テレワーク時代だから問われる、コミュニケーションツールのセキュリティ
ZoomやTeams、WebExを代表とする会議ツールやメッセンジャーアプリケーションの需要が高まっていることは皆さんも肌身で感じられていることと思います。実際に、イスラエルでよく使われる「Telegram」も月間アクティブユーザが4億人に到達したというニュース*1 もありました。
そこで、今後も利用が増える、あるいはコロナ収束後の世界でも使われ続けるであろうメッセンジャーアプリと会議ツールについて整理しました。
メッセンジャーアプリ
利便性とセキュリティ面で比較してみましたので、是非ご参考ください。
WhatsApp:
【概要・最近のアップデート】
アメリカのWhatsApp社(Facebook傘下)が提供する、メッセンジャーアプリです。米国やヨーロッパで主流のアプリケーションですが、日本でも使用するユーザが増えているようです。最近のアップデートで、同時にビデオ通話可能な人数が4人から8人に増加した*2 ほか、新たなグループ通話機能「Messenger Rooms」により、50人までがビデオ通話ができる*3 とされています。
【セキュリティ面】
- エンドツーエンドの通信は暗号化されています。メッセージをはじめ、音声、ビデオも暗号化します。ただし、GoogleDriveやiCloudへのバックアップに関しては、WhatsAppの暗号化はサポートされません*4 *5 。また、バックアップしたメッセージなどの暗号化は、バックアップ先での暗号化手法に依存するため要注意です。
- WhatsAppユーザを狙ったスパイウェアも確認されています。ユーザ数が20億人と多いことから、攻撃の矢面にたつことも多いため、利用者も注意が必要です*6 。
LINE:
【概要・最近のアップデート】
国内の月間アクティブユーザ数は8,300万人以上*7 で、基本的なメッセージとグループ通話ができる上、他のメッセンジャーアプリと比べても、ノート機能やアナウンス機能など、リモートワーク時にも活躍する機能が実装されています。また、今回のコロナ騒動の中でも精力的に活動している*8 ことから、好感が持てるかと思われます。
【セキュリティ面】
- LINEの通信は独自の暗号化システム「Letter Sealing」*9 により安全性を確保しています。ただし、通信するユーザの双方が「Letter Sealing」をオンにしていない場合、「Letter Sealing」による暗号化がされないため、ご注意ください。
- ファイルとして共有された音声や動画は暗号化の対象外*10 になりますので、ご注意ください。
- 古い話ではありますが、2014年に韓国によるLINE盗聴の事実が明らかになりました*11 。 現在は「友達とのトーク(画像・動画を含む)や通話の内容は取得しません」となっているため、基本的には盗聴される恐れはありません*12 。 ただし、メッセンジャーアプリ利用での全般における話ではありますが、重要/機密情報の送信は高いリスクを伴うため、仕事上のやり取りの際にはご注意ください。
Telegram:
【概要・最近のアップデート】
セキュリティ面の機能が充実していることから注目されているメッセンジャーアプリですが、コロナ騒動に伴いさらに注目を集めています。月間アクティブユーザ数は4億人を超えました。日本では比較的マイナーなアプリですが、セキュリティ先進国のイスラエルではTelegramを使用するユーザが多いです。また、日本語は未対応です。機能としては、基本的なメッセンジャーアプリと同様に、チャット、ファイル共有、ビデオ通話、チャンネル作成などが可能です。
【セキュリティ面】
- エンドツーエンドの通信では独自の暗号化システム「MTProto Mobile Protocol」により安全性を確保します。ただし、独自の暗号化システムであることから、セキュリティの研究家からは疑念を持たれている事実もあります(安全でないということではありません)。
- シークレットチャット機能を使うことで、メッセージはサーバに保存されずに、通信した2者間のデバイス上でのみデータが保存されます。また、自分が送信したメッセージを手動で消去したり、タイマーで自動削除したりすることもできます。
- Telegramは秘匿性の高さからテロリストが好むツールとしても認識されている一面もあります。そのため、怪しい会話をしていると疑われる可能性もありますので、くれぐれも注意してご使用ください。
Signal:
【概要・最近のアップデート】
Telegramと同様にセキュリティ面で高い評価を受けているメッセンジャーアプリです。オープンソースで開発されているアプリケーションのため、利用者優先な設計となっています。そのため、広告やアフィリエイト、トラッキングがない、動作が軽いなどの特長を持ちます。機能としては、基本的なメッセンジャーアプリと同様に、メッセージ、ファイル共有、ビデオ通話、グループの作成などがありますが、最低限の機能の実装となっているため、他のアプリと比べると機能面では少し乏しく思えるかもしれません。またユーザ数は他のアプリと比べて少ないですが、コロナ騒動によりトラフィック量が増加したため、サーバを増設したそうです*13 。
【セキュリティ面】
- 他のツールと同様にエンドツーエンドの暗号化をサポートしており、米軍でSignalの利用が推奨されています*14 。
- メッセージの自動削除機能もあります。
