2020年4月19日時点でのZoomセキュリティ問題に対する筆者の見解を3行(ぐらい)でまとめておきます。
なお、筆者はネットワーク・セキュリティの元技術者です。
Zoomセキュリティ問題 概要
色々出ていますが、大きく分けると下記の3種類。
- ZoomBombing(勝手にミーティング部屋に乱入してきて荒らすいたずら行為)
- エンドツーエンド暗号化されていない
- その他脆弱性
ZoomBombing について
対策しましょう。
ミーティングに入る際のパスワード有効に、ホストの前の参加を無効に、入出時ミュートON、あたりを設定すべし。
エンドツーエンド暗号化はされていない について
許容しましょう。
通信路は暗号化されているので安心して。
Zoomのサーバ上で悪意ある人が中を見ようと思えばみられる仕組みになっているので、超機密性の高いことは話さないようにするという運用でカバーしましょう。
その他脆弱性 について
最新アプリを使いましょう。
Windowsの認証情報(の種)が盗まれる可能性などはすでに対策されているので最新版を。
エンドツーエンド暗号化まわりの詳細
下記の記事がとても詳しく説明してくれています。
ざっくりと要約すると、下記のようになります。
セッション鍵 は AES-128 ECB なのでそこまで強くない。
しかもセッション鍵はサーバが生成してそれを両クライアントがTLS通信上でサーバから取得していて、そのサーバが中国のこともあったので怖い。
そもそもE2E暗号化とか謳っていたけど嘘じゃん。
ちなみに、RTPの下にZoom独自トランスポートレイヤがありました。