどでは毎回異なるURLを使う方が良いと思います。 - ミーティングのURLの配布先を最小限に絞る
HPなどには載せずに、参加者にEmail等で周知する方が安全です。 - 待機室(waiting room)を利用する
会議に入る前に待機室機能で待っていてもらい、ホストがそこからメインルームに招待する形です。参加者の顔がわかっているミーティングでは、確実に部外者を防げます。
(4/5追記。どうやらZoomBombing対応でこの機能がデフォルトONになったようです。) - ホスト以外の画面共有を不可にする
第三者がいきなり画面共有して全面にポルノ画像、みたいな状況を防げます。 - チャットへのファイル添付を不可にする
第三者がいきなりチャットで全員にポルノ画像、みたいな状況を防げます。 - ホストより前の入室禁止
知らないうちに誰かが勝手に使うのを防げます。 - 電話通話での参加を不可にする
デフォルトでは電話参加もオンになっていますが、もし参加者全員がネット経由とわかっているなら、オフにしておいた方がリスクを減らせます。
次に、有料アカウントの方向けになります。
- ミーティングのURL固定を極力避ける
パーソナルIDを使ってURLを固定することが可能です。定例ミーティングなどでは毎回同じURLを使えるので便利ですよね。ただ、使い回す=リスクが上がることでもあることは認識しておく必要があると思います。
おわりに
ミーティングやオンラインセミナーを主催される場合は、ぜひ上記の点を参考にしていただき、事故を防いでいただけたらと思います。
ちなみに、私のメッセージはZoomから他に乗り換えなさいと言うものではありません。数あるビデオ会議ソフトの中で、Zoomはピカイチの機能とクオリティを備えた、素晴らしいサービスだと思っています。
せっかくのZoomの便利さである、ワンクリックでミーティング参加という機能が、このような悪質行為によって失われていくのはとても残念です。
また、本件とは直接関係しませんが、Zoomのセキュリティ問題(例:スマホ版でFacebookにデータを送ってた等)も最近よく見かけるようになってきました。Zoomは新興企業なので、セキュリティよりも機能を優先してきたことは容易に想像でき、今後も出てくるかもしれませんので、適宜このようなニュースを追っていく、または機密事項はZoomでは流さない、等の工夫が必要だと思います。
それではみなさん、Stay Healthy, Stay Safeで。
コメント
有用な情報ありがとうございます。
waiting room無料版でも使えています^ ^
るりさん、貴重な情報ありがとうございます。あれ?そんなはずは・・と思ったら、この記事のように、Zoom側が無料アカウントにも組み込んだのかもしれません。
https://www.itmedia.co.jp/news/articles/2004/05/news009.html
いずれにせよ、今は無料アカウントでも使えるようなので、修正しておきます。ご指摘ありがとうございました。