新型コロナウイルス対策のテレワーク急増により、米ズーム・ビデオ・コミュニケーションズ(Zoom Video Communications)が提供するビデオ会議「Zoom」の人気が高まっている。2019年12月は多くても1日当たりの利用者が1000万人だったが、2020年3月には2億人以上に増加したという。
利用者の急増に伴って研究者などがZoomを精査するようになり、セキュリティーに関する問題が次々と報告されている。そういった報告に関する記事を読んで、「危なそうだからZoomを使うのをやめよう」と思っている人は少なくないだろう。
だが、Zoomのセキュリティー問題は多数あるために誤解が生じているようだ。きちんと理解した上で利用するかどうかを判断する必要がある。
個人的には、機密情報をやりとりするのでなければ、脆弱性や設定に気をつければZoomを利用しても問題ないと考えている。
セキュリティー問題を過小評価するのは危険だが、過大に評価して怖がりすぎるのも禁物だ。「ビデオ会議はセキュリティーの懸念があるらしいから、(新型コロナの感染リスクはあるが)対面で打ち合わせをしよう」といった事態になるのを心配している。
エンド・ツー・エンドの暗号化ではなかった
Zoomに関するセキュリティー問題は多数報告されているが、代表的なものとしては以下が挙げられるだろう。
(1)Zoomの暗号化は強固でない
(2)Zoomのクライアントソフトに危険な脆弱性が見つかっている
(3)開催する会議の設定に不備があると第三者に「乱入」される
(1)については米国のWebメディアであるインターセプト(The Intercept)などが記事にして話題になった。
例えば、ズームは「エンド・ツー・エンドの暗号化」をサポートしていると主張していたが実際にはサポートしていない。
エンド・ツー・エンドの暗号化とは、利用者以外は情報を復号できない暗号化を指す。ビデオ会議なら、会議の参加者だけが暗号鍵を共有し、やりとりする情報を暗号化および復号する。サービスの提供者であっても情報を復号できない。
ところが、実際はズームの鍵管理サーバーが暗号鍵を生成および管理し、会議の参加者に送っているという。ズームはやりとりする情報を復号できるのだ。
それだけではない。カナダのトロント大学シチズンラボ(Citizen Lab)の調査リポートによると、73ある鍵管理サーバーのうちの5つが中国に設置されているようだとしている。そして、中国以外にいる参加者同士の暗号鍵が、中国の鍵管理サーバーから送られていたという。
中国の鍵管理サーバーの暗号鍵が中国政府当局と共有された場合、ビデオ会議の内容が中国政府当局に筒抜けになる恐れがある。
これについてズームは、中国のサーバーを増強した際の設定ミスと説明。現在ではこの問題は解消したとしている。
そのほかシチズンラボのリポートによると、暗号化に使用しているAES(Advanced Encryption Standard)の鍵長は256ビットだとズームは説明していたが、実は128ビットだったという。
