Zoom爆撃（Zoombombing）とは？発生の仕組みと7つの防止策

本記事は独立した情報提供を目的としています。Zoom Communications, Inc. とは一切関係ありません。

次の場面を想像してください。四半期の全社会議が始まって5分。CEOが売上報告をしている最中に、見知らぬ人物が画面に現れ、大音量の音楽を流し、チャットに不適切な画像を投稿し始めます。数秒後、200人の社員が職場で絶対に目にすべきではないコンテンツを見せられている状況です。

このようなことが2020年から2021年にかけて、数千回も発生しました。FBIは公式に警告を発し、学校はオンライン授業を中断し、裁判所は犯罪者の訴追を開始しました。そして新たな言葉が生まれました：Zoom爆撃（Zoombombing）。

パンデミック初期の最悪の波は過ぎましたが、Zoom爆撃は消えていません。FBIインターネット犯罪苦情センターの報告によると、基本的なセキュリティ設定を省略している組織では、会議の妨害が今も発生しています。

本ガイドでは、Zoom爆撃とは何か、攻撃者がどのように侵入するのか、7つの具体的な防止策、そして被害にあった場合の対処法を解説します。10人のスタンドアップミーティングでも500人のウェビナーでも、これらの対策はすべて有効です。

Zoom爆撃はどのように発生するのか

Zoom爆撃に高度なハッキング技術は必要ありません。ほとんどの場合、攻撃者は4つの経路のいずれかから侵入します。

会議リンクの共有。 誰かがSNS、公開のSlackチャンネル、Webサイトに会議リンクを投稿すると、パスワードや待機室がない場合は誰でもクリックして参加できます。パンデミック中、教育者が学校のWebサイトに授業リンクを公開していたため、格好の標的となりました。

会議IDの推測。 Zoomのデフォルトの会議IDは9〜11桁でした。ボストン大学の研究者が2020年に、自動化スクリプトで数字の組み合わせを試行し、有効な会議IDを特定できることを実証しました。その後Zoomはデフォルトでパスワードを追加しましたが、パスワードを無効にした会議は依然として脆弱です。

内部関係者による共有。 参加者が会議リンクや認証情報を、意図的に、またはカレンダーの招待を転送することで外部の人物に共有するケースです。技術だけでは最も防ぎにくい経路です。

個人ミーティングIDの再利用。 すべてのZoomアカウントには永続的な個人ミーティングID（PMI）があります。毎回同じPMIを使用し、一度でも共有すると、保存した人は今後の会議に無断で再参加できます。

これらの侵入経路を理解することが重要なのは、以下の各防止策がこのうち1つ以上を遮断するためです。

なぜZoom爆撃をするのか

動機はさまざまですが、大きく3つのカテゴリに分かれます。

荒らしと注目集め。 Zoom爆撃の加害者で最も多いのは、反応を楽しむインターネット荒らしです。2020年にはフォーラムやDiscordサーバー全体で「Zoom襲撃」が組織され、会議リンクを共有して妨害行為を調整していました。他人の犠牲による娯楽が目的でした。

ハラスメントとヘイトスピーチ。 一部の攻撃は特定の対象を狙ったものです。2020年、Anti-Defamation Leagueは、特定のコミュニティに向けた人種差別的、反ユダヤ的、同性愛嫌悪的なコンテンツを含むZoom爆撃の急増を報告しました。オンライン礼拝、サポートグループ、文化イベントが主な標的でした。

企業スパイとデータ窃取。 頻度は低いものの、被害が最も深刻なタイプです。招待されていない参加者が静かに会議に参加し、カメラをオフにして機密情報を盗聴します。侵入者は気づかれたくないため、検知が困難です。

3つ目のカテゴリこそ、「社内のチーム会議を誰が妨害するだろう」と思うような場面でもセキュリティ対策が重要な理由です。製品ロードマップ、財務情報、人事決定を議論する企業にとって、無音の盗聴は現実的なリスクです。

今日確認すべきZoomセキュリティ設定

上記の7ステップに加え、Zoomは2020年のZoom爆撃の波以降、いくつかのセキュリティ機能を追加しています。アカウントの簡易監査チェックリストをご確認ください。

