Havebin

Apps

セキュリティ向上のため、Zoomの侵入テストを実施c

Havebin
qlamk
0 Comments
セキュリティ向上のため、Zoomの侵入テストを実施c
セキュリティ向上のため、Zoomの侵入テストを実施c
Zoom侵入テストの委託

人気のビデオ会議サービスであるZoomは、同社のモバイルアプリとデスクトップアプリで一連のセキュリティとプライバシーの問題が発見されたことを受けて、Zoomの侵入テストを委託した。

Zoom の問題は、コミュニケーション不足、不確かなマーケティング、ルール違反、そして実際のセキュリティホールが複雑に絡み合ったものだった…

背景

私たちは最近、ほとんどの問題について概説しました。

Zoomは、セキュリティよりも使いやすさを優先するという意図的な決定を下しました。これは、ほとんどのユーザーにとってこのアプローチが合理的であることを認識していたためです。また、希望するユーザーには、より高度なセキュリティも提供しました。

例えば、ある批判として、同じ主催者が主催するすべての会議はデフォルトで同じ会議ID、つまり同じ参加リンクを持つという点が挙げられます。つまり、あなたの会議に参加したことのある人は、もう一度同じリンクを試すことで、現在進行中の会議に参加できてしまうということです。確かにその通りですが、主催者は必要に応じて会議固有のID(つまりリンク)を作成することができます。

会議にパスワードがないという批判もあります。これもデフォルトでは設定されていますが、パスワードを設定するオプションがあります。

つまり、Zoomのデフォルト設定は、実質的には会議の開催を非常に簡単にする一方で、セキュリティホールがいくつかある、ということになります。実際には、家族や友人との平均的なバーチャルミーティングにおいては、大きなセキュリティホールにはなりません。なぜなら、悪意のある人物が参加しようとする動機があまりなく、参加者数が少ないため、見知らぬ名前の参加者はすぐに見破られるからです。それでもなお、Zoomは新規ユーザーに対してこれらの点を警告し、より安全なオプションを目立たせるべきです。

3つ目の批判は、Zoomの通話がエンドツーエンドの暗号化を採用していないという点です。これは珍しいことではありません。ほとんどのビデオ会議アプリは、使いやすさを損なうことなくエンドツーエンドの暗号化を導入するのが非常に難しいため、採用していません。しかし、問題なのは、Zoomのマーケティング資料にこの点に関する虚偽の記載があることです。同社はエンドツーエンドの暗号化を提供していると主張していますが、実際には提供していません。

他にも否定できないほど悪いものがあります。

例えば、Zoomはブラウザセッションを容易にするために、非常に怪しい方法を採用していました。その結果、Zoomアプリを削除しても、ウェブサイトがMacのウェブカメラを起動できる可能性がありました。これは修正されましたが、そもそもZoomはそのようなアプローチを取るべきではありませんでした。

ZoomはFacebook APIも使用しており、このAPIはデータをサービスに送信していました。多くのアプリがFacebookアナリティクスを使用していますが、Zoomはプライバシーポリシーでこれを明記していなかったため、規則に違反していました。これも修正されました。

しかし、そうするやいなや、別の脆弱性が発見されました。

同社のCEOはブログ投稿でこれに応え、同社がすでに講じた措置と今後講じる予定の措置の概要を説明した。

これまでに講じられた措置の箇条書きのリストには、セキュリティを強化する方法に関するブログ投稿、iOS アプリから Facebook SDK を削除すること、教育ユーザー向けのセキュリティ ガイド、教師のみが画面を共有できるようにする、エンドツーエンドの暗号化の使用に関する誤解を招く記述を訂正することなどが含まれています。

同社はその後、今後90日間の計画を発表した。

  • 機能の凍結を即時実施し、すべてのエンジニアリング リソースを、信頼性、安全性、プライバシーに関する最大の問題に集中させるようにします。
  • サードパーティの専門家や代表的なユーザーと包括的なレビューを実施し、すべての新しい消費者ユースケースのセキュリティを理解し、確保します。
  • データ、記録、またはコンテンツの要求に関連する詳細情報を記載した透明性レポートを準備します。
  • 現在のバグ報奨金プログラムを強化します。
  • 業界全体の主要な CISO と提携して CISO 協議会を立ち上げ、セキュリティとプライバシーのベストプラクティスに関する継続的な対話を促進します。
  • 一連のホワイト ボックス侵入テストを同時に実施して、問題をさらに特定し、対処します。
  • 来週から、毎週水曜日午前 10 時 (太平洋標準時) にウェビナーを開催し、コミュニティにプライバシーとセキュリティの最新情報を提供します。

「ホワイト ボックス」侵入テストとは、脆弱性が特定される可能性を最大限に高めるために、セキュリティ研究者に企業の IT 設定とアプリのソース コードに関する完全な情報を提供することを意味します。

それでも安心できない場合は、Zoom に代わる 10 の提案をご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

ドックウェーブ USB C Qi 充電器

Havebin

Havebin

This author has no bio yet.

You May Also Like