全3306文字
PR
セミナー
コロナで炎上、それ本当?~計算社会科学でSNSデマを解き明かす! 6/3 18時

 新型コロナウイルス対策のテレワーク急増により、米ズーム・ビデオ・コミュニケーションズ(Zoom Video Communications)が提供するビデオ会議「Zoom」の人気が高まっている。2019年12月は多くても1日当たりの利用者が1000万人だったが、2020年3月には2億人以上に増加したという。

 利用者の急増に伴って研究者などがZoomを精査するようになり、セキュリティーに関する問題が次々と報告されている。そういった報告に関する記事を読んで、「危なそうだからZoomを使うのをやめよう」と思っている人は少なくないだろう。

 だが、Zoomのセキュリティー問題は多数あるために誤解が生じているようだ。きちんと理解した上で利用するかどうかを判断する必要がある。

 個人的には、機密情報をやりとりするのでなければ、脆弱性や設定に気をつければZoomを利用しても問題ないと考えている。

 セキュリティー問題を過小評価するのは危険だが、過大に評価して怖がりすぎるのも禁物だ。「ビデオ会議はセキュリティーの懸念があるらしいから、(新型コロナの感染リスクはあるが)対面で打ち合わせをしよう」といった事態になるのを心配している。

エンド・ツー・エンドの暗号化ではなかった

 Zoomに関するセキュリティー問題は多数報告されているが、代表的なものとしては以下が挙げられるだろう。

(1)Zoomの暗号化は強固でない
(2)Zoomのクライアントソフトに危険な脆弱性が見つかっている
(3)開催する会議の設定に不備があると第三者に「乱入」される

 (1)については米国のWebメディアであるインターセプト(The Intercept)などが記事にして話題になった。

 例えば、ズームは「エンド・ツー・エンドの暗号化」をサポートしていると主張していたが実際にはサポートしていない。

 エンド・ツー・エンドの暗号化とは、利用者以外は情報を復号できない暗号化を指す。ビデオ会議なら、会議の参加者だけが暗号鍵を共有し、やりとりする情報を暗号化および復号する。サービスの提供者であっても情報を復号できない。

 ところが、実際はズームの鍵管理サーバーが暗号鍵を生成および管理し、会議の参加者に送っているという。ズームはやりとりする情報を復号できるのだ。

 それだけではない。カナダのトロント大学シチズンラボ(Citizen Lab)の調査リポートによると、73ある鍵管理サーバーのうちの5つが中国に設置されているようだとしている。そして、中国以外にいる参加者同士の暗号鍵が、中国の鍵管理サーバーから送られていたという。

米国とカナダの利用者に中国のサーバーから暗号鍵が送られた
米国とカナダの利用者に中国のサーバーから暗号鍵が送られた
(出所:カナダ トロント大学シチズンラボ)
[画像のクリックで拡大表示]

 中国の鍵管理サーバーの暗号鍵が中国政府当局と共有された場合、ビデオ会議の内容が中国政府当局に筒抜けになる恐れがある。

 これについてズームは、中国のサーバーを増強した際の設定ミスと説明。現在ではこの問題は解消したとしている。

 そのほかシチズンラボのリポートによると、暗号化に使用しているAES(Advanced Encryption Standard)の鍵長は256ビットだとズームは説明していたが、実は128ビットだったという。