セキュリティが強化されたZoom 5.0

Zoomの開発チームは、サービスのセキュリティをさらに強化しました。何がどう変わったのか見てみましょう。

Kaspersky Dailyでは、より安全にZoomを使うためのヒントを少し前に紹介しました。しかし、テクノロジーは急速に変化する場合があり、注目を集めているときには特にそうです。そうした例の一つがZoomです。開発チームは約束どおり、データ保護機能に大きな改善を加えました。その結果、バージョン5.0はコロナ禍前のバージョンから大幅に変更されています。

セキュリティに焦点を合わせた変更は、すぐに実を結びました。それまでZoomは大企業や公共団体に鼻であしらわれていましたが、ニューヨーク州司法長官の承認を得て(リンク先は英語)、再びニューヨーク市の学校で使用可能となりました。バージョン5.0には、有益な機能が追加されています。

使いやすい配置になったセキュリティ設定

Zoom 5.0では、ミーティング参加者を管理するための設定が1か所にまとめられました。セキュリティの強化が利便性に優先することはないのです。

ここでは、ユーザーの権限を制限できるほか、招待者以外が入れないようにミーティングへのアクセスをブロックする、誰かがスクリーンショットや録音を公開しようと考えた場合のためにウォーターマークを追加するなど、さまざまな設定ができます。セキュリティ設定を開くには、ミーティングメニューにある盾のアイコンをクリックしてください。

荒らし対策

匿名の荒らしによる侵入を防止するための新設定も、多数用意されています。まず、パスワードと待機室機能が既定で有効になりました。ミーティングへの参加には、主催者の許可が必要になります。また、参加者が自分の名前の変更をできないようにする機能が加わりました。

有料アカウントを持っている人は、メンバーに名前やメールアドレスなどの情報提供を要求することもできます。ビジネスアカウントの場合は、認証されていない人や、特定のドメイン(企業ドメインではなく無料メールサービスのドメインなど)のメールアドレスを持つ人の接続をブロックできます。

データのルーティング

データのルーティングに対するアプローチも変更されました。今後は、ビデオ通話が誤って中国など国外のサーバー経由でルーティングされることはなくなります。通話を国内にとどめておかなければならない事情がある場合でも、心配する必要はありません。無料ミーティングの場合は自国外に出ることはなく、また、有料プランを利用している場合には、4月18日以降、情報を通過させてもよい国を選択できるようになりました。

さらに、ミーティングの参加者は、画面の左上に表示されている[i]アイコンをクリックすることで、どのデータセンターに接続されているのか確認できるようになりました。したがって、データがどこか別の国にルーティングされているような場合、自分たちで気付いて開発元へ苦情を申し入れることができます。

画面共有のセキュリティ

古いバージョンのZoomでは、チャットの通知にチャットメッセージのプレビューが常に表示されていました。このため、たとえば、画面を共有しているときに誰かがあなたに個人的なメッセージを送ってきた場合、気まずい状況になりかねませんでした。今回のバージョンでは、無料ミーティング中に通知が表示されることはなく、画面が共有されているときにはチャットが表示されません。

暗号化のアップデート

暗号アルゴリズムもアップグレードされました。まず、以前よりも長い(より信頼性の高い)暗号化キーが使用されるようになりました。また、暗号化されたメッセージを復号しないまま壊されたり改竄されたりするのを防ぐ手段として、転送されたデータの完全性確認も行われるようになりました。

深遠なる細部の探求がお好きなら、この完全性チェックを担う(英語)のがGalois/Counter Mode(GCM)であることに興味を引かれるのではないでしょうか。より安全性が向上するのに加え、GCMはリソースを比較的消費しないと考えられていることから、暗号の強化によってコンピューターのパフォーマンスが犠牲になる心配はありません。

エンドツーエンド暗号化

最後になりますが、Zoomはビデオ通話にエンドツーエンド暗号化機能を追加する計画です。そのためにZoomは、安全なメッセージングおよびデータ通信アプリに特化した企業、Keybaseを買収しました。近いうちに、部外者やZoomの従業員がコミュニケーション内容を盗み見ることはできないようになります。

Zoomは当初、最高レベルのプライバシーを有料ユーザーのみに提供する予定でした。しかし、無料ユーザーにエンドツーエンド暗号化を提供しないというニュースは多くの批判を呼び、諜報機関と手を組んでいる(英語)、または少なくともそうした機関が入り込む余地を残している、との非難が沸き起こりました。

このような非難は、Zoomの競合となるサービスでエンドツーエンド暗号化を提供しているところはほとんどない、という重要な点を都合良く無視しています。エンドツーエンドで暗号化されたビデオ通話が可能なのは、ビデオ通話の能力が限られているインスタントメッセンジャー、または高価なビジネスツールがリクエストベースで(間違いなく有料で)提供しているのみです。

開発者たちが動画のエンドツーエンド暗号化を好まないのには、十分な理由があります。エンドツーエンド暗号化は、数多くの有益な機能と両立しないのです(英語)。ミーティングをクラウド上で録画する、YouTubeで配信する、電話でミーティングに参加するなど、サーバー経由の管理を必要とする機能はすべて使えなくなります。利便性の点から言えば、ほとんどの人はエンドツーエンド暗号化なしの方が幸せかもしれません。

とは言え、6月17日付けのZoomの発表によると、無料ユーザーを含め、すべてのユーザーがエンドツーエンド暗号化を利用できるようになります。ただ、一夜にして可能となる話ではなく、同社は7月に早期ベータテストを開始する計画です。

気を緩めてはいられない

全体としては、Zoom 5.0は過去のバージョンよりもはるかに安全です。開発チームは非常に責任ある態度でセキュリティに取り組み、ロックダウン期間中に浮上した問題の大半を速やかに解決しました。

だからといって、気を緩めてよいわけではありません。あなたが主催するミーティングは公開ですか、それとも非公開ですか?録画や録音を許可しますか、しませんか?開発チームは、このような問いに対して万人を満足させる答えを提示できません。そこは、自分たちの要件に従ってミーティングを設定する必要があります。ありがたいことに、新しいバージョンでは、適切なミーティング運営を助けるための設定が増えています。

また、絶対的なセキュリティというものは存在しません。たとえば、比較的新しいバージョンの4.6.10では2つの脆弱性が見つかっています(英語)。そのうち一つは、悪意あるチャットメッセージによってZoomサーバー上で任意のコードを実行可能な脆弱性でしたが、バージョン5.0のリリース前に修正されました。

もう一つの脆弱性は、GIF動画のオンライン共有サービスであるGIPHYとチャット機能との統合に関連するものでした。ミーティング参加者のコンピューターへ、GIF動画の代わりに任意のファイルがダウンロードされるようにすることが可能な脆弱性です。開発チームは一時的に脆弱性を持つ機能を無効化することで対応し(英語)、問題が修正され次第、機能の提供を再開すると約束しています。

今のところ、Zoom 5.0に恐ろしい欠陥は見つかっていませんが、一つも欠陥がないという意味ではありません。注目を集めているかぎり、弱点を見つけようとする人々は後を絶たないでしょう。Zoomを使用する場合は、アップデートを見逃さないようにして、アップデートが公開されたら速やかにインストールしてください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?