• 「参加者のアクティビティを一時停止」ボタン。 2020年末に追加されたこの緊急ボタンは、映像、音声、画面共有、録画、ブレイクアウトルームをワンクリックで一時停止します。会議ツールバーのセキュリティシールドアイコンから使用できます。妨害が始まった瞬間に使用してください。
• 「リスクのある会議通知」機能。 Zoomが公開SNS投稿で会議リンクをスキャンします。リンクが見つかった場合、設定変更または新しいリンク作成を促す警告メールが届きます。
• 認証済みユーザーのみ参加可能。 設定 > セキュリティで「認証されたユーザーのみ参加可能」を有効にしてください。参加前にZoomアカウントへのサインインが必須になります。社内会議では、組織のメールドメインを持つユーザーにさらに制限できます。
• エンドツーエンド暗号化（E2EE）。 最大200人の会議で利用可能です。有効にすると、Zoomのサーバーでも会議内容にアクセスできなくなります。設定 > セキュリティ > 「エンドツーエンド暗号化の使用を許可」でオンにしてください。
• ウォーターマーク。 Zoomは共有コンテンツに各参加者のメールアドレスをオーバーレイし、会議音声にオーディオウォーターマークを埋め込むことができます。録画が流出した場合、ソースを特定できます。

このリストを一度確認すれば、会議のセキュリティは大幅に向上します。ほとんどの設定は1分以内で有効にできます。

Zoom爆撃に遭った場合の対処法

事前対策を講じていても、妨害は発生する可能性があります。誰かがリンクを転送したり、セキュリティ設定が弱い会議を引き継いだりすることもあるでしょう。以下のステップバイステップの対応計画を参考にしてください。

1. すぐに「参加者のアクティビティを一時停止」をクリック。 すべてが一度に停止します。妨害者は画面共有もミュート解除もチャット送信もできなくなります。妨害が続かない状態で対処する時間を確保できます。

2. 侵入者を特定して削除。 参加者パネルを開き、見覚えのない名前や「iPhone」「User」のような一般的な名前を探してください。削除し、再参加をブロックするオプションにチェックを入れます。

3. 会議をロック。 妨害者を削除したら、会議をロックして他の誰も入れないようにしてください。

4. 起きたことを認める。 参加者に伝えてください：「先ほど無断の妨害がありました。該当者は削除され、会議はロックされました。」何も起きなかったかのように振る舞わないでください。不適切なコンテンツが表示された場合はその事実を認め、後でチームの状態を確認してください。

5. すべてを記録。 会議のチャットログを保存し、妨害者の表示名と確認できたプロフィール情報をメモし、録画中であれば録画を保存してください。報告に必要な重要な証拠となります。

6. インシデントを報告。 Zoom Trust & Safetyチームにレポートを提出してください。脅迫、ヘイトスピーチ、違法コンテンツが含まれていた場合は、警察およびFBI IC3にも報告してください。

7. 振り返りと設定の更新。 会議後、侵入者がどのように入ったのかを特定してください。リンクが公開で共有されていたのか。待機室が無効になっていたのか。原因を基に、今後の会議でその脆弱性を解消してください。

実際の事例を考えてみましょう。非営利団体がオンラインの資金調達イベントを開催し、基調講演の5分後にZoom爆撃を受けます。ホストは動揺しますが、このようなガイドを読んでいた共同ホストが即座に参加者のアクティビティを一時停止し、侵入者を削除し、会議をロックします。90秒後に基調講演が再開されました。事前の準備が、90秒の中断と20分の混乱との差を生みます。

Zoom爆撃は違法なのか

はい、Zoom爆撃は犯罪行為に該当する場合があります。具体的な罪状は攻撃者の行為と所在地によって異なりますが、法的な結果は現実のものです。

米国の連邦レベルの罪状。 FBIと司法省は、特定のZoom爆撃事件を連邦犯罪として分類しています。コンピュータ詐欺・濫用防止法（CFAA）では、無断でコンピュータシステムにアクセスした場合、最大5年の懲役刑が科される可能性があります。脅迫やヘイトスピーチを伴う場合は、連邦のハラスメントおよび公民権法に基づく追加の罪状が適用されます。

州レベルでの訴追。 米国の複数の州が既存の法律を活用してZoom爆撃の加害者を訴追しています。2020年にはカリフォルニア州で男性が「オンライン授業の妨害に関連するサイバー犯罪」で起訴されました。テキサス州、ニューヨーク州、ミシガン州でも同様の事件がありました。一般的な罪状には、不正なコンピュータアクセス、ハラスメント、迷惑行為が含まれます。

国際的な法執行。 英国の2003年通信法は「著しく不快な」電子通信を対象としています。カナダの刑法はコンピュータシステムの無断使用を規定しています。オーストラリアの刑法には、制限されたデータへの不正アクセスに関する条項があります。

