Zoom サービス強化ガイド

イントロ

これは、ZoomおよびCheckPointの推奨に基づいた実践的なガイドであり、常識と私たちの会社特有のZoomの使用、つまり世界中のすべての会社が今行っているリモートワーク活動やベンダーとしての営業/事前営業活動に基づいて作成されています。

私たちのビジネスの特定の性質上、強化に加えて、私たちは最高のことを行っています。Zoomレポート、プロキシログ、ワークステーションログから入手可能なAPIを使用したSIEM向けの脅威検出分析コンテンツを開発しました。

階層的アプローチ

すべての設定可能なZoomの設定は3つのレベルで制御できます。階層的な継承があります。

• アカウントレベル（「デフォルト」または「ロック」状態）
• グループレベル（「デフォルト」または「ロック」状態）
• ユーザーレベル（「デフォルト」状態）

デフォルト設定 – 推奨されますが、ユーザーによって変更可能です。アカウントレベルで設定が変更されると、それがアカウント内のすべてのグループとユーザーに対するデフォルト設定になりますが、設定が以前にグループまたはユーザーによって変更されている場合を除きます。

ロックされた設定 – 必須であり、ユーザーによって変更できません。各設定はアカウントレベルまたはグループレベルでロックすることができます。アカウントレベルで設定をロックすると、ユーザーは設定を変更できません。グループレベルで設定をロックすると、グループのメンバーは設定を変更できません。

技術的なヒント

• 異なる設定が必要な各グループは、グループ設定 > group_name > 設定に移動してください。
• アカウントまたはグループレベルで設定をロックするには、オプション名の右にあるロックアイコンをクリックしてください。

まず最初に、ユーザーグループは働き方、内部コミュニケーションの特性、および会社のビジネス特性に基づいて特定する必要があります。現時点では、以下を特定しています（はい、これは一定ではありません。私たちは成長しており、変化しています）。

1. 「ヴァンガード」 – 営業/事前営業の役割、世界中とコミュニケーションをとり、柔軟に対応し、可能な限り多くのクライアントや顧客に手を差し伸べるために、最大の推奨オプション、最小限の制限が設けられています。すべての関連リスクは、Zoomミーティングコントロールでクラッシャーの活動を緩和する方法を教える意識活動とトレーニングによってカバーされます。
2. 「リーワード」 – 内部スタッフの役割、在宅勤務活動の一環として社内でコミュニケーションをとる、1対1、1対多、即時ミーティング、予定されたスタンドアップミーティングなど。外部とのコミュニケーションは制限されています。最大の制限と、広範囲にわたらない意識活動があります。
3. 「ルーム」 – 例えば、常に開かれている部屋のように、内部コミュニケーションプロセスをサポートするために特定されたアカウントの役割。特定の制限があります。
4. 「スペシャル」 – 特別な要件に備えた役割。最小限の制限。継続的な方法では使用しないでください。

アカウントレベルの設定

詳細：

1. ホストより前の参加 – デフォルトで無効
2. パーソナルミーティングID（PMI）を使用してミーティングをスケジュールする – 無効
3. インスタントミーティングを開始する際にパーソナルミーティングID（PMI）を使用する – 無効
4. 認証済みユーザーのみがミーティングに参加できる – 有効 デフォルト
5. 新しいミーティングをスケジュールする際にパスワードを要求する – 有効 ロックされています
6. ミーティング/ウェビナーでゲスト参加者を識別する – 有効 ロックされています
7. インスタントミーティングでのパスワードを要求する – 有効 ロックされています
8. パーソナルミーティングID（PMI）のパスワードを要求する – 有効 ロックされています
9. ルームミーティングID（Zoom Rooms用）のパスワードを要求する – 有効 ロックされています
10. ワンクリック参加のためにミーティングリンクに埋め込まれたパスワード – 有効 デフォルト
11. チャット – 有効 デフォルト
12. ファイル転送 – 無効 ロックされています
13. ホストが参加者を待機させることを許可する – 有効 ロックされています
14. 画面共有 – 有効 デフォルト
    1. 誰が共有可能か – すべての参加者
    2. 誰が他の誰かが共有中に共有を開始できるのか – ホストのみ
15. 注釈 – 有効 デフォルト
16. ホワイトボード – 有効 デフォルト
17. リモートコントロール – 有効 デフォルト
18. 削除された参加者が再参加できるように許可する – 無効 ロックされています
19. リモートサポート – デフォルトで無効
20. クローズドキャプション – デフォルトで無効
21. キャプションを保存する – デフォルトで無効
22. 遠端カメラの制御 – 無効 ロックされています
23. iOSタスクスイッチャーでのスナップショットをぼかす – 有効 ロックされています
24. ローカル録画 – 有効 ロックされています
    1. ホストは参加者にローカルに録音する権限を与えることができます – オフ
25. 自動録画 – 無効 ロックされています
26. IPアドレスアクセス制御 – 有効 ロックされています
27. 認証済みユーザーのみがクラウド録画を視聴できる – 有効 ロックされています
28. 録画に関するディスクレーマー – 有効 ロックされています

