新型コロナウィルスの影響で世界中が「Stay at home」といったキーワードを元に、テレワークに必要なリモートツールとしてZoomが注目されるようになりました。
コロナ以前は1000万人ユーザーだった利用者の数は現在3億を超え、更に伸びつつあります。
それに伴い、Zoomがサイバースパイや悪意のあるハッカーの標的になったりと、セキュリティの専門家の注目を浴びるようになりました。
2020年4月3日にカナダのトロント大学の研究者、マルザック教授とウッドワード教授による報告書がインターネットで公開された事をきっかけに、Zoomの脆弱性が注目されるようになりました。
それによりZoom社は90日間、新規開発をストップしてセキュリティの向上に務めると宣言しました。
マルザック教授とウッドワード教授のレポートで指摘されたセキュリティリスクは4点ですが、4点目の「待合室のセキュリティホール」については、彼らとZoom社との間で専門的なコミュニケーションが行われ、レポートが出た4日後の4月7日には解決したため、本記事では、それ以外の3つについて扱います。
1.暗号化の方法の問題
Zoomのドキュメントでは、アプリは可能な限り会議に「AES-256」の暗号化を使用すると主張しています。しかし、Zoom の各ミーティングでは、オーディオとビデオの暗号化と復号化のために、すべての参加者が単一の 「AES-128」 キーを ECB モードで使用していることがわかります。ECB モードの使用は、暗号化中に平文のパターンが保存されるため、推奨されません。
各種モードについてはこちらよりご確認いただけます。
情報の保守を金庫に例えると、金庫が中身を守れるかどうかは、「金庫の壁の強度」と、「金庫の鍵の管理」の2つによります。暗号化の方法は、「金庫の壁の強度」に対応するものです。壁が薄いと(暗号化が弱いと)、サイバースパイが壁に穴をあけて情報を盗むことが可能になります。
マルザック教授とウッドワード教授の調査によると、4月3日時点では、Zoomは「すべての参加者が単一の AES-128 キーを ECB モードで使用している」という状況にありました。レポートによるとECBモードはセキュリティに弱点があり、復号化(暗号を解読して元の情報に戻すこと)が可能であるとのこと。
この指摘を受けて、Zoom社は暗号化の方式を改善することに取り組み、4月22日に発表したリリースで、Zoom 5.0からAES256による暗号化へアップデートすると報告しました。現在、Zoomのホームページでは、以下のように記述されています。
AES-256は現段階で十分な強度を持つ暗号方式です。今回のアップデートにより「金庫の壁の強度」は改善されたと言えます。
また、2020年5月30日より最新のGCM暗号化が採用されたため、より安全なミーティング開催が可能になりました。
2.暗号キーの管理
インターネットトラフィックで傍受された Zoom のパケットを復号化するのに十分であることが確認された AES-128 鍵は、Zoom のサーバーによって生成されたように見えます。
次に、Zoomが暗号キーの管理、つまり、「金庫の鍵の管理」をどのようにしているのかについての指摘がありました。
4月3日の段階で、Zoom社は、「エンドツーエンド暗号化」を実装していると発表していました。「エンドツーエンド暗号化」とは、通話が常に暗号化され、Zoomであってもデーターにアクセスできないということを意味します。つまり、「金庫の鍵をユーザーが持っていて、Zoom社であっても金庫の鍵を開けられない」という状態が、「エンドツーエンド暗号化」です。
しかし、実際には、Zoomは管理サーバー上で暗号キーを管理する方式を取っており、Zoom社が暗号を解いて通信内容を把握することが潜在的に可能な仕組みになっています。つまり、「金庫の鍵をZoom社が一括管理している」ということになります。これでは、「エンドツーエンド暗号化になっていない」というのが、マルザック教授とウッドワード教授の指摘でした。
それに対して、Zoom社は、「エンドツーエンド暗号化」という言葉を、異なる意味合いで使っていた、(つまり、「金庫の鍵を厳重に管理している」から「エンドツーエンド暗号化」がなされていると解釈していた)と述べ、一般的に言われている意味での「エンドツーエンド暗号化」が実現していないことを認め、混乱を引き起こしたことを謝罪しました。
Zoom社が発表した「エンドツーエンド暗号化に関するコメントについて」の日本語訳をこちらで読むことができます。
この記事の中で、企業向けのソリューションとして、「暗号キー管理システム」を企業のサーバー内に構築して、企業が暗号キーを自己管理できるソリューションを2020年末までに用意する予定だと述べています。
3.プライバシーポリシーの問題
シリコンバレーに本拠を置くZoomは、中国に3つの会社を所有しているようで、少なくとも700人の従業員がZoomのソフトウェア開発のために給料をもらっている。この取り決めは、表向きは労務裁定のための努力である。Zoom は米国の顧客に販売している間、米国の賃金を支払うことを避けることができ、従って彼らの利益率を増加させる。しかし、この取り決めは、Zoom を中国当局からの圧力に敏感にさせる可能性がある。
「金庫の壁の厚み」が十分なものに補強された今、Zoomのセキュリティに関する関心は、「金庫の鍵の管理体制」がどのようなルールに沿ってなされているのかに関心が集まっています。つまり、どのような条件において、Zoom社のデータセンターで管理されている暗号キーが外部に開示される可能性があるのか定めるプライバシーポリシーの内容と、それを実際に守っているかどうかの運用が問題になります。
プライバシーポリシーの中で注目すべきは、データ開示の条件の以下の部分です。
法的理由・管轄権を含む、有効な法的手続きに応じる際には、データを開示することもあります。
有効な法的手続きの遵守に関するZoomのポリシーは、政府が管轄権を持たない場合の協力を排除します。
