/////
岡山市の患者、コロナ再陽性を確認 / 28日の人出 2割〜6割程度減 岡山の人出削減は?
/////
Zoomを用いたオンライン講義を安全に進めるために
情報基盤センター 2020.4.6
オンライン講義に用いることができるソフトウェアの一つであるZoomについて、セ キュリティ上の懸念がいくつか報道されております。
その内容は、
・Zoomのソフトウェア等のセキュリティ上の問題点 ・Zoomの仕様によるもので、実際には問題にならないと考えられること、または運用上
の配慮で問題を回避できると考えられること に分かれます。このうち、前者については、Zoom側で対応が進んでおり、私どもが把握 している範囲ではすべて対処済みとなっています。但し、ソフトウェアを最新版にアップ デートしておくことが重要です。後者については、特に運用上の配慮が必要なのが、講義 中に第三者がミーティングに参加して音声や画像等で妨害する、いわゆるZoom bombing と呼ばれている事象です。本学のオンライン講義でもすでに妨害が報告されております。
Zoom bombingを防ぐためには、
1. 外部の人間が講義に入ってくることがないようにする 2. 妨害されたときの対処を確認しておく ことが必要です。以下、具体的に対応策を示します。
1. 外部の人間が講義に入ってくることがないようにする
これには、
a) Zoomの認証機能を用いて、東京大学のメールアドレス(u-tokyo.ac.jp)でZoomにサイン
インしている者しか参加できないようにする b)第三者がZoomミーティングのアクセスに必要な情報を知り得ず、安易に推測もできない
ようにする。
の2つの方法があります。
a)が有効で本来の対策ではありますが、現段階では学生全員が東京大学のメールアドレ スでサインインしたうえでオンライン講義に参加する方法を把握している状況ではありま せん。このため、この方法を用いると本来参加できるべきなのに参加できない学生が出る 可能性があります。このため、当面の対策はb)となります。これには、
・ミーティングにはパスワードを設定する。
・ミーティングに参加するための情報が外部に漏れないように管理する。
ことが重要です。パスワードを設定しないと、9桁(もしくは10桁)の数字が一致すれば ミーティングに入れますから、ランダムに数字を設定してどこかのミーティングに参加で きる可能性があり、荒らしに会っているミーティングは多くがこの状態と推測されます。 すでにパスワードがない状態でオンライン講義を設定されている方も、パスワードを設定 してください。 ミーティング情報の管理では、ミーティングIDとパスワードや、ミーティングのURL (標準設定ではURLの中にパスワード情報が埋め込まれています)が外部に知られないよう に慎重に扱い、受講生へ周知する際にも、学内者しかアクセスできない場所に置くように 徹底する(公開された講義HPなどには書かない)ことが必要です。また、学生がSNS等で 発信しないように注意しておくことも重要です。ミーティングIDはなるべく毎回変更し、 パーソナルミーティングIDは使わないことも有効と考えられます。UTAS, ITC-LMSはどち らも学内者(UTokyo Accountの保持者)しかアクセスできない場所であるため、それを通知 する場所として利用できます。
東京大学授業カタログからの公開情報について UTASを用いて授業を通知する際、シラバス中の「詳細情報」に新設された「オンライ
ン授業URL」の欄に書くことを推奨しておりますが、その他の欄に自由記述をしている ケースが散見されています。その場合シラバス中のいくつかの欄(詳細は以下)が東京大 学授業カタログ( https://catalog.he.u-tokyo.ac.jp/ )に掲載、公開されている(またはい
た)ことにご注意の上、必要な対策(以下に記述されていたオンライン会議情報はこれ以 上使わず、URLを作り直す)を取っていただきたいと思います。以下が、過去のある時点 で公開されていたオンライン会議情報です。
3月27日以前に、UTASシラバス情報「授業の目標、概要」「授業計画」「授業の 方法」「成績評価方法」「教科書」「参考書」「履修上の注意」「その他」欄にか かれていた情報。
それ以降に書かれた情報はマスキング処理が施されて情報がそのまま授業カタログに載ら
ないようにしておりますが、さらなる検証と対策を施す予定です。
2. 妨害されたときの対処 何らかの方法で第三者にオンライン講義に参加されてしまった場合の対処としては、事 前に行っておくことと、妨害が発生したときに行うことがあります。
2.1. 事前準備
· 講義を補助してくれる補助者がいる場合には、補助者もミーティング中の操作ができ