グループレベルの設定

「ヴァンガード」グループレベルの設定

1. ホストより前の参加 – 無効 ロックされています
2. パーソナルミーティングID（PMI）を使用してミーティングをスケジュールする – 無効 ロックされています
3. プライベートチャット – デフォルトで無効
   1. ホストや共同ホストなどの技術的なコミュニケーションが必要な場合に有効化できます。
4. 共同ホスト – 有効 デフォルト
5. “ブラウザから参加” リンクを表示する – 有効 デフォルト
6. 待機室 – 有効 ロックされています

「リーワード」グループレベルの設定

1. ホストより前の参加 – 無効 ロックされています
2. パーソナルミーティングID（PMI）を使用してミーティングをスケジュールする – 無効 ロックされています
3. 認証済みユーザーのみがミーティングに参加できる – 有効 ロックされています
4. プライベートチャット – 無効 ロックされています
5. リモートコントロール – 無効 ロックされています
6. 待機室 – 有効 ロックされています
7. リモートサポート – 無効 ロックされています

「ルーム」グループレベルの設定

1. ホストより前の参加 – 有効 デフォルト
2. 待機室 – デフォルトで無効

アカウントのセキュリティ設定

すでにパスワード施行、2FA、および追加の制御を導入しているGoogleを認証に使用することを決定しました。

サインイン方法 Googleでのサインインを許可する： 有効 Facebookでのサインインを許可する： 無効 セキュリティ アカウント管理者のみがユーザーの名前、画像、メール、ホストキーを変更できます： 無効 アカウント管理者のみがプロユーザーのPM IDおよびパーソナルリンク名を変更できます： 無効 ユーザーはホストキーを入力してホスト役割を要求する必要があります。その長さは： 10

一般的で常識的な推奨

• ソーシャルメディアや他の公開フォーラムでミーティングリンクを共有すると、イベントが極めて公開されることになります。リンクを持っている誰でもミーティングに参加できます。
• パブリックイベントを開催する際に、自分のパーソナルミーティングID（PMI）を使用しないようにしましょう。PMIは基本的に一つの継続的なミーティングであり、パーティーが終了した後で個人的な仮想空間に邪魔が入らないようにしたいでしょう。可能であれば、ミーティングごとにランダムなミーティングIDを生成します。
• 調査によると（5）、Zoomミーティングのホストは利用者がミーティングに参加するために公開リンクを送信する必要さえないことが示されています。常に参加にはパスワードを要求してください。
• 本当に必要であれば、ランダムなミーティングIDをソーシャルネットワークを介して共有し、パスワードはダイレクトメッセージで送信します。
• チャット経由で送信されたURLリンクや画像を開こうとしないでください。
• 適切な認証をアカウントレベルで設定し、適切な制御を備えたGoogle、ローカルパスワード、SAML、2FA、企業のセキュリティポリシーに関連する認証を使用します。
• Zoomの設定と機能をよく理解して、必要なときに仮想空間を保護する方法を理解してください。参加者のミュート、ビデオのオフ、待機への設定などの方法を学びましょう。
• ZoomアカウントからSIEMへのログ収集を設定し、警告/監視メカニズムを確立してください。
• プロキシサーバーおよびEDRからのログ収集は、今日の脅威の風景に不可欠です。これらのログでZoom特定の攻撃をカバーするだけです。

Zoom関連の攻撃を検出するためのコンテンツ

可能なZoomの悪質ドメイン（プロキシ経由） –https://tdm.socprime.com/tdm/info/MrDuoDkETUIP/

可能なZoomの悪質ドメイン（DNS経由） –https://tdm.socprime.com/tdm/info/TWstmhIEa1oA/

可能なZoomのバイナリ悪用（コマンドライン経由） –https://tdm.socprime.com/tdm/info/BMUtqKem63oL/

不必要な外部UNCパスを介した可能なNTLMクレデンシャルリーク（コマンドライン経由） –https://tdm.socprime.com/tdm/info/i71EA49sF8jW/

参考文献

———————————-

1. https://blog.zoom.us/wordpress/2020/03/20/keep-the-party-crashers-from-crashing-your-zoom-event/
2. https://threatpost.com/as-zoom-booms-incidents-of-zoombombing-become-a-growing-nuisance/154187/
3. https://support.zoom.us/hc/en-us/articles/115005269866-Using-Tiered-Settings
4. https://blog.checkpoint.com/2020/03/26/whos-zooming-who-guidelines-on-how-to-use-zoom-safely/
5. https://support.zoom.us/hc/en-us/articles/360034291052-Predicting-Zoom-Meeting-IDs
6. https://support.zoom.us/hc/en-us/articles/360034675592-Advanced-security-settings
7. https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication
8. https://support.zoom.us/hc/en-us/articles/360032748331-Using-Operation-Logs
9. https://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/
10. https://library.myguide.org/myguide-library/categories/zoom/zoom-web/zoom-web-guides