Zoomの法的権利を保持するために合理的に必要な場合、データを開示する場合があります。
マルザック教授とウッドワード教授は、Zoom社と中国との結びつきについて、以下のように述べています。
Zoomは米国に本社を置き、ナスダックに上場しているが、主力のZoomアプリは中国の3つの会社が開発しているようで、いずれも软视软件(”Ruanshi Software”)という名前がついています。3つの会社のうち2つはZoomが所有しており、1つは美国云视频软件件技术有限公司(”American Cloud Video Software Technology Co., Ltd.”)という会社が所有しています。 蘇州のRuanshi Softwareの求人情報には、C++コーダー、AndroidとiOSアプリの開発者、テストエンジニアなどの募集があります。
Zoomの最新のSECファイリングによると、同社は(中国の関連会社を通じて)中国で “研究開発 “に従事する少なくとも700人の従業員を雇用しています。出願書類はまた、Zoom の収入の 81% が北米から来ていることを示唆しています。中国から開発を実行することは、おそらくZoom がシリコンバレーの給料を支払わないことで経費を削減し、利益率を高めます。
しかし、この配置はまた、中国当局からの圧力にZoomを開放する可能性があります。
つまり、中国にあるデータセンターに対して、中国当局からデータ開示の圧力がかかった場合、中国当局に暗号キーを提供し、中国当局が情報の内容を知ることができるようになる可能性があるのではないかという指摘です。
Zoom社は、4月26日に有効になったZoom5.0へのアップデートで、接続するデータセンターが選択可能になる機能を追加しました。これにより、中国本土にあるデータセンターへ接続しないようにユーザーが自分で設定することが可能になり、中国当局からの圧力による情報開示に対して懸念を持っているユーザーの懸念を下げるための対応がなされました。
次にプライバシーポリシーが、実際にどのように運営されているのかについて見てみます。レポートには、次のように書いてあります。
この報告書は、Zoomアプリの他の潜在的なセキュリティとプライバシーの懸念を特定する他の多くの最近の調査結果と訴訟に基づいています。さらに、擁護団体はまた、Zoomが透明性レポートを欠いていることを指摘しており、企業が機密ユーザーデータにアクセスする際に生じる懸念に対処するための重要なステップとなっています。Zoomは、そのようなレポートを90日以内に公開することを表明したばかりです(2020年4月2日)
現在のところ、中国当局などからの圧力などは、潜在的リスクとして噂されているレベルであり、実際に中国当局へのデータ開示があった事実が出てきているというわけではありません。
透明性レポートが公開されれば、ユーザーの懸念を下げることができます。
擁護団体であるアクセス・ナウは、政府やその他の第三者からのユーザーデータの要求に同社がどのように対応しているかを示す透明性レポートを定期的に発行するようZoomに求め、それを受けて、4月1日、Zoomの最高経営責任者(CEO)エリック・ユアンは、アクセス・ナウの書簡と市民社会や政策立案者からの声に応えて、「データ、記録、またはコンテンツの要求に関連する情報を詳細に記載した透明性レポートを作成する」など、透明性を向上させるために同社が取る一連の措置を発表しました。
その他の問題
マルザック教授とウッドワード教授のレポート以外に、これまで指摘された問題は、以下の通りです。
- Zoom爆弾
- Facebookへのデータの無断送信
- PCの不正データ取得
- PCのマイクやカメラへの不正アクセス
Zoom爆弾とは、Zoomミーティングに乱入し、ポルノなどを流す迷惑行為です。ミーティングにパスワードをかけたり、待機室を設定することで防ぐことができます。
Facebookへのデータの無断送信、PCの不正データ取得、PCのマイクやカメラへの不正アクセスについて、Zoomはアップデートによって改善を行いました。
Zoomを使わないほうがよいケース、使っても問題ないケース
マルザック教授とウッドワード教授は、レポートの中で、Zoomの使用について、次のように述べています。
これらの厄介なセキュリティ問題の結果として、私たちは、強力なプライバシーと機密性を必要とするユースケースには、現時点でZoomを使用することをお勧めしません。
- スパイ活動を心配する政府
- サイバー犯罪や産業スパイを懸念する事業者
- 機密性の高い患者情報を扱う医療従事者
- 機密性の高いテーマに取り組む活動家、弁護士、ジャーナリスト
友人と連絡を取り合ったり、ソーシャルイベントを開催したり、講座や講義を開催したりするためにZoomを利用している人にとっては、公開または半公開の場で行われるかもしれませんが、我々の発見は必ずしも問題ではないはずです。
4月2日にレポートが出てからのZoom社の取り組みにより、悪意のあるハッカーからのアタックに対するセキュリティは改善してきました。
法的理由によるデータ開示のリスクは、
・中国当局からの圧力によるデータ開示リスクを下げるためにデータセンターのチェックを中国から外す。
により、一定レベル下げることができます。6月中旬までに公開予定の透明性レポートをチェックして、データ公開の状況を確認することで、プライバシーポリシーの運用の実態を確認できれば、リスクのレベルを、より明確に把握できるようになります。
Zoomのデータセンターを企業のサーバー内に設置できる場合は、暗号キーを自社で管理できるので、法的理由によるデータ公開リスクを下げることができます。
一方で、友人との連絡、ソーシャルイベント、オンライン講座、学校などでのオンライン講義、一般的な企業研修などについては、Zoom爆弾対策としてパスワードをかけて使用すれば問題ないレベルだと考えられます。
最近のコメント