民事責任。 刑事罪に加えて、Zoom爆撃の加害者は民事訴訟にも直面します。Zoom爆撃が測定可能な損害（イベントの中止、参加者の精神的苦痛、事業損失）をもたらした場合、被害者は損害賠償を請求できます。

法的な論点は、その会議が「一般に公開されていたか」どうかです。パスワードなしで公開Webサイトに会議リンクを掲載した場合、クリックした人が不正アクセスをしたと主張するのは難しくなります。パスワードと待機室を常に使用すべきもう一つの理由がここにあります。無断侵入が違反となる明確な境界を設定できるのです。

結論として、Zoom爆撃は単なる「荒らし」ではありません。刑事訴追、罰金、実刑につながる可能性があります。

2026年もZoom爆撃は発生しているのか

2020〜2021年の爆発的な波は収まりましたが、Zoom爆撃はなくなっていません。3つの要因が継続を支えています。

デフォルト設定だけでは不十分。 Zoomは2020年4月にパスワードと待機室をデフォルトで有効にしました。これにより、会議IDを推測するカジュアルな攻撃者は遮断されました。しかし、管理者が利便性のためにこれらのデフォルトをオフにすることがあります。参加者のアクセスのしやすさをセキュリティより優先する組織は、依然として脆弱です。

新しいプラットフォーム、同じ問題。 Zoom爆撃はZoomに由来する名称ですが、同じ攻撃がGoogle Meet、Microsoft Teams、Webex、そして共有可能な会議リンクを使用するほぼすべてのプラットフォームで発生しています。スタンフォード大学のリモート学習に関する研究では、会議の妨害がZoomだけでなくすべての主要プラットフォームで発生していたことが示されています。

ハイブリッドイベントによる露出増加。 企業が対面と遠隔の両方の参加者を含むハイブリッドイベントを増やすにつれ、会議リンクがより広く配布されるようになっています。50人に送ったリンクが500人に転送される可能性があります。転送のたびに潜在的な漏洩リスクが生まれます。

リスクは2020年より低くなりましたが、ゼロにはなっていません。公開のバーチャルイベント、オンライン授業、コミュニティミーティングを運営する組織は、Zoom爆撃対策をパンデミック時代の遺物ではなく、標準的な慣行として扱うべきです。

Zoom会議の安全な設定方法やZoomの使い方の一般ガイドをお探しの方は、セキュリティを考慮した完全な設定手順をご確認いただけます。

会議リンクの先へ：空間型プラットフォームが異なるアプローチで問題を解決する方法

従来のビデオ会議ツールには構造的な弱点があります：会議リンクです。1つのURLで会議室全体への完全なアクセスが得られます。そのURLが漏洩すれば、誰でも入室できます。

空間型ミーティングプラットフォームは異なるアプローチを取ります。単一の会議室の代わりに、参加者がアバターとして移動する仮想空間を提供します。会話は近接性に基づいて成立します：近くの人の声が聞こえ、離れた人の声は聞こえません。

このアーキテクチャは、セキュリティモデルを3つの方法で変革します。

1. 1つのリンクですべての会話にアクセスできない。 招待されていない人物が空間に入っても、物理的に近くに立っている会話しか聞けません。部屋の向こう側にいる他のグループは、デフォルトでプライベートです。

2. 視覚的な存在の検知。 100人が参加するZoom通話では、見知らぬ人が簡単に紛れ込めます。空間型ルームでは、グループの近くに立つ見慣れないアバターがすぐに目に付きます。別の場所に移動して会話を続けることもできます。

3. 空間内のプライベートルーム。 Flat.socialのような空間型プラットフォームには、壁が音を遮断する密閉されたエリアがあります。中に入ると、外部の人には何も聞こえません。パスワードは不要です。プライバシーが空間の構造に組み込まれているためです。

これは従来のビデオ会議を時代遅れにするものではありません。Zoomやteamsは、構造化されたプレゼンテーションやフォーマルな全社会議には依然として最適です。しかし、チームアクティビティ、ネットワーキングイベント、カジュアルなコラボレーションには、空間型プラットフォームがセキュリティ上の脆弱性の根本原因である共有可能な会議リンクを排除します。

Zoom爆撃が組織にとって懸念事項であれば、問題に異なる角度からアプローチする従来のビデオ通話の代替手段を検討する価値があります。

ZoomはZoom Communications, Inc.の商標です。Google MeetはGoogle LLCの商標です。Microsoft TeamsはMicrosoft Corporationの商標です。WebexはCisco Systems, Inc.の商標です。本記事はこれらの企業とは一切関係がなく、後援や推奨を受けていません。