- メッセージのメタデータをサーバ上に保存するようなことはないため、どのユーザ同士が会話していたかを後から判別されることはありません。
Threema:
【概要・最近のアップデート】
こちらも、セキュリティに重きを置いたメッセンジャーアプリです。他のアプリと違って有料ですが、有料ゆえにセキュリティを担保するというスタンスです。またSignalと同様に広告やアフィリエイトなどはありません。基本的な機能は他のアプリと同様ですが、ビデオ通話機能はベータ版で最近実装されました*15 。
【セキュリティ面】
- エンドツーエンドの通信では、テキストや音声データ、共有したファイルが暗号化されます。
- 登録の際には電話番号を必要とせず、特定のIDでユーザを識別します。そのため、電話番号を外部に預けたくない方にはお勧めです。
- メッセージのやり取りで使用されるメタデータはサーバ上に保存されず、メッセージの配信が終わった後はすぐに削除されます。
- Threemaサーバは、どのグループチャットが存在するかを認識せず、どのユーザが誰と通信したかなどの情報も保存しません*16 。
[筆者の独断と偏見による比較表]
ここまで、各種メッセンジャーアプリケーションのご紹介をしましたが、筆者自身の独断と偏見で、「機能面」「利用面」「セキュリティ面」の3つで比較をいたしました。あくまで考え方の一つとして、ご参考いただければと存じます。
| 機能面 | 利用面 | セキュリティ面 | |
| 〇 | ◎ | △ | |
| LINE | ◎ | ○ | △ |
| Telegram | ○ | ◎ | ○ |
| Signal | △ | ○ | ○ |
| Threema | ○ | ○ | ◎ |
◎:十分,安心〇:可もなく不可もなく △:少し不安,今後に期待
ツール(Zoomのセキュリティはビジネス利用に耐えうるか)
テレワークが当たり前になった昨今における社内の会議やお客様との会議の際に活躍する会議ツールですが、結局どれを選ぶべきなのでしょうか。セキュリティの観点では一般的に下記項目を考慮すべきとされています。
- 通信経路の暗号化
- アクセス制限
- セキュリティコード設定などの柔軟性
通信の暗号化は必須と言えます。暗号化によって会議のデータを外部から読み取れないようにすることができます。
AES暗号化とSSL暗号化の2種類が主流ですが、どちらかの方式で暗号化されているツールを選択することが重要です。
社員同士の会議であればIPやMACアドレスを利用したアクセス制限をかけることも有効なセキュリティ対策になります。これによって外部の人間が会議に侵入することを防げます。
また、会議入室の際に求められるセキュリティコード入力の有無を場合によって調整できることでセキュリティとユーザビリティの両方を担保できるものが望ましいです。
さて、昨今最も脚光を浴びているZoomですが、高い利便性で人気があります。アカウントなし、アプリケーションのインストールなしで会議参加可能な点や、低い通信量での通話による安定性などが高く評価されていました。
しかし、急激な利用者の増加によって脆弱性が次々と発見され話題になりました。
例えば、
- 見知らぬ人が会議に乱入してしまう「Zoom爆撃」*17
- エンドツーエンド暗号化を謳っていたが、実は実装されていなかった(誇大広告) *18
- Windows版アプリのチャット機能に脆弱性があった*19
といった例が有名で、これ以外にも数多くセキュリティ上の問題が発覚しました。
信頼失墜、Zoomバブルも終焉かと思われましたが、これに対し同社CEOが2020年4月1日に「90日間、新機能の開発を停止し、セキュリティの問題への対処に注力する」*20 と表明したのは記憶に新しいです。
4月22日には宣言通り、多くのセキュリティ上の懸念を解消したバージョン5.0が発表されました*21 。
- Zoom爆撃を防止するための入室制限の厳格化
- 録画による情報流出防止のための透かし技術導入
- データセンターリージョンの選択オプション追加(中国経由を回避可能に)
これらは大幅な改善でしたが、結論としては現状、Zoomは改善期間にあり、重要情報を取り扱う会議などでの使用は控えたほうが良さそうです。
しかし、アップデートの速さには目を見張るものがあり、個人的には"誠意ある対応、信用できる"と感じています。今後エンドツーエンド暗号化やAES256暗号化の実装などのアップデートも予定されているので、ビジネスの使用に耐えうるものになると考えられます。
また、Zoomを使用する場合は下記の運用を徹底して下さい*22 。
- 必ず最新版のZoomアプリを利用する。
- 会議のIDやURLは参加者以外の目に触れないよう厳重に管理する(SNSなどへの投稿は絶対にNG)。
- 会議には必ずパスワードを設定する。
- 待機室の機能を使い、会議の主催者が承認したユーザのみが参加できるようにする。
- 承認したユーザのみで会議を始めたら、途中で不正ユーザが参加しないよう必ず会議をロックする。
- 画面共有機能をホストのみが利用できるよう設定する。
- 会議中に機密情報について話したり画面共有することは避ける。
- ファイル転送機能を無効にする。
セキュリティニュース(国内編)「日経にサイバー攻撃 社員ら1万2514人分の個人情報流出」
世間は自粛期間ですが、攻撃者は自重していません。
