全3335文字
PR

 新型コロナウイルス対策のテレワーク急増により、米ズーム・ビデオ・コミュニケーションズが提供するビデオ会議「Zoom」の人気が高まっている。2019年12月は1日当たりの利用者が1000万人程度だったが、2020年4月下旬には3億人以上に増加したという。

 利用者の急増に伴って研究者などがZoomを精査するようになり、セキュリティーに関する問題が次々と報告されている。そういった報告に関する記事を読んで、「危なそうだからZoomを使うのをやめよう」と思った人は少なくないだろう。だが、Zoomのセキュリティー問題は多数あるために誤解が生じているようだ。セキュリティー問題を過小評価するのは危険だが、過大に評価して怖がりすぎるのも禁物だ。「ビデオ会議はセキュリティーの懸念があるらしいから、新型コロナの感染リスクはあるが対面で打ち合わせをしよう」といった事態になったら本末転倒だ。実際のところ、機密情報をやりとりしない用途なら、脆弱性や設定に気をつければZoomを利用しても問題ないと考えられる。

研究者が弱点を次々と報告

 2020年4月以降、Zoomに関するセキュリティー問題は多数報告されているが、代表的なものとしては以下が挙げられる。

  • (1)Zoomの暗号化は強固でない
  • (2)Zoomのクライアントソフトに危険な脆弱性が見つかっている
  • (3)開催する会議の設定に不備があると第三者に「乱入」される

 (1)については2020年4月初め、カナダのトロント大学シチズンラボが調査結果を公表して大きな話題となった。

 例えば、ズームは「エンド・ツー・エンドの暗号化」をサポートしていると主張していたが実際にはサポートしていなかった。エンド・ツー・エンドの暗号化とは、利用者以外は情報を復号できない暗号化を指す。ビデオ会議なら、会議の参加者だけが暗号鍵を共有し、やりとりする情報を暗号化および復号する。サービスの提供者であっても情報を復号できない。

 ところが、実際はズームの鍵管理サーバーが暗号鍵を生成および管理し、会議の参加者に送っているという。ズームはやりとりする情報を復号できるのだ。

 それだけではない。カナダのトロント大学シチズンラボの調査リポートによると、73ある鍵管理サーバーのうちの5つが中国に設置されているようだとしている。そして、中国以外にいる参加者同士の暗号鍵が、中国のサーバーから送られていたという(図1)。

図1●中国以外の利用者に中国のサーバーが暗号鍵を配布
図1●中国以外の利用者に中国のサーバーが暗号鍵を配布
カナダ トロント大学シチズンラボは、米国の利用者(アリス)とカナダの利用者(ボブ)のビデオ会議に使う暗号鍵が中国のサーバーから送られたことを確認した。図はシチズンラボの発表資料を基に作成した。
[画像のクリックで拡大表示]

 中国の鍵管理サーバーの暗号鍵が中国政府当局と共有された場合、ビデオ会議の内容が中国政府当局に筒抜けになる恐れがある。

 そのほかシチズンラボのリポートによると、暗号化に使用しているAESの鍵長は256ビットだとズームは説明していたが、実は128ビットだったという。

 今のところ鍵長が128ビットでも安全とされている。例えば米国立標準技術研究所(NIST)は、128ビットAESの使用推奨期間を「2030年超」としている。とはいえ多くの組織は256ビットに移行しているのが実情だ。

 また、暗号の利用モードがECBだった。ECBだと暗号文に平文と同じパターンが現れるので望ましくない。現在ではECB以外の利用モードを使うのが一般的だ。

▼調査結果を公表
URLはhttps://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/。
▼AES
Advanced Encryption Standardの略。共通鍵暗号アルゴリズムの一種。
▼NIST
National Institute of Standards and Technologyの略。
▼ECB
Electronic Codebook Modeの略。ブロック暗号で使用される最も単純な暗号利用モード。それぞれのブロックを独立して暗号化するため、同じ平文からは同じ暗号文が生成される可能性がある。