るように共同ホストにしておきます。これは、ミーティング予約時に設定しておくこ
ともできますし、開催時に「参加者」ウィンドウから設定する事もできます。
· 画面を共有できるのはホストのみとしておきます。現在は、予約作成時の標準設定は 「ホストのみ」となっています。参加者に画面を共有させる必要があるときは、ミー
ティング中に変更することができます。
· 参加者に、共有画面に線や文字、図形等を記入する「コメント(注釈)」を許可しな
い設定としておく。現在は、予約作成時の標準設定では許可しないようになっていま
す。
· ファイル転送、参加者同士のチャット(プライベートチャット)はできないようにし
ておきます。現在は、予約作成時の標準設定ではできないようになっています。
なお、上記の標準設定は、4月5日以前に作成した予約では異なっていることがありま す。また、ミーティングの参加前に必ずホストが承認するようにする「待機室」を用いる ことも考えられますが、人数の多い講義では全員を確認するのは現実的ではないこと、開 始後に参加する参加者をそのたびごとに承認しなくてはならないなどの問題があります。 「待機室」機能を使用する際にはこの点にご留意ください。
2.2. ミーティング中の操作 ミーティング中にできることは、以下のようなことがあります。これらの機能を用いて 妨害を排除します。以下の操作の説明は、WindowsおよびMacの場合で説明しています。
· 参加者を強制的に退出させる
コントロールツールバーの「参加者の管理」をクリックし、参加者ウィンドウを 表示する。退出させたい参加者の上にマウスカーソルを置き、詳細メニューから 「削除」を選ぶ。当該参加者は、以後このミーティングに参加できなくなりま す。
· ミーティングをロックする
参加者ウィンドウの下の詳細メニューで「ミーティングをロックする」を選択す
ると、以後、新たにミーティングに参加することができなくなります。遅れて参
加しようとした学生も参加できなくなりますので、注意してください。
· 参加者が画面共有できるかどうかを制御する
コントロールツールバーの「画面を共有」の右側にある「^」をクリックすると 高度なオプションのメニューが表示されます。ここで画面を共有できるのは誰か を選択できます。
· 個々の参加者のビデオ送信を止める
付記:Zoomのセキュリティに関する報道等について
Zoomのセキュリティに関して、いくつかの報道がなされています。以下は、4月5日現 在で確認できた報道について、その深刻度や解決状況等をまとめたものです。 全体として、Zoomのソフトウェアおよびシステムにはいくつかのセキュリティ上の問題 点が存在しましたが、現在までにすべて解決しています。このため、最新のソフトウェア を用いることが重要です。
一方、その他の問題は、Zoom Bombingのように、Zoomの機能に欠陥があるというより も、使い方に気を付ける必要がある事象です。 以下の表に、報道等で指摘されている問題点と、その内容等をまとめました。
問題点 | 報道された メディア (代表的な もの) | 内容 | 解決状況/深刻度 |
オンライン通話が End-to-Endで暗号化 されていない | Gigazine Routers | Zoom社は、end-to-endで暗 号化しているという表現をし たことがあるが、サーバにお いては復号化されて処理され ているため、配信者と参加者 間で常に暗号化されているわ けではない。但し、配信者とZoomサーバ、Zoomサーバ と参加者間では暗号化されて おり、第三者が盗聴(盗視 聴)できるわけではない。 | 端末とサーバの間では暗号化 されている。Zoomは、映像 の送り先ごとに映像品質の調 整などをしているので、サー バでの復号はほぼ不可欠。 サーバ側で復号された情報を 扱うのはクラウドサービスで は普通。クラウドに置けない ほどの高度に機密性が高い情 報のやり取りにはZoomを使 うべきではない。(そういう 場合は別途考慮要) |
メールアドレスが漏 洩している | Gigazine | 同じドメイン名を持つユーザ を同一組織の人間であるとみ なし、利用者名をコンタクト リストに載せていた。大手で ない(Gmail, Yahoo, hotmail などでない)メールサービス プロバイダと契約した場合、 ドメインが同じであることか ら同じ組織の所属者とみなさ れ、加入者間でコンタクトが 漏洩していた。 | 東京大学では、相互にコンタ
クト情報が閲覧できないよう
にする措置を取っている。
|