ソーシャルディスタンスを保ちながらも嬉々として遠隔攻撃を続けているようです。新型コロナウイルスに便乗した犯罪も予想通り増加しているようです。犯罪実態に関する具体的な情報を入手しましたのでご紹介いたします。
日経にサイバー攻撃 社員ら1万2514人分の個人情報流出
日本経済新聞社は5月12日(火)、日経グループの従業員にコンピューターウイルスが仕込まれた電子メールが送りつけられパソコン1台が感染し、日経と一部のグループ会社・団体の役員・社員やOB、業務委託先社員ら1万2514人分の個人情報が流出したと発表しました*23 。
メールには新種のマルウェアが添付されており、同社のセキュリティシステムでは検知することができなかったようです。怪しい添付ファイルは開かないに越したことはないですが、人事やカスタマーサポート窓口といった添付ファイルを開かざるを得ない業務を行っている従業員も多いでしょう。
こういったケースへの対処として、弊社ではメールの添付ファイルを無害化するソリューション"ReSec"を提供しております。
最新のCDR技術を実用化したソリューションであり、マルウェアの未知・既知に依存せず無害化できることが特徴です。「社内に入ってくるファイルは全て無害化したい」、「ネットワーク分離を行っているが例外的にどうしてもファイルを受け入れる必要のある業務がある」といったニーズにぴったりのソリューションです。
最新のCDR・コンテンツ無害化ソリューション「ReSec」
なお、日経から流出した情報は職員の個人情報が主なものであったため、今後日経の社員を語ったソーシャルエンジニアリングの増加が予想されますのでご注意下さい。
日本におけるコロナウイルスに関連するサイバー犯罪
新型コロナウイルスの流行に便乗したサイバー犯罪の実態についてご紹介いたします。
横浜港に到着したクルーズ船「ダイヤモンド・プリンセス」号から全ての乗客が下船した頃から、4月の中旬頃までに発生した犯罪件数の順位ですが、下記のようになっております。
1位 詐欺サイト
2位 フィッシング
3位 マスク転売
4位 詐欺(詐欺サイト以外のもの)
5位 不審メール
詐欺サイトに関する犯罪としては、「ショッピングサイトで商品を購入して入金を済ませたが、商品が届かなかった」というケースが最も多かったようです。
出品された商品としては、品薄状態が続いたマスクやアルコール、非接触型の体温計などが最も多く、これらの商品に関してはフィッシングにも多く利用されました。
需要の高い商品を「ここだけの情報!」というようなメールの文面でちらつかせ、フィッシングサイトに誘導する手口です。古典的な手法ですが、人々の不安に付け込むことで成功率を上げているようです。最低ですね。
その他にも「マスクを購入したサイトが入金後に閉鎖され音信不通」、「マスクの紐だけ届いた」といった事例もあるようです。
セキュリティニュース(海外編)「複数の海外企業の情報がダークウェブ上で販売されていることが公表される」
リモートワークの拡大により、Zoomをはじめとしたミーティングアプリケーションの利用が急増しました。
必然的に、サイバー攻撃者はこれらアプリケーション上で使用される情報を狙います。
一例として、50万人分以上のZoomアカウントがダークウェブ上で販売されるというニュースがありました。個人や企業の情報、マルウェアなどがやり取りされるダークウェブですが、直近でいくつかのダークウェブ関連のニュースがありましたので、ご紹介いたします。
50万件以上のZoomアカウントがダークウェブ上で確認
4月に、50万件以上のZoomアカウントがダークウェブ上に流出していることが確認されました*24 。
これらのアカウント情報には、電子メールアドレスやパスワード、ミーティングのURLなどが含まれています。非常に安値で販売されており、中には無料で配布されているものもあるそうです*25 。
気になる流出の原因ですが、これはZoom社に対しての直接攻撃ではなく、パスワードリスト攻撃によるログイン試行です。安易な攻撃で情報が取得できたことから、ダークウェブ上では安価で販売されていたようです。
根本的な原因は、脆弱なパスワードや使いまわしのパスワードを利用していたことにあります。より安全なリモートワークのためにも、パスワードはしっかりと管理しましょう。
ハッカーグループ「ShinyHunters」がダークウェブで7,300万件を超えるユーザレコードを販売
「ShinyHunters」と名乗るハッカーグループは、10社のセキュリティを突破したと主張しており、現在、7,300万件以上のユーザデータをダークウェブ上で販売しています*26 。
ShinyHuntersは、インドネシア最大のオンラインストアであるTokopediaに侵入したグループと同じであり、窃取したユーザレコードの全データベースを$5,000で販売しました。
Tokopediaの販売による利益で勢いづいたShinyHunterは、さらに10社のデータベースをリストアップしました。アップされた10社は、ファッションや新聞社、ECサイトなど様々な業種にわたり、アジアの企業も見受けられます。
全データベースが信頼される情報であるかは不明ですが、ShinyHuntersは実績のあるハッキンググループ「GnosticPlayers」と関係があると予想されていることから、販売されたすべての情報が本物であると信じるユーザも少なくないそうです。
現在、10社中3社が被害を認めており、今後も被害を報告する企業が増えると思われます。多岐にわたる業種が被害に遭っていることから、日本も例外ではないといえるため、今後の動向に注目する必要があります。
