緊急事態宣言発令後、仕事もプライベートもビデオ会議システムが注目され、爆発的にユーザーを増やした「ZOOM」、しかし、セキュリティの甘さを露呈し、世界のセキュリティ専門家からそのサービス内容を酷評されました。同社のCEO エリック・ユアン氏は、ビデオ会議のセキュリティに注力すると声明を出し、開発に励んできましたが、2か月が経過し、つい先日ZOOM Ver5.0がリリースとなりました。このリリースをもって、「ユーザーの不安や心配が解消されるのか?」を、セキュリティの観点から考察していきたいと思います。
無料で利用できることに加え、シンプルなUX/UIで操作も簡単、それでいて最大100人までのグループビデオチャットに対応した高性能のZoomは、コロナ蔓延の期に爆発的な人気を集めました。世界中の利用者は、感染が拡大する前の20倍以上に当たる2億人余りにまで急増しました。そんな中、セキュリティやプライバシーの専門家が本気で調査を実施したことにより、実に多くの問題点が露呈されました。FBI(連邦捜査局)も、Zoomにはセキュリティ上の問題があると指摘するなど、相次いで問題が報じられていました。 Zoom社はこの問題を深刻に捉え、同社CEOは、4月から90日間、新規の開発を一切ストップさせ、セキュリティへの対処に精力を傾けると宣言しました。
多くのセキュリティ課題を指摘されたZOOMですが、特に心配なのはユーザー目線で見て、次の2点でした。
①Windows版に認証情報を盗まれるおそれが発覚
②実はエンドツーエンドで暗号化がされていなかった
① ビデオ会議ツール「Zoom」のWindowsクライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが、セキュリティリサーチャーの調査で明らかになりました。
グループチャット機能では、ミーティング中に会議の他の参加者にメッセージを送信できます。また、送信したURLをハイパーリンクに変換する機能もあり、これを受信した人はブラウザーでウェブページを開くことができます。だがZoomクライアントは通常のURLだけでなくWindowsネットワークのUniversal Naming Convention(UNC)パスもクリック可能なリンクに変換してしまう為、「見知らぬ会議参加者のローカルPC内部を好きに操れてしまう」という驚愕の脆弱性です。
② Zoomはビデオ会議通話をエンドツーエンドで暗号化すると主張していましたが、実はそうではないらしいという噂が世間を駆け巡ったことで、不安が増殖しました。4月1日 、Zoom社の「エンドツーエンドの暗号化」の定義が、ユーザー側が考える理解との間に乖離がありました。ビデオ会議システムの暗号化が不完全であった場合、会議の内容及び機密書類等が漏洩する可能性があり、このことに対する懸念から、米宇宙ベンチャーSpace XやNASAなどの機密情報を扱う官公庁系の組織や企業が社員がZoomを使用することを禁止しました。
90日間のセキュリティ強化月間を宣言してから2か月経過しましたが、その間、ZOOMの活動には、目を見張るものがありました。
この90日間でのアクションアイテムは下記の6点です。
実施状況を下記に纏めましたが、ZOOM社が、特に問題となっているセキュリティの課題を克服しユーザーに安心と安全を提供しようと多面的に取り組んでいることがわかります。
| 課題 | 実績 |
|---|---|
| 社外の専門家やユーザーと共同でのサービス全体のレビュー | 社外から専門家、元Facebook CSO(最高セキュリティ責任者)のAlex Stamos氏を招聘、共同でレビューを実施中。 |
| 透明性レポートの準備 | 公式サイトには、以前存在しなかったようなホワイトペーパーや詳細な技術仕様書を読むことででき、現在のアーキテクチャーをユーザーが理解できるようになりました。 |
| バグバウンティプログラムの強化 | バグバウンティプログラム推進で高名なLuta Security Teamとタッグを組んでいます。 |
| CISO(情報セキュリティ管理最高責任者)評議会の立ち上げ | CISO評議会と諮問委員会を結成し、前述のAlex Stamos氏 が外部アドバイザーとしてZOOMに参加することになりました。 |
| 侵入テスト実施による問題の特定と対処 | ペネトレーションテストの継続を強化すると説明。 https://blog.zoom.us/wordpress/ |
| これらの取り組みの進捗を報告するウェビナーの毎週開催 | 毎週開催中、ユーザーからの多くの質問に対応中。 https://zoom.us/webinar/register/WN_9jdr63uuRuSRBX-yEJ2zVQ?id=3IWjZb4JTJm0II3A4lkBOg |
#Zoom公式サイト 90日間のセキュリティ計画 進捗レポート:4月15日版
https://blog.zoom.us/wordpress/2020/05/27/90-day-security-plan-progress-report-may-27/
誰もが気になる脆弱性2点については、下記のような状況となっています。
①Windows版に認証情報を盗まれる脆弱性については?
