【やさしく解説】二要素(二段階)認証とバーチャル背景でZOOMを守る方法

ZOOMにも二要素(二段階)認証を設定して安心なテレビ会議を
ZOOMは新型コロナ対策の中でも最も活躍したサービスです。しかし一時セキュリティや暗号化の脆弱性だけでなく、会議に不正に乱入する「ZOOM爆弾」などのトラブルが相次ぎましたが、改良され今では危険は少なくなっています。
しかしZOOMを狙うサイバー犯罪は減らず、「身体の動きからパスワードを推測するキーボードスヌーピング攻撃」まで登場しています。そこでZOOMを守る最強の方法「ZOOMに二要素(二段階)認証を設定する方法」をやさしく解説します。

ZOOMを狙うサイバー攻撃

ZOOMはセキュリティ問題をかかえていた

ZOOMは数あるウェブ会議システムの中でも最も優れたツールのひとつです。
コロナ禍でテレワークが推進されると「無料でしかも高性能」と世界的に評判となり急速に利用者が拡大しましたが、その過程でいくつかセキュリティ問題を引き起こしました。

  • ユーザー同士の通信が完全に暗号化(エンド・ツー・エンド暗号化)されておらず、データ漏えいの危険があった。
  • ZOOM利用者の情報の一部をFacebookに無断で提供していた。
  • 一部の重要データ(暗号鍵)が中国のサーバーに置かれた可能性があった。
  • 管理者が参加者を監視できる機能が存在した。

などと批判され、セキュリティを重んじる公的機関やIT企業では「ZOOM利用禁止」を宣言したところもありました。

しかし、ZOOMは全力を上げて改善に取り組み、「今ではセキュリティの問題はなくなり、安全に使用できるようになった」と言ってよいと思います。

上記に列挙した弱点はすべて改修され、暗号化も2020年秋からは安全なエンド・ツー・エンド暗号になっています。

今ではZOOMはかなり安全な会議システムになったと言って良いでしょう。

しかしそれでもいくつかセキュリティ上の問題は残っています。

残されたZOOMのセキュリティ問題

「Zoom爆弾(Zoombombing)」という不正侵入と荒らし行為

ZOOMで会議を開くときは、「会議専用に作られたURL」または「会議のIDとパスワード」を使って参加者が会議に参加します。

このURLやIDとパスワードが外部に流出すると、無関係な第三者が会議に参加できることになってしまい、結果として「会議の妨害」「会議乗り乗っ取り」といった「荒らし行為」が続出しました。

その後ZOOMの機能や使い勝手が改良され、「会議の取材者が無関係な参加者を簡単に退出させるセキュリティ機能」などにより、荒らしは減りましたが、不用意にURLやIDとパスワードをSNSに投稿するなどの結果、「荒らしにあう危険」は依然としてなくなっていません。

アカウントの搾取される危険

ZOOMの参加者のアカウント(IDとパスワード)が大量にブラックマーケットで売られているという報道がありました。
流出した経路は不明ですが、IDとパスワードを不正に使用されると、身元を偽って会議に参加されて、重要情報の流出につながります。

パスワードの管理は厳重に行い、使い回しているパスワードや推測されるような安易なパスワードは使用してはいけません。

ブログ内の関連記事(新しいウィンドウで開きます)
「パスワードの使い回しがいかに危険なのか?」実例からリスクと対策を知ろう

「とても覚えられない!」と誰もがやってしまう「同じパスワードの使い回し」。「パスワードの使い回し」は、事件事故と被害に直結する最悪の行為ですが最新の調査では「パスワードを使い回している人の割合は8割」という衝撃的な結果も出ました。ど[…]

身体の動きからパスワードを解析する「キーボードスヌーピング攻撃」

近頃、ZOOMやSkype、Microsoft Teamsなどの「テレビ会議参加者の映像の腕や肩の動きからパスワードなどの重要情報を推測する」という、とんでもないサイバー攻撃が明らかになりました。

キーボードスヌーピング(Keyboard Snooping)攻撃と呼ばれます。

そんなことができるのか?と思いますが、ブラックマーケットに流出しているパスワードリストに載っているような「簡単なパスワード/使い回したパスワード」を使っている場合は、コンピューターを活用して身体の動きと照合することで、75~90%もの確率で解析できるという研究もあります。

Web会議ツールでのキーボードスヌーピング攻撃を防ぐ3つのヒント
今年はWeb会議ツールの利用が一気に増加しましたが、先月、Web会議を通して、キーボードの入力が推測できるという米国の大学の研究論文が発表されました。会議の参加者に入力内容を推測されないための3つのヒントをお伝えしています。
マカフィー株式会社 公式ブログ
 
https://blogs.mcafee.jp/how-to-prevent-keyboard-snooping-attacks-on-video-calls

上記のようにさまざまな新たなサイバー攻撃が生まれるため、ZOOMのアカウントを強力に守らなければなりません。

その最強の方法が二要素(二段階)認証です。

ブログ内の関連記事(新しいウィンドウで開きます)
テレワークの安全やセキュリティ対策、安全管理の基本をやさしく解説

在宅勤務やテレワークでは利用者にも正しい知識と安全管理の配慮義務を求められます。2020年11月12日(木)22時からのNHK「クローズアップ現代」で「コロナ禍あなたを狙うサイバー攻撃」が放映されました。今テレワークは狙われています[…]

2020年11月12日NHKクローズアップ現代「コロナ禍あなたをねらうサイバー犯罪」

 