インストール時に管 理者パスワードを取 得し、これを用いて 自動でインストール するという手法を 取っている | Gigazine | Mac:Zoomのインストーラ が、システムからの要求のよ うに見せかけて管理者パス ワードの入力を求めることが 問題視されている。 | 修正済み(April 2, 2020 Version 4.6.9 (19273.0402)) |
前項のインストーラ を利用して、攻撃者 が直接Macを操作す ることで、管理者権 限の操作が行える脆 弱性が存在 | Techcrunch | Mac:当該Macを操作できな ければ攻撃できない | 修正済み(April 2, 2020 Version 4.6.9 (19273.0402)) |
攻撃者が直接Macを 操作することで、カ メラとマイクにアク セスできる。 | Techcrunch | Mac:当該Macを操作できな ければ攻撃できない | 修正済み(April 2, 2020 Version 4.6.9 (19273.0402)) |
Macに秘密裏にウェ ブサーバーをインス トールしていた
Gigazine
2019年7月の出来事で、 Apple, Zoom双方のアップ デートにより修正済み
Facebookアカウン トを持っていない人 のデータもFacebookに送って いた | Gigazine | iOS: ユーザ情報をユーザに 無断でFacebookに送信 | 修正済み(March 27, 2020 version 4.6.9 (19213.0327)) |
Zoomの「出席者追 跡機能」を有効にす ると、会議のホスト 役は通話相手がPC の前から離れている かどうかを確認でき る。プライバシー侵 害との指摘。 | Gigazine | 参加者が Zoomから30秒以上 視線をそらせている場合にホ ストに表示 | 当該機能は使用できなくなっ
ている。
|
Zoomの画面共有機 能などを用いてポル ノ映像を見せるなど の嫌がらせ行為 Zoom bombing | Gigazine | いわゆる「荒らし」。Zoom の問題というより、使い方の 問題。特にミーティングIDだ けでパスワードがないと、9 桁の数字が一致すれば入れて しまう。ランダムに番号を選 んで試すケースも考えられ る。 | ・パスワード付きミーティン グにして、パスワード、ミー ティングIDを外部に知られな いようにする。 ・認証されているユーザしか 参加できないようにする。 ・「荒らし」を受けた時の対 応手段を周知しておく |
Windowsでチャット へのUNC貼り付けを 用いた攻撃に対する 脆弱性 | ZDNet | Windows: チャットに UNC(Universal Naminb Convention)を用いたパスを 書くと、クリッカブルなハイ パーリンクになり、これを 誤ってクリックすることで認 証情報を窃盗されたり任意の 実行可能ファイルを起動され たりする可能性がある。 | 修正済み(April 2, 2020 Version 4.6.9 (19253.0401)) |
Zoomの、プライ ベートのはずの録画 を他者に見られてし まう。 | Washingto n Post | 外部の動画公開サイトに Zoomから連携してアップ ロードする際に、あるルール で決められたファイル名が付 く。どのようなファイル名の 動画があり得るのか推定でき てしまい、名前を知っていれ ばアクセスできる場合は、外 部の人間がプライベートなは ずのZoom録画を視聴できて しまう。 | Zoom外の外部サービスに録 画を置くときだけ起きる。単 にZoomの録画機能を使うだ けなら(クラウドでもローカ ルでも)関係ない。 記事中にも"It does not affect videos that remain with Zoom’s own system." と記 載。 |
Gigazine Routers
https://gigazine.net/news/20200402-zoom-should-not-use/
Techcrunch
https://jp.reuters.com/article/spacex-zoom-video-commn-idJ PKBN21K160 https://jp.techcrunch.com/2020/04/02/2020-04-01-zoom-doo m/
ZDNet
https://japan.zdnet.com/article/35151756/
Washingto n Post
https://www.washingtonpost.com/technology/2020/04/03/tho usands-zoom-video-calls-left-exposed-open-web/
//////