問題が相次いで発覚した「Zoom」でヴィデオ会議を開く際に、まずユーザーが考えるべきこと
コメント
注目のコメント
そもそも論として、完全なRCE(リモートコード実行)でもない限り、攻撃手法は限られています。
すでにzoomで発見されている脆弱性で言えば、リモートサーバーに設置したペイロード(exeなど)を「http://攻撃者のサーバー/payload.exe」から「//攻撃者のサーバー\payload.exe」のようなSMBライクなアクセスパスとしてテキストチャットで送りつけてzoomのプロセス内で実行させる方法があります。
しかし落ち着いて見てみると、「リンクを踏ませる」「実行ファイルを実行する」といういつもと変わらない手順が見えてきます。
人にできるのは前者、後者は適切な対応ができている企業であれば耐えられます。
なんら怖がることはありません。
通信の暗号化がE2E(送り元から送り先まで)ではなく単なるTLS(zoom側が解読可能)だったという問題もありましたがこればかりはどうしようも無いです。
このように、情報セキュリティの基準をどのように判断するかは難しく、しかし米国にはNISTが発行するSP800-171というものがあります。
これは機密未満だが重要な情報を指すControlled Unclassified Information (CUI)を保護するための善管注意義務として定義されています。
だからこそこれを満たしていないことが濃厚なzoomをスペースXは使っていないわけです。
万一のことがあればスペースX側が「なぜNIST非準拠なビデオサービスなんて使っていたのか?」と善管注意義務違反を問われます。
日本の企業でも米国企業との取引があり、CUIを扱っている場合は注意が必要です。そこまでヴィヴィる必要無いと思うけどどうなんでしょう。確かにセキュリティの面では、SkypeとかCiscoとかの別なヴィデオ会議サーヴィスの方が良いのかもしれないけど。
ただ、自社のITインフラよりも社外のクラウドサーヴィスの方がセキュリティレヴェルが高かった、なんて話はザラにあります。