本日公開された新しいブログ記事で、Zoomが暗号化メッセージとファイル共有に特化した25名のスタートアップ企業Keybaseを買収したことが発表されました。これはZoomにとって初の買収となります…

Zoomは、マーケティング資料でZoomのビデオ通話がエンドツーエンド暗号化を使用していると虚偽の主張をしていたことが明らかになり、問題に直面しました。実際には通話は暗号化されていますが、鍵はZoomが保有しているため、社内のスパイやハッキングの脅威にさらされています。

これに加え、新型コロナウイルスによるロックダウンによって同社の人気が予想外に急上昇したことから、セキュリティ研究者はアプリとプラットフォームをより綿密に調査することになり、複数の脆弱性が発見されました。これらの脆弱性には、同じ会議IDの再利用、デフォルトでパスワードが不要なこと、Macでウェブカメラへのアクセスを有効にする方法の不備などが含まれていました。

その結果、多くの企業や政府が Zoom の使用を禁止または推奨しなくなりました。

しかし、Zoomは適切な対応を示し、アプリのメジャーバージョンアップで新たなセキュリティとプライバシー機能を提供し、より安全な会議をデフォルト設定にしました。以前は、プライバシーよりも使いやすさを優先していたため、セキュリティ機能はデフォルトで無効になっていました。

Zoomは本日のブログ投稿で、買収の目的はエンドツーエンドの暗号化に移行することだと述べた。

現在、Zoomクライアント（Zoom Rooms、ノートパソコン、Zoomアプリを実行しているスマートフォンなど）間でやり取りされる音声および動画コンテンツは、送信側の各クライアントデバイスで暗号化されています。コンテンツは受信者のデバイスに到達するまで復号化されません。最新のZoom 5.0リリースでは、Zoomクライアントは業界標準の256ビット鍵を用いたAES-GCMによるコンテンツ暗号化をサポートするようになりました。

ただし、各会議の暗号化キーはZoomのサーバーによって生成されます […] 互換性よりもプライバシーを優先したい主催者のために、新しいソリューