こんにちは、サイト管理人のまつみんです。
Zoomといえば、世の中ではすでに固有名詞になった印象がありますが、よくお客様との会話でも話題になるのがZoomのセキュリティのお話になります。
いったい何が問題視されていたのか?おさらいしましょう。
1. 会議URLが外部に漏れた際、部外者の参加「Zoom爆弾」が起きる問題
2. IOS向けアプリからFacebookに対してユーザの分析情報が送信される問題
3. Windowsユーザーの認証情報が盗まれる可能性の指摘
4. 画面共有時に参加者がプレゼン画面を見ているか追跡する機能の指摘
5. Zoomの通信が厳密にはEnd-to-Endで暗号化されていない問題の指摘
これらの問題は、Zoomの需要が爆発的に伸び始めた(1,000万ユーザから3億ユーザへ)2020年3月頃からネットやニュースなどで話題になりました。4月にはZoomは4回もの公開アップデート行い、Zoom5.0というバージョンをリリースすることになりました。
技術者の観点としては、Zoomのセキュリティへの対応は非常に早かったと思います。
それでは、5つの問題点の結末を書きます。
1. 会議URLが外部に漏れた際、部外者の参加「Zoom爆弾」が起きる問題
解決済み:もとは会議パスワードの無効化やホスト前のログインを許可するなどの緩い設定をすることで発生する問題だったのですが、参加者のドメイン登録や会議中にも入室管理の設定などを設定・変更できる仕様になりました。
2. IOS向けアプリからFacebookに対してユーザの分析情報が送信される問題
解決済み:よくあるFBアカウントでログインという機能をユーザーが選択していないのに、デバイス名・通信キャリア情報をFBに送付していたというのが問題でした。Zoomはこのコードを修正し、この問題は解決しています。
3. Windowsユーザーの認証情報が盗まれる可能性の指摘
解決済み:UNCパスインジェクションによるハッキングでクレデンシャルが取得できるという問題なのですが、PCに悪意のあるマルウエアが仕込まれた環境という前提条件があるため確率が低い問題ですが、この指摘を受けコード改修で解決しています。
4. 画面共有時に参加者がプレゼン画面を見ているか追跡する機能の指摘
解決済み:この機能は30秒以上視聴者がメイン画面から離れているときにホストに通知するという機能ですが、ユーザーを不正に監視しているのでは?という指摘や、そもそも利点がわからないというクレームによりこの機能は削除されました。
5. Zoomの通信が厳密にはEnd-to-Endで暗号化されていない問題の指摘
解決済み:厳密にはEnd-to-Endで暗号化されていたのですが、復号化できる秘密鍵がZoom側にあり、それでは暗号を解くことが可能ではないのか?というのが指摘された問題です。この指摘を受け、Zoomは最新の端末暗号アルゴリズム(AES-256 GCM)を実装し問題を改修しました。
Zoomの最新の状況(2020年5月)
メディアで指摘された問題点は5月末の時点でほぼ改修されています。Zoomではさらに以下のセキュリティ対策を施しているので、テーブルにまとめました。
いかがでしょう?少しは参考になりましたでしょうか? それではまた。