ビデオ会議ツールが攻撃の標的に、「Zoom爆弾」から高度な盗聴まで多様化する脅威

背景

テレワークの普及により、Zoom、Microsoft Teams、Google Meet、Webexなどのビデオ会議ツールが業務インフラとして定着しました。その一方で、これらのツールを標的とした攻撃も急増しています。初期の「Zoom爆弾（Zoombombing）」と呼ばれる会議への不正侵入から、フィッシングメールでの偽会議招待、会議URLの総当たり攻撃、さらには会議内容の盗聴や画面共有時の機密情報窃取まで、攻撃手法は多様化しています。特に、経営会議や取引先との商談など、機密性の高い情報がやり取りされる場面でのセキュリティ対策不足は、企業の競争力や信頼性に直結するリスクとなっています。ビデオ会議ツールは「外部サービス」であるため、社内セキュリティポリシーの適用が曖昧になりがちで、シャドーIT的な利用実態も相まって、管理の盲点となっています。

実態

ビデオ会議への攻撃手法は複数のパターンに分類されます。第一に、「会議IDの推測攻撃」です。一部のツールでは会議IDが数字の連番で生成されるため、自動化ツールで総当たり的に会議に侵入を試みる攻撃が確認されています。パスワード保護や待機室機能を有効化していない会議は、部外者が容易に参加できてしまいます。第二に、「フィッシング型の偽会議招待」です。攻撃者は取引先や上司を装ったメールで偽の会議URLを送信し、クリックしたユーザーを偽のログイン画面に誘導して認証情報を窃取します。第三に、「マルウェア配布の踏み台化」です。画面共有機能を悪用して、参加者に不正なファイルのダウンロードや実行を促す手口が報告されています。また、ビデオ会議ツール自体の脆弱性を突いた攻撃も存在します。過去には、Zoomでリモートコード実行が可能な脆弱性や、暗号化の不備により会議内容が第三者に傍受される可能性が指摘されました。さらに、ビデオ会議の録画データが不適切に保存・共有され、クラウドストレージの設定ミスで外部公開されてしまう事例も発生しています。

影響と対策

ビデオ会議への攻撃による影響は、機密情報の漏えい、商談内容の競合への流出、経営戦略の外部露出、顧客情報の盗聴、さらには会議の妨害による業務停止など多岐にわたります。対策としては、まず各ビデオ会議ツールのセキュリティ設定を適切に行うことが基本です。具体的には、会議パスワードの必須化、待機室機能の有効化、画面共有権限の主催者限定、参加者の事前承認、会議URLの社外への安易な共有禁止などを徹底します。また、重要な会議については、エンドツーエンド暗号化（E2EE）が有効なツールを選定し、録画データは暗号化されたストレージに保存することが推奨されます。FortiGateやCheck PointのCASB（Cloud Access Security Broker）機能を活用することで、ビデオ会議ツールの利用状況を可視化し、外部への不審なデータ送信や異常なアクセスパターンを検知できます。また、Webフィルタリング機能により、偽の会議招待URLへのアクセスを事前にブロックすることも可能です。組織としては、ビデオ会議ツールの利用ガイドラインを策定し、機密度に応じた利用ツールの選定基準、録画・共有ルール、参加者の本人確認方法などを明文化することが重要です。

まとめ

ビデオ会議ツールは、もはや単なるコミュニケーション手段ではなく、重要な業務情報が集約される「第二のオフィス」です。対面会議と同等以上のセキュリティ意識と対策が求められます。便利さの裏にあるリスクを理解し、技術的対策と運用ルールの両面から防御を固めることが不可欠です。PSI社では、ネットワーク製品を通じたビデオ会議ツールの安全な利用環境の構築、CASB機能によるクラウドサービス監視、そして従業員への適切な利用教育支援を通じて、リモートワーク時代の新たなリスクへの対策をご提案いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp