Zoomテレビ会議システムのセキュリティ脆弱性と安全判断の理由

オンラインギター/ウクレレのレッスンでメインで使用している、ツール「Zoom」に脆弱性(セキュリティ上の欠陥/弱点)があると報じれてています。
2020年4月3日現在、その問題の対処は提供側で完了し、講師の私と生徒さんでオンラインレッスンで使用する分には、問題無く使用可能と判断しています。

気になるという生徒さんは、Skypeなど別のツールを使ってレッスンしましょう。

※Zoomでのギターオンラインレッスン/ウクレレオンラインレッスンの参加方法は下記記事を参照ください。
　　　「Zoomでのオンラインレッスン参加方法」

※4月6日追記。更に問題点が報告されましたが、これも問題無しと思います。

私なりの判断ですが、念のための注意点、判断基準などを記載しますので、生徒さん以外もZoomを使う方の参考になるようでしたら、幸いです。

念のための注意点、対処方法。結論から
レッスンでは問題無し、の判断基準
持論ですが、最後に
参考情報参照元

念のための注意点、対処方法。結論から

簡単な内容ですので、皆さん一読ください。

現状(4/3時点)問題は無しと判断していますが、まずは、

１、Zoomアプリケーションを最新版にアップデートしましょう。レッスンの際にはこちらからバージョンアップをしているか確認します。4/1以降にアプリケーションをインストールした方は問題無しです。

２、更に念のため(普段みなさんやっていると思いますが)、Zoomを利用する機器(パソコン、スマホ、タブレット)にセキュリティソフトを入れ、最新の状態にしましょう。機器のOSもアップデートを忘れずに。

を各自実施することが必要です。あと。。

以上の対処でほぼ問題なしと判断していますが、レッスン中のやり取りが第三者に漏れてしまうという懸念も(本当にほぼないと考えてますが)考慮して、レッスン中は何かプライバシーにかかわる情報のやり取りはお互いに避けるように注意しましょう。

例えば、電話番号、住所、etc。

レッスンでは問題無し、の判断基準

以下それぞれ上がっている問題点と、それを問題なしと判断した基準です。
理解が難しいかも知れません。説明下手ですみません。

１、通信内容が暗号化されていないという問題。

すごく雑な判断ですが、オンラインレッスンでは万が一通信内容が漏れてもOK！という内容しかやり取りしていません。

別の角度できちんと説明しますと、

一部の通信経路が暗号化されていない、という点。暗号化されていないのは、固定電話やIP電話(ひかり電話などとも呼ばれます)回線で参加している経路上で、このような使用方法は想定していませんし、これまでにもありません。なので全く問題無しと。

暗号化の鍵がZoomのサーバ側に保管されている、という点。「エンドトゥーエンドで暗号化されている」と謳っていた点がウソ！、という事は大きな問題だなと思います。
ウソは困ったものですが、このような仕組みのサービスも多く見られますので、鍵が正常に保管されているだろう、Zoomのサーバのセキュリティを信頼し、問題無いと考えます。

２、ZoomのWindowsクライアント使用時に認証情報が盗まれる問題。

アプリケーションのバージョンアップで対処できていますので、問題無し。

更にはレッスン時のZoomの設定をこちら側でよりセキュアなものにしています。
ZoomのWindowsクライアント使用時に認証情報が盗まれるようなファイルのやり取りや保存場所をパスで示すような操作も基本しませんので、問題無しと判断します。

３、Zoom荒らし、Zoom爆弾、Zoom bombing(4月6日追記)

第三者がZoom会議(我々の場合はレッスン)に乱入する(「Zoom爆弾」などと呼ばれてるようです)という点は、開始時にパスワード入力を必須とする、開始時間より前の参加を無効にするなどで、対処しますので、これも問題ありません。

念のため生徒さん側では、オンラインレッスン時のお知らせに含まれている「URL」「ID」「パスワード」などの情報を第三者へ漏らさないようお願いします。

４、iPhone/iPad向けのアプリ利用時にログインしたユーザー情報をFacebookへ送信している問題

現在は、送信を停止しているとの事で、現状問題ありません。

また、ログインするのは講師側の私で、オンラインレッスンを実施しており、利用しているクライアントソフトはWindowsまたはandroidでしたので、過去にも問題は発生していない事となります。

以上ですが、単なるギターの先生のくせに何が分かると思うかもしれませんが、ギターの先生をやる5,6年前までIT関連の業務を多く行っていましたので、技術的な単語だらけの報告内容を普通の方よりは理解できるかなと。

Zoomの問題点がなんだかよくわからない、という方も周りに多くおりましたので、少しでも簡単に書いたつもりです。より詳しい方などはIT情報を発信しているサイトで詳細を確認すると良いと思います。

何か不備などがありましたら、こちらからご連絡ご指摘いただけると助かります。

持論ですが、最後に

報告されている問題点の多くは改修済で、今後3カ月は問題点の検出と対応・修正に全力を尽くすというコメントが出されているので、今後に期待をしたいところではありますが、そんな落ち度が多々あったのかという点は残念です。

利用者が多く、注目を集めれば、問題点が露呈する可能性も単純に高くなる、と考えると、これまでの人気のソフトウェアと似たり寄ったりかなとも思います。

オンラインでギターのレッスンをする(そもそも漏れて困るような情報などやりとりしない)、主催者が私であれば、特に問題は発生無しと思っていますが、企業などで何か機密情報をやり取りするなどの場合は、より気を付ける必要があるかもしれません。

IT担当者に確認を取る、利用を控える、別のツールを使う、利用方法を制限する、という何らかの対処が必要かなと。

ただ単に「Zoomの利用を控えましょう」という論調も出てきていますが、何か問題が出た際に、ただやめる、避けるだけ、という思考はいかがなものだろうかとも思います。

何を最優先にするのか考えて、出来ることをやれたら良いと思います。
今は外出を自粛すべき時期であり、外出出来ない状況を補う方法として問題点をカバーするような形でZoomが利用できたらと思います。

他のツールを利用することも有益なセキュリティ対処と思いますが、Zoomの音声や動画の品質、参加者が簡単に利用できる利便性、録画など機能面でも優れていると思い、十分注意しながら使用したいと思います。