第9回セキュリティユーザカンファレンスについて
インテリジェントウェイブでは、2016年から最新のサイバーセキュリティの状況と対策と共に、サイバーセキュリティ先進国であるイスラエルの製品を皆様にご紹介するカンファレンスを毎年開催してきました。
今夏には第9回を開催する予定でしたが、新型コロナウィルスの拡大および月の緊急事態宣言を受け、参加者の皆様の健康と安全を最優先に考え、今回は中止させていただくことになりました。
なお、開催中止に伴い、予定していた講演内容のウェビナー開催なども現在、検討を進めております。
ウェビナー開催が決定しました際には、本メールマガジンでもお知らせさせていただきますので、ご興味がございましたら是非、ご参加をご検討いただければ幸甚です。
※過去の開催レポートはこちらからご覧いただけます。
セキュリティユーザカンファレンスに関するご質問、お問い合わせ等は下記までお願いいたします。
株式会社インテリジェントウェイブ
セキュリティソリューション本部
Email:iwi_security@iwi.co.jp
Tel.:03-6222-7300
■ 関連リンク・引用
*1:メッセージサービスTelegramの月間アクティブユーザーが4億人に到達, TechCrunch, 2020/5/19
*2: WhatsApp's New Feature Lets You Add More People To Group Video Calls!,E Hacking News, 2020/5/19
*3: Facebook、Zoomに似たビデオ会議機能を追加?将来的に50人まで参加可能に,iPhone-Mania, 2020/5/19
*4: How to back up to Google Drive,whatsapp.com, 2020/05/19
*5: How to back up to iCloud,whatsapp.com, 2020/05/19
*6: 9 things you need to know about the WhatsApp zero-click spyware attack,fastcompany.com, 2020/05/19
*7: LINE株式会社 2019年第4四半期決算発表,2020/05/19
*8: 【お知らせ】LINEグループにおける新型コロナウイルス感染症に関する取り組みと業務における対応方針について,LINE, 2020/05/19
*9: LINEの「Letter Sealing」って何?,マイナビニュース, 2020/05/19
*10: LINE 暗号化状況レポート,LINE, 2020/05/19
*11: 韓国によるLINE盗聴疑惑、日本のユーザーはどう対処すべきか,日経クロステック, 2020/05/19
*12: LINEの情報利用に関するご案内, LINE公式ブログ, 2020/05/19
*13: 230, or not 230? That is the EARN IT question.,Signal, 2020/05/19
*14: Deployed 82nd Airborne unit told to use these encrypted messaging apps on government cell phones,MilitaryTimes, 2020/05/19
*15: Video Calls: Beta Phase Begins,Threema, 2020/05/19
*16: Master your metadata with Threema,Threema, 2020/05/19
*17: ガイダンス中に「Zoom爆撃」発生、わいせつ画像投稿などで一時停止に|香川大学,サイバーセキュリティ.com, 2020/05/19
*18: 「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家,ITmedia, 2020/05/19
*19: ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性,ITmedia, 2020/05/19
*20: Zoom利用者へのメッセージ (翻訳版),Zoom, 2020/05/19
*21: 「Zoom 5.0」でセキュリティ強化--暗号化やデータセンターリージョン選択機能など,CNET Japan, 2020/05/19
*22: 結局、Zoomは使っても大丈夫なのか?,ITmedia, 2020/05/19
*23: 日経にサイバー攻撃 社員ら1万2514人分の個人情報流出,日本経済新聞, 2020/05/19
*24: Users May Risk Losing their Passwords on Dark Web For Sale,E Hacking News, 2020/5/19
*25: Over 500,000 Zoom accounts sold on hacker forums, the dark web,BleepingComputer, 2020/05/19
*26: A hacker group is selling more than 73 million user records on the dark web,ZDNET, 2020/05/19
