Interviews Brawte nfaq 0 Comments

Zoomは、厳しい1週間を経て、今後90日間でセキュリティとプライバシーについて真剣に検討することを誓い、会議IDのウォーダイヤルツールが登場

Table of Contents

Zoomは、厳しい1週間を経て、今後90日間でセキュリティとプライバシーについて真剣に検討することを誓い、会議IDのウォーダイヤルツールが登場

ビデオ会議アプリメーカーのズームは、複数の点で不快な漏洩が発覚した痛ましい一週間を経て、セキュリティを強化することを約束した。

この誓約は、CEOのエリック・S・ユアン氏から顧客へのメモの中で述べられており、ユアン氏は次のように述べています。「今後90日間、私たちは問題をより適切に特定し、対処し、積極的に解決するために必要なリソースを投入することをお約束します。また、このプロセス全体を通して透明性を確保することにも尽力します。お客様の信頼を維持するために必要なことは何でも行いたいと考えています。」

Zoomは、新型コロナウイルス感染症のパンデミックにより世界中の人々が在宅勤務を余儀なくされる中、1日あたりのユーザー数が昨年12月の1,000万人から現在2億人に急増したと発表した。この増加に伴い、メディアや情報セキュリティ関係者から厳しい監視を受けている。発覚した欠陥に対し、Zoomは以下の対策を約束している。

  • 機能の凍結を即時に実施し、すべてのエンジニアリング リソースを、信頼性、安全性、プライバシーに関する最大の問題に集中させるようにします。
  • サードパーティの専門家や代表的なユーザーと包括的なレビューを実施し、すべての新しい消費者ユースケースのセキュリティを理解し、確保します。
  • データ、記録、またはコンテンツの要求に関連する詳細情報を記載した透明性レポートを準備します。
  • 現在のバグ報奨金プログラムを強化します。
  • 業界全体の主要な CISO と提携して CISO 協議会を立ち上げ、セキュリティとプライバシーのベストプラクティスに関する継続的な対話を促進します。
  • 一連のホワイト ボックス侵入テストを同時に実施して、問題をさらに特定し、対処します。
  • 毎週水曜日午前 10 時 (太平洋標準時) にウェビナーを開催し、コミュニティにプライバシーとセキュリティの最新情報を提供します。

開発者は既に、動作不良を起こしていたMacインストーラーやその他のセキュリティ上の欠陥を修正しました。また、参加者がアプリから長時間離れた場合に会議主催者に警告を発する、不気味な注目度追跡機能も削除しました。

しかし、現在セキュリティに注力しているエンジニアたちは、明らかに困難な課題に直面しています。昨年、チェック・ポイントは、ZoomのミーティングID番号を総当たり攻撃で簡単に推測できることを文書化しました。このID番号は、パスワードで保護されていない会議への侵入に利用される可能性がありました。これに対し、Zoomはパスワード作成をデフォルト設定にすることで、ID総当たり攻撃を阻止しました。

残念ながら、Zoomはオンライン会議に悪意ある人物を仕掛け、ポルノ画像などの無意味な動画を貼り付けるなど、悪質な行為を続けています。そのため、Zoomは招待されていない愚か者をプライベート会議に侵入させないためのアドバイスを公開しました。今週、Zoomは情報セキュリティジャーナリストのブライアン・クレブス氏に対し、デフォルトでパスワード保護されているこの機能が意図したとおりに機能していない可能性があり、会議の情報が無防備な状態になっている可能性があると認めました。

つまり、アドバイスに従ってパスワードを設定し、資格情報を公開せず、個々の参加者に制限を設定します。

戦い

テクノロジーはロックダウンの災難からあなたを救わない:在宅勤務中に家族と自由時間を管理する方法

続きを読む

一方、クレブス氏は、会議IDのブルートフォース攻撃を自動化した人物と連絡を取っている。その人物とは、セキュリティ専門家であり、カンザスシティのセキュリティミートアップ「SecKC」の共同創設者でもあるトレント・ロー氏だ。

「ロー氏とSecKCのメンバーは最近、zWarDialを作成しました。これは、コンピュータモデムを探すために、指定された電話番号のプレフィックスに含まれるランダムまたは連続した番号を呼び出す、昔の電話ベースのウォーダイヤリングプログラムから名前の一部を借用したものです」とクレブス氏は説明した。そして、zWarDialは1時間あたり約100件の公開会議を発見した。

Zoomはデフォルトでパスワードを適用することになっているので、これはあり得ないはずです。つまり、パスワードがデフォルトで作成されないシナリオが存在する可能性があるということです。あるいは、Zoomでは現在多くのミーティングが開催されているため、主催者が参加者の利便性向上のためにパスワードを無効にしている可能性もあるでしょう。

少なくともZoomの株価は2020年初頭の水準を上回っており、これは現在多くの上場企業が誇れる水準ではありません。1月1日の株価68.72ドルに対して、現在は121.93ドルです。中国企業のZoom Technologiesも、ティッカーシンボル「$ZOOM」をZoomの「$ZM」と間違えた投資家が急増したことで、投資が急増しました。アメリカの金融監督機関であるSECは、この愚行を阻止するため、この中国企業の株式の取引を停止しました。®

Interviews

Smart Recommendations

Discover More