ZOOMの安全には二要素(二段階)認証を設定しよう

二要素(二段階)認証とは

二要素(二段階)認証をZOOMのアカウントに設定しておけば、仮にパスワードがもれたとしてもZOOMを不正に使用されることを防ぐことができます

二要素(二段階)認証の仕組みなどは当プログの下記記事をご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)
パスワードもれても安全な二段階認証とは。その仕組みを徹底解説

アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました[…]

ブログ内の関連記事(新しいウィンドウで開きます)
二段階認証のおかげで助かった~dアカウントパスワードを使い回した私の怖い体験談~

身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不[…]

フィッシング犯人より「dアカウント セキュリティコードの入力を求める」SMS

ZOOMの二要素(二段階)認証を設定する方法

1.二要素(二段階)認証の設定はWEBサイトから行う

ZOOMの二要素(二段階)認証はスマホのアプリやパソコンのZOOMソフトからは設定できず、しかもメニューの奧に隠れているため分かりにくいです。

わかりやすくご案内します。

※以下、ZOOM無料版の画面を元にご説明します。

ZOOMの二要素(二段階)認証はスマホのアプリやパソコンのZOOMソフトからは設定できません。

ZOOMのサイト(https://zoom.us/jp-jp/meetings.html)にアクセスし、ログインして設定をはじめます。

ZOOMの二要素(二段階)認証の設定方法

 

2.プロフィールの最下部より設定を開始

ZOOM無料版は「プロフィール」画面の最下部、「二要素認証」を「オン」にして設定をはじめます。

ZOOM有料版をお使いの方は「詳細-「セキュリティ」に同じ項目があります。

ZOOMの二要素(二段階)認証の設定方法

3.二要素(二段階)認証のための携帯電話のセットアップ

  1. 二要素(二段階)認証で使うワンタイムパスワードを取得する方法を選択します。
  2. 「認証アプリを使う方法」と「スマホのSMS経由で受け取る」方法がありますが、今回は「SMS」を選択します。
  3. 「日本の国番号81」を選択し、SMSを受け取る携帯電話の電話番号を入力し、「コードを送信」をクリックします。
ZOOMの二要素(二段階)認証の設定方法
ZOOMの二要素(二段階)認証の設定のしかた

4.SMSで届いたコードを入れて設定完了

  1. 携帯電話に届いた6桁のコードをセットアップ画面に入力すると二要素(二段階)認証の設定は完了です。
    今後新しい端末で最初にZOOMを使用する際は携帯電話にコードが届きますので、その都度同様に入力してください。
  2. 完了画面に表示される「シングルユースリカバリーコード」は、万一SMS送受信ができないときに、SMSで届くコードの代わりに使えるコードです。
    各コードは一回だけ使えますので、12回分の二要素(二段階)認証ができることになります。
    このコードは大切なので、安全なところにしっかりと保管してください。
ZOOMの二要素(二段階)認証の設定のしかた
ZOOMの二要素(二段階)認証の設定のしかた

 

ZOOMの背景はかならず「バーチャル背景」に!

ZOOM使用時には背景に個人を特定する情報が含まれていないか十分にご注意ください。

  • 冷蔵庫に貼った請求書
  • カレンダーに書かれたスケジュール
  • うっかり付箋に書かれたパスワード
  • ホワイトボートに残っていた書き込み

など、拡大して画像を解析されると、機密情報、個人情報のヒントになるような画像がしばしば含まれています。

ささいな画像とは言え、様々な情報を掛け合わせて個人情報を割り出す「モザイクアプローチ」を軽視してはいけません。

ブログ内の関連記事(新しいウィンドウで開きます)
SNS投稿から個人情報を特定されないため3つの注意~SNS特定屋のモザイクアプローチを避けるには

ネットストーカーの被害が増えていますが、背後にはネット上の情報を集めてパズルのように組み合わせるモザイクアプローチによって個人情報を割り出す「SNS特定屋(特定班/特定厨)」の存在があります。SNSに一枚の写真を投稿するだけでどれだけの[…]

ネットストーカーがモザイクアプローチで個人情報を集めるイメージ

ZOOMは「設定」-「背景とフィルター」から「バーチャル背景」を設定することで、好きな背景に指し据えることができますので、必ずやっておきましょう。

 

まとめ:
ZOOMに限らず重要なアカウントには必ず二要素(二段階)認証を設定しておきましょう!

コロナ禍でテレワークが推進される中、ズームに限らずテレワークを狙うサイバー攻撃が多発しています。

攻撃の多くはアカウントを盗み取ろうとするものですので、二要素(二段階)認証によりアカウントを守ることは、いわば最後の防壁です。

ZOOM以外の重要なアカウントにはほとんど二要素(二段階)認証が用意されていますので、すべて設定してあなたのアカウントを守りましょう!

ブログ内の関連記事(新しいウィンドウで開きます)
テレワークの安全やセキュリティ対策、安全管理の基本をやさしく解説

在宅勤務やテレワークでは利用者にも正しい知識と安全管理の配慮義務を求められます。2020年11月12日(木)22時からのNHK「クローズアップ現代」で「コロナ禍あなたを狙うサイバー攻撃」が放映されました。今テレワークは狙われています[…]

2020年11月12日NHKクローズアップ現代「コロナ禍あなたをねらうサイバー犯罪」

 

「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?

ネット上のデマや悪質業者の広告を信じてはいけない!

当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。

しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。

本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。

しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。

より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。

おすすめのハッキング調査会社:デジタルデータフォレンジック

デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。

累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。

相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。

「※本サイトはアフィリエイト広告を利用しています。」

おすすめの調査会社:デジタルデータフォレンジック

トロイの木馬の感染調査、マルウェア感染調査の専門業者への依頼はこちら