新型コロナウイルスのパンデミックによるロックダウンの影響で、わずか数カ月で1日当たりの利用者数が1,000万人から2億人に急増したため、アップデートされたZoomは監視と批判の目が厳しくなっている。
サイバーセキュリティ研究グループのシチズン・ラボは、ビデオ会議アプリメーカーに注目している団体の一つで、金曜日に同ソフトウェアの現状に関する厳しい報告書を公開した。
報告書はズームの技術インフラの安全性に疑問を呈し、この新興企業のネットワークアーキテクチャは中国当局からのデータ要求の圧力を受けやすいと主張している。
Zoom は、ドキュメントやアプリ内の表示メッセージで、自社の会議サービスは「エンドツーエンドで暗号化」されていると主張している。つまり、Zoom 自身を含む仲介者は、送信者と受信者の間でユーザーの通信がやり取りされる際に、それを傍受したり解読したりすることはできないということだ。
Zoomのエンドツーエンド暗号化は、実際にはエンドツーエンドではありません。首相が閣議での通話に使っていないのは幸いでした。ああ、もし…
続きを読む
Zoom ミーティングは実際にはエンドツーエンドで暗号化されていないという報告が浮上したとき、Zoom は、この用語の一般的に受け入れられている定義を使用していないと回答しました。
「顧客を欺く意図は全くなかったが、エンドツーエンド暗号化の一般的な定義と当社の使用方法の間に矛盾があることを認識している」と同社はブログ投稿で述べた。
シチズン・ラボは、英国内閣をはじめ、多くの企業、政府、市民社会、医療機関がZoomの技術を採用していることから、Zoomのセキュリティに関する矛盾した誤解を招く主張を解明するために分析を実施したと述べています。同社によると、3月には2億人以上の会議参加者が同サービスを利用しました。
ラボのレポートによると、Zoom トランスポート プロトコルは RTP のカスタム バリアントであり、TLS 暗号化チャネルを介して会議の参加者全員で共有される単一の AES-128 キーを使用して、Zoom 会議参加者のオーディオとビデオを暗号化および復号化します。
「ズームの暗号化と復号化にはECBモードのAESが使用されているが、この暗号化モードでは入力のパターンが保持されるため、これは良くないアイデアであることがよく知られている」と報告書は述べている。
Citizen LabによるAES-ECBによる画像暗号化のビジュアルデモ。Zoomではこれが使用されています… クリックして拡大
Citizen Labによると、ストリーミングメディアの場合、SRTP規格はセグメント化整数カウンタモード(f8モード)で使用する必要があります。そうしないと、Zoomが選択した方式で暗号化された画像が依然として表示されます。
さらに、研究者らは北米の2人の参加者間のテスト通話中に、会議キーが中国北京のサーバー経由で送信されているのを観察した。
「暗号化の限界やセキュリティ上の問題が容易に特定できるアプリ、会議の鍵を扱う中国国内のオフショアサーバーは、中華人民共和国を含む十分な資金力を持つ国家レベルの攻撃者にとって格好の標的となる」と報告書は述べている。
他のセキュリティ研究者もZoomの技術インフラについて懸念を表明している。Twelve Securityのダン・エーリッヒ氏は、Zoom.usに関連する13万以上のサブドメインをマッピングした。エーリッヒ氏によると、これらの多くには「顔」「追跡」「ライブ」「報告」「追跡」といった用語が含まれており、プライバシーを懸念する同ソフトウェアのユーザーの間で疑問が生じるはずだという。
エーリッヒ氏は金曜日、軍事ハッキング活動に関連する大学とズームのつながりを指摘する投稿を公開した。
シチズン・ラボの調査結果は、同社のソフトウェアのセキュリティと顧客データを安全に保つ能力に関する懸念をさらに深めるものとなった。
「これらの厄介なセキュリティ問題の結果、現時点では、強力なプライバシーと機密性が求められるユースケースでZoomを使用することは推奨しません」と報告書は述べている。
The RegisterはZoomにコメントを求めたが、回答は得られていない。今週初め、ZoomのCEOであるエリック・S・ユアン氏は、アプリのセキュリティ問題に対処すると約束した。
Zoomは過去1週間、ビデオ会議アプリのセキュリティとデータ処理について守勢に立たされてきました。例えば、Facebookアカウントを持たないユーザーにも分析データが送信されているという報告を受け、同社はiOSアプリからFacebook SDKを削除しました。
ワシントンポスト紙は金曜日、Zoomのファイル命名方法が予測可能であるため、何千もの個人用ビデオがウェブ上で誰でも閲覧可能であると報じた。
セキュリティ企業のチェック・ポイントは昨年、ZoomのミーティングIDがいかに簡単に推測できるかを文書化しました。しかし今、世界的な新型コロナウイルス感染拡大により、人々はビデオ会議への参加を余儀なくされており、これらのIDを推測する必要すらありません。人々はIDを公開投稿し、オンライン検索で見つけられるようになっています。その結果、荒らしが人々のオンライン会議に侵入する「ズームボミング」と呼ばれる行為が発生しています。これは米国政府にとって重大な犯罪です。
Zoom は、このような会議の乗っ取りを回避する方法についてのアドバイスをこちらで発表しました。
Zoomは金曜日に、「ウェブクライアントをメンテナンスモードに切り替え、サービスのこの部分をオフラインにする」と発表しました。サービスを利用したいユーザーは、インストール前のスクリプトの使用が疑わしいことで知られるZoomのソフトウェアをダウンロードしてインストールする必要があります。同社は、ウェブクライアントのメンテナンス期間や、ウェブアプリの削除を決定した理由については明らかにしていません。®
追加更新
Zoomは、中国以外のユーザーが使用することを意図したバックエンドシステムのリストに中国のサーバーを誤って追加したため、暗号化キーを中国経由でルーティングしたと主張している。
そのため、アメリカのユーザーが利用しているZoomアプリが接続先サーバーを探すためにリストを参照した際、アプリは中国国外のマシンではなく中国国内のマシンを選択しました。Zoomがプラットフォームを中国と中国国外に分割しているのは興味深いことです。
