Zoomがエンドツーエンド暗号化の第1フェーズを来週公開

次の記事

垂直農園による果物や野菜の室内栽培を手掛けるPlentyが約147億円を追加調達、累計調達額は約526億円に

Zoom(ズーム)は米国時間10月14日、同社のビデオ会議プラットフォームのユーザーにエンドツーエンド(E2E)暗号化を来週から提供すると発表した(Zoomリリース)。

新型コロナウィルスの感染拡大によるリモートワーキングとリモート交流のブームに強く後押しされた同社のプラットフォームは4月に、実際には実装していなかった(The Intercept記事)E2E暗号化を実装しているという誤解を招くうたい文句を発して以来、地に落ちたセキュリティーとプライバシーの評価を取り戻すべく取り組みを続けてきた。そしてついにE2Eが一歩前進した。

「来週からZoomのエンドツーエンド暗号化(E2EE)のテクニカルプレビューを提供できることを謹んで発表いたします。これは最初の30日間にユーザーのみなさんからのフィードバックを積極的に受け付けるものです」と同社はブログに書いた。「世界中のZoomユーザーは、無料有料にかかわらず、Zoom上のE2EEミーティングで最大200名をホストすることが可能で、プライバシーとセキュリティーの向上したZoomセッションを利用できます」。

5月にZoomはKeybaseの買収を発表し、「最も広く使われているエンタープライズ向けエンドツーエンド暗号化サービスを目指す」と当時語っていた(Zoomリリース)。

しかし、当初CEOのEric Yuan(エリック・ヤン)氏は、このレベルの暗号化は有料ユーザーにのみ提供するつもりだと説明していた。その後、批判の嵐(未訳記事)受けた同社は素早いUターンを見せ、6月には有料・無料に関わらず全ユーザーに最高レベルのセキュリティーを提供すると発言した。

10月14日にZoomは、無料・ベーシックのユーザーでE2EEを利用したい人は、1回限りの認証手続きを受ける必要があることを発表した。そこではテキストメッセージによる電話番号の確認などにより追加の個人情報の提供を依頼され、これは「悪用アカウントの大量作成」を防止するための方策だと同社は説明している。

「当社は、現在使っている複数の取組み(人権や子供の安全を守る組織との共同作業、ユーザーによるミーティングのロックダウン、悪用の通報、その他当社のセキュリティー思想の一環として提供されている数多くの機能を含む)に加えてリスクベース認証行うことで、ユーザーの安全性向上の取組みを続けることができます」とブログに書かれている。

来週公開されるテクニカルプレビューは、E2E暗号化を同プラットフォームに搭載する4段階あるプロセスの第1フェーズにあたる。

このためいくつか制限がある。具体的には、ホストの前に参加、クラウドレコーディング、ストリーミング、ライブトランスクリプション、ブレイクアウトルーム、ポーリング、1対1プライベートチャット、およびミーティングリアクションが利用できない。また、ミーティングに参加できるクライアントが、フェーズ1ではE2EEミーティングの参加者全員がZoomデスクトップクライアントかモバイルアプリかZoom Roomsを使う必要があるという制約を受ける。

Zoomのブログによると、E2EEの次期フェーズは「個人認証の改善とE2EE SSOの統合」を行い、「暫定的に」2021年に予定されている。

来週以降、テクニカルプレビューを試してみたいユーザーはアカウントレベルでE2EEを有効にしたうえで、ミーティングごとにE2EEにオプトインする必要がある。

なお、E2EEミーティングに参加するためには、参加者全員がE2EE設定を有効にする必要がある。ZoomのFAQには「ホストは、アカウント、グループ、およびユーザーレベルでE2EE設定を有効にすることが可能で、アカウントまたはグループレベルでロックすることができる」と書かれている。

AES 256ビットGCM暗号化は現在Zoomが使用しているものと同じだが、それに公開鍵暗号化が加えられる。これは、鍵はミーティングホストによってローカルに生成されてから参加者の配布され、Zoomのクラウドは鍵生成に関わらないという意味だ。

「Zoomのサーバーは無関心なつなぎ役となり、ミーティング内容の復号に必要な暗号鍵を見ることは一切ありません」とE2EEの実装について説明している。

自分がE2EE Zoomミーティングに参加しているかはどうかどうやって確認するのか。ミーティング画面左上のグリーンの盾アイコンの上に暗い南京錠が表示される。なお、Zoomの標準GCM暗号化の場合はここがチェックマークになる。

ミーティング参加者には、ミーティングリーダーのセキュリティーコードも表示される。これを使ってミーティングが安全であることを確認できる。「ホストはこのコードを声に出して読むことで、参加者は自分のクライアントに同じコードが表示されていることを確認できます」とのこと。

関連記事:Zoomがイベントプラットフォーム「OnZoom」とアプリを統合する「Zapps」を発表

カテゴリー:ネットサービス
タグ:Zoom

画像クレジット:RJ Sangosti / Contributor

[原文へ]

(翻訳:Nob Takahashi / facebook