
Zoomのセキュリティは大丈夫?
Zoomのセキュリティは大丈夫なのか?と一時言われていましたね。
中でも下記2点については世界的に批判をあびてエリック・ユアンCEOは謝罪しました。
・E2EE(エンドツーエンド)の暗号化をしていないのに、していると表現していた。
・AES256-ECBモードを利用していた。
これらの問題から、Zoom自体セキュリティの素人ではないか?とい った声も上がりましたがエリックCEOの手腕により、謝罪した1ヶ月後にZoomのVer5.0よりAES256-ECBモードからAES256-GCMモードに変更を採用しました。
そして、エンドツーエンド暗号化とクラウドストレージのシステムを開発するKeybaseを買収して2020年10月にはE2EE(エンドツーエンド)の暗号化対策も実施します。
90日間は新機能等の開発はせずセキュリティ問題に集中する、と言い切り実行しました。
この会社のCEOであり創業者のエリック・ユアン氏は一日のうち、顧客に対する会話を50%以上おこない、更に課題や改善策を常に検討してるとか。ホント、この姿勢とスピード感は素晴らしいですよね。
そんなZoomが採用した二つのセキュリティ技術について解説していきます。
そもそも暗号化技術って?
そもそも、暗号化技術ってなんぞや?ってことを説明しておきます。
みなさんが日頃利用しているテキストを例にしてみましょう。
暗号化前:こんにちは
暗号化後:3&¥#&717¥6
復号化後:こんにちは
※暗号化を解くことを復号化といいます。
とまぁ、こんな感じです。暗号化をかける際に特定の条件(鍵)を使って暗号化処理をして、また、同じ様な条件を使用して鍵を使って復号化するわけです。
こうすることで、第三者に不正に見られることがないようにします。
AES256-GCMとは?
暗号化技術には、大きく分けて二つの方式があります。暗号化技術とはデータの改ざんや盗み見などをされないようにする技術です。
そんな暗号化方式には大きく分けて2種類の方式があります。
共通鍵暗号化
公開鍵暗号化
詳細は細かくなるので割愛しますが、今回、Zoomで使用したのは共通鍵暗号化方式の中でも強固なセキュリティ技術、AES256暗号化方式を採用しました。
AES暗号化方式とは、アメリカ国立標準技術研究所(NIST)と呼ばれる超絶頭の良い人たちが集まった政府機関の中で公募をした結果2000年に採用された技術です。
ただ、このAES256の中でもECBとGCMといった2つのモードがあります。Zoomがセキュリティについて騒がれていたときはECBモードを利用していました。このECBモードが問題だったんですよね。
ECBモードはすでに1990年代頃から脆弱性の問題が示唆されていました。そんな脆弱性のあるセキュリティシステムをメインの会議システムに使用していること自体問題なわけです。
でもって電話システムには脆弱性の高いAES128-ECBモードを使用していたわけで、、、。
これはまずい、ということで全てのシステムに対して、強固な暗号化方式であるAES256-GCMに変更したってわけです。
E2EE(エンドツーエンド暗号化)とは?
続いてE2EEについてです。
エンドツーエンド暗号化([英語]: End-to-end encryption, E2EE、E2E暗号化)とは、暗号化を使用する利用者のみが鍵を持つことで、サービスの管理者、インターネットサービスプロバイダ、その他第三者が勝手にデータを復号することを防ぐ技術である。これにより、[インターネット]を経由して送受信しているデータを途中で傍受されたり、サーバに保存中のデータを盗まれても、復号が事実上不可能になり、[プライバシー]と[セキュリティ]が保護できる
引用:ウィキペディア エンドツーエンド暗号化
つまり、会議者同士がE2EEを利用することで、当事者どうしで暗号化したデータをやり取り(複合化)します。そのため、Zoom社内の管理者や技術者もやり取りを見ることはできなくなりセキュリティはより強固になります。
今回のリリースは機能搭載4段階ある機能の第一フェーズです。そのため、E2EEをONにすると多くの機能が利用できなくなります。ちょっと実用的ではないかもしれません。
この設定を有効にすると次の機能が無効になります。
- ホストが参加する前に参加
- クラウド録画
- ストリーミング
- ライブトランスクリプション
- ブレイクアウトルーム
- 投票
- 1:1 プライベートチャット
- リアクション
詳細はZoomヘルプセンターのリンクをご参照ください。
Zoomヘルプセンター End-to-end (E2E) encryption for meetings
また、本機能は当初有償サービスのみに割り当てる予定でしたが、無償サービスにも対応するとのことです。
まとめ
主に暗号化に関して時系列にまとめてみます。
4月:Zoomのセキュリティに問題ありと世界中から非難されました。エリック・ユアンCEOは謝罪し、90日プランという計画を立ててセキュリティの製品開発を最優先にする、と即行動にうつします。
5月:AES256-GCMの対応を急ぎZoom Ver5.0を5月にリリース。全機能にAES256-GCMを適用しいます。
6月:E2EEのシステム開発を行なっているKeybaseを買収します。
10月:いよいよE2EEのフェーズ1の提供を開始。
素晴らしいスピード感ですよね。使いやすさとスピード感、さらに強固なセキュリティが兼ね備えれば鬼に金棒!これからのZoomにますます期待です!