Zoomのセキュリティへの取り組みがあなたにとって何を意味するか

人気の会議プラットフォーム ズーム との和解の一環として、セキュリティ慣行を強化しています 米国連邦取引委員会（FTC）、セキュリティのレベルについてユーザーを誤解させたという政府機関の主張に続いて。

ズームはわずか数か月で一般的な名前になり、パンデミックにより対面での会議が厳しく制限されたため、世界はビデオ会議プラットフォームに目を向けています。 しかし、FTCの苦情は、Zoomが「ユーザーのセキュリティを損なう一連の欺瞞的で不公正な慣行に従事した」と主張しました。

これは、プラットフォームが エンドツーエンド暗号化を使用しない マーケティングの主張にもかかわらず。 Zoomは、その間に他のセキュリティ問題も確認しました 人気の上昇、歓迎されない参加者が「ズーム爆撃。」FTC和解の一環として、Zoomは「包括的なセキュリティプログラム」の実装に取り​​組んでいます。

「パンデミックの間、家族、学校、社会集団、企業など、事実上すべての人がビデオ会議を使用してコミュニケーションをとっています。 これらのプラットフォームのセキュリティをこれまで以上に重要なものにしている」と語った。FTCの消費者保護局の責任者であるアンドリュー・スミス氏。 言う 代理店のプレスリリースで。

「Zoomのセキュリティ慣行はその約束と一致していませんでした。このアクションは、Zoomの会議とZoomユーザーに関するデータを確実に保護するのに役立ちます。」

政府による精査

FTCの苦情は、Zoomがいくつかのセキュリティ関連の問題についてユーザーを誤解させたと主張しています。その中で最も重要なのは、エンドツーエンドの暗号化に関する主張に関連しています。

Zoomは、2016年以来Zoom通話にエンドツーエンドの256ビット暗号化を提供すると主張していますが、実際にはより低いレベルのセキュリティを提供していました。 エンドツーエンド暗号化が有効になっている場合、通話またはチャットの参加者のみが交換される情報にアクセスできます。Zoom、政府、またはその他の関係者はアクセスできません。

さらに、苦情は、Zoomが一部のユーザーにすぐに暗号化することを伝えたときに、記録された暗号化されていない会議を最大60日間サーバーに保存したと主張しています。

もう1つの問題は、ZoomOpenerと呼ばれるMacソフトウェアに関連しています。これは、Zoomを削除してもユーザーのコンピューターに残り、ハッカーに対して脆弱になる可能性があります。 「このソフトウェアはSafariブラウザのセキュリティ設定をバイパスし、ユーザーを危険にさらしました。たとえば、許可された可能性があります。 コンピューターのウェブカメラを介してユーザーをスパイする見知らぬ人」とFTC消費者教育スペシャリストのAlvaroPuig氏は説明します。 で ブログ投稿.

ズームの応答

ズームは最近FTCの苦情を解決したばかりですが、同社は次のように述べています。 ライフワイヤー 問題に「すでに対処している」ことをメールで。

「ユーザーのセキュリティはZoomの最優先事項です」と同社の広報担当者は語った。 ライフワイヤー メールで。 Zoomは、FTCの主張に対応するために、4月に90日間の計画を開始するなど、いくつかの措置を講じました。 100以上の機能を生み出しました プライバシーとセキュリティに関連しています。

Zoomは、5月にKeybaseという会社を買収したことで可能になった、エンドツーエンドの暗号化を10月下旬に導入しました。 エンドツーエンドの暗号化は、Zoomが「テクニカルプレビュー」モードと呼んでいるモードのままであり、Zoomのサーバーは暗号化キーにアクセスできないと同社は述べています。 現在のところ、ホストおよび小会議室の前に会議に参加する機能など、一部の機能はエンドツーエンド暗号化モードで制限されています。

Zoomのエンドツーエンド暗号化の使用方法

アラバマ大学バーミンガム校のコンピュータサイエンス教授であるNiteshSaxenaは、Zoomの取り組みは 真のエンドツーエンド暗号化システムを実装することは「正しい方向への一歩」ですが、まだあることに注意してください やらなければならないこと。

「ユーザーがZoom通話に要求するレベルのセキュリティを実際に提供するには、対処する必要のある重要な問題があります」と彼は言います。

Zoomのセキュリティを幅広く研究しているSaxenaは、エンドツーエンドの暗号化方式のセキュリティは最終的には依存していると述べています 会議参加者の暗号化キーを検証するために使用されるプロセスについて（盗聴者を 電話）。

この場合、ユーザーは会議を開始する前にこれを自分で確認します。 エンドツーエンド暗号化プロトコルのZoomの最初のフェーズで、会議の主催者は39桁のコードを読み取ります。 他の人はチェックする必要があります 画面に表示されます。

サクセナと彼のチームによる調査によると、このアプローチは ヒューマンエラーが発生しやすい可能性があります 誰かが注意を払っていないために、一致しないコードを誤って受け入れたり、プロセスを完全にスキップしたりした場合。

また、会議の主催者と参加者は、デフォルトではオンになっていないため、会議を開始する前にエンドツーエンドの暗号化が有効になっていることを確認する必要があります。 Saxenaの調査によると、Zoomが使用している数値コードの種類も 特定の種類の攻撃.

そのため、Zoomユーザーは、プラットフォームがFTCの苦情によって提起された主要なセキュリティ問題にすでに対処しており、エンドツーエンド暗号化の第1フェーズを提供していることにある程度の安心感を感じることができます。 ただし、会議の参加者は、新しいエンドツーエンド暗号化モードを正しく使用することに注意する必要があります 最初のコード検証プロセスの時間になると、特別な注意を払う必要があります 電話。