

Zoom の脆弱性が次々と発見される日々が続いているようですが、今日も 1 つだけでなく 2 つも脆弱性が明らかになりました…
The Verge は、セキュリティ専門家のグループがブルートフォース攻撃を使用して、1 日で約 2,400 件の Zoom 会議に関する機密情報にアクセスできたと報告しています。
セキュリティ専門家ブライアン・クレブス氏の新たなレポートによると、セキュリティ研究者らが開発した自動化ツールは、1時間で約100個のZoomミーティングIDを見つけられ、1日のスキャンで約2,400件のZoomミーティングの情報を見つけることができるという。
報道によると、セキュリティ専門家のトレント・ロー氏とカンザスシティを拠点とするセキュリティミートアップグループSecKCのメンバーは、9桁から11桁のZoomミーティングIDを自動的に推測し、それらのミーティングに関する情報を収集できる「zWarDial」というプログラムを作成したという。
ロー氏はKrebs on Securityに対し、zWarDialは1時間あたり約100件の会議を検出できるだけでなく、1つのインスタンスで14%の確率で正当な会議IDを特定できると語った。また、ロー氏がKrebs on Securityに提供したデータによると、zWarDialは1日のスキャンで約2,400件の予定または定期的なZoom会議を検出し、会議のZoomリンク、日時、主催者、議題を抽出した。
その数字は非常に高かったため、Zoom はデフォルトでパスワードを要求するという取り組みが機能していないのではないかと考えるに至った。
昨年末より、アカウント所有者または管理者がオプトアウトしない限り、新規会議のパスワード設定はデフォルトで有効になっています。特定の状況下において、アカウント所有者または管理者と関係のないユーザーが、変更時にパスワード設定をデフォルトで有効にしていなかった可能性があるかどうかを確認するため、特殊なエッジケースを調査しています。
さらに、 The Intercept は、Zoom の暗号化には重大な欠陥があるようだと報じています。
トロント大学の研究者によると、人気が高まっているビデオ会議サービス「Zoom」での会議は、深刻でよく知られた脆弱性を持つアルゴリズムを使用して暗号化されており、会議参加者が全員北米にいる場合でも、中国のサーバーが発行した鍵が使用されることがあるという。[…]
彼らは、Zoomのサービスは「秘密を扱うのに適していない」ため、中国当局に暗号化キーを開示する法的義務があり、当局からの「圧力に応じる」可能性があると結論付けている。
同大学はまた、使用されている暗号化の形式がズームの主張よりも弱く、その弱い標準の実装が特に不十分であることも発見した。
Zoomは、Zoomミーティングは256ビットのAES鍵で保護されていると主張していますが、Citizen Labの研究者は、実際に使用されている鍵は128ビットであることを確認しました。このような鍵は現在でも安全であると考えられていますが、過去10年間で多くの企業が256ビット鍵に移行してきました。
さらに、ZoomはAESの暗号化と復号に電子コードブック(ECB)モードと呼ばれるアルゴリズムを使用していますが、Citizen Labの研究者によると、「この暗号化モードは入力のパターンを保持するため、これは良くないアイデアであることがよく知られています」とのことです。実際、ECBはAESの利用可能なモードの中で最悪のものと考えられています。
Zoomは対応していますが、もしまだ多くの代替手段を使っていないのであれば、Zoomの最新の脆弱性をきっかけに、試してみる価値があるかもしれません。私のテクノロジー系の友人の間では、Wherebyが人気のようです。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。