CVE-2020-11443として登録のある脆弱性ですが、 Version 4.6.9 (19253.0401)で修正し、問題解決しているようです。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11443
https://support.zoom.us/hc/en-us/articles/201361953-New-Updates-for-Windows
②エンドツーエンドでの暗号化実現については?
ZOOMで使用されているアーキテクチャと暗号化のホワイトペーパーを公式サイトに掲載し、自社網内での通信のインターセプトが発生しないことを繰り返し説明しています。 またその説明の中で、将来にわたり、司法の依頼があっても、通信を傍受するメカニズムを提供することはしないと強調しています(下記のリンクの太字)。
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom%20Encryption%20Whitepaper.pdf
ただし、現状の構成では、暗号化のKeyはZOOMサーバー側が握っている為、機密情報を扱う機関から敬遠されている現状です。この状況を打破する為、最近、ZOOMはKeybaseという暗号化ソリューションを提供する会社を買収しました。その開発ロードマップには、クライアント側でKeyを作成し自己完結できるソリューションが含まれいます。
https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/
今回は特に一般ユーザにとって致命的と感じる2つの問題をここに掲載し、その解決状況を共有させていただきました。
ZOOMはこれら以外にも複数の脆弱性を露呈していますが、それらは修正されVer5.0 に内包されています、詳細は公式サイトで確認することができます。
セキュリティが明らかに強化され、一般ユーザー(機密情報を扱う機関ではない)にとっては、用途次第では、ビデオ会議ツールの選択肢になるかもしれません。 ただし、以下の点を留意してください(最低限必要なことを書きました)。
バージョンが最新版であることを確認する(最低でもVer5.0以上)
必ずパスワードを設定する
セキュリティ機能がかなり豊富になったことで、会議を開催するホストの役割が大きくなります。
ツールはセキュリティの機能が強化されましたので、今後は使用者がそれを有効活用しない手はありません。事前に各機能の役割を十分理解し、セキュリティを配慮することで、皆様で安心/安全なバーチャルライフをお過ごしください。
ESETは30年以上にわたりユーザーのセキュリティを保護する製品を提供しています。このような不安な時代において、ユーザーが安全かつ安心してオンラインで活動できるように、ESETは最善の製品を提供しています。
お困りの際には是非ご相談ください。
私自身は同社の関係者ではないので、中立な立場でこの記事を書いています。以前脆弱性を露呈したアプリケーションの使用はユーザーとして気になるところですので、その観点から現在の状況を皆さんと共有したく記事にしました。この2か月の同社のセキュリティへの取り組みは成果を伴っています。今は全世界にユーザーが2億人となった企業です。今回の問題を真摯に受け止めCEOがリーダーシップを発揮して課題を1つ1つ着実に解決し、私には「社会的責任を果たそうとしている姿」に映ります。
https://www.youtube.com/watch?v=TeohYK-hsO4&t=1324s
ZOOMに限らず、ソフトウェアの脆弱性は常に指摘を受ける世の中です、すべてのソフトウェア会社が、今回のような取り組みを対岸の火事として見るのでなく、参考になる事例として記憶しておくべきと感じました。
*1点だけ気になったのは、役員の説明の中で、自社のデータセンターの場所や数を特定できる内容を開示していて、(自社のしっかりしたアーキテクチャを説明することで安心してもらおうという意図かと思いますが、)大丈夫なのかな?と感じました。不用意な情報提供は世界中の(攻撃的な)ハッカーにとって有意義な情報になってしまいます。(これらの情報はxxか所のデータセンターを同時多発に陥落させると、ZOOMのサービスは停止してしまうことを意味します。)
テクノロジー&セキュリティエバンジェリスト
