Zoom のコード内のセキュリティバグをめぐるモグラ叩きゲームは今日も続いており、256 ビット AES-GCM 暗号化のサポートを完備したバージョン 5 が間もなくリリースされる。
これは、ビデオ会議ソフトウェアメーカーであるZoomが、セキュリティ研究者、プライバシー活動家、そしてジャーナリストによる数週間にわたる地獄のような攻撃の後、プラットフォームの脆弱なセキュリティを徹底的に見直す90日計画の最新のものだ。新型コロナウイルス感染症のパンデミックにより、自宅待機や可能な限りのリモートワークを余儀なくされた数億人のネットユーザーがZoomのチャット製品に殺到する中、そのコードは厳しい精査の対象となった。存在しないエンドツーエンドの暗号化から、通話中の不安定なパスワード保護まで、様々な欠陥が見つかった。
Zoom 5.0の暗号化アップグレードにより、転送中のデータ保護が強化されます。以前はAES-ECBを使用していましたが、これによりビデオフレームが盗聴者に漏洩する可能性がありました。Zoomのコリーン・ロドリゲス氏は、この改善について「システム全体のアカウント有効化は5月30日に実施されます」と述べています。
Zoomは暗号化に加え、中国国内の一部サーバーが中国国外からの通話を処理していたことを受け、アカウント管理者がユーザーのデータを処理できるデータセンターを選択できるようにしました。これにより、ユーザーはチャットが世界のどの地域を経由するかを選択できるようになります。
しかし、Zoomはセキュリティ強化によってプラットフォームの使い勝手を少し悪くし、ユーザーエクスペリエンスの面で行き詰まりを感じ始めている。率直に言って、Zoomはプラットフォームの使い勝手を少し悪くしていると言えるだろう。Zoomの成功要因の一つは、ネットユーザーがスムーズに接続できたことにあるが、残念ながらセキュリティの不備という代償を支払ってしまった。
ズームアウトはやめよう:ユーザーの視線がさまよい始める中、GoogleはビデオチャットサービスMeetをGmailに統合
続きを読む
パスワードなしの会議の ID を総当たり攻撃したり、何らかの方法で通話パスワードをバイパスしたり、共有アクセスの詳細を求めてソーシャル メディアをスキャンしたりすることで可能になる Zoom 爆撃現象を目の当たりにしてください。
より厳密なセキュリティ対策として、参加者を個別のバーチャル待合室に留め、ホストによる審査を受けさせる「待機室」機能が、ベーシック、教育、シングルライセンスのProアカウントでデフォルトで有効になります。会議パスワードは、理論上はほとんどのお客様で既に有効になっていますが、管理者によってパスワードの複雑さが定義される場合があります。
謙虚なハゲタカである私は、技術に詳しくない知人が待合室のコンセプトに苦労しているのを個人的に経験したことがあるが、Zoom がより安全な体験を提供することで、顧客が対面での解決策を他で探すリスクがある。
その他の変更点としては、セキュリティ機能をグループ化するUIの変更や、主催者によるユーザー報告や参加者による名前変更の無効化を容易にするホストコントロールの改善などが挙げられます。クラウド録画にはデフォルトでパスワードが設定され、大規模な組織では複数のアカウント間で連絡先をリンクできる機能が歓迎されるでしょう。
同社は宣伝に息もつかせぬまま、顧客に対し「ZoomアプリをZoom 5.0にアップデートしてください。zoom.com/downloadをご覧ください」と呼びかけている。
もう少し待つことをお勧めします。執筆時点ではバージョン4.xのみが利用可能でした。これらの遺産がいつ付与されるのか、企業に問い合わせており、回答が得られ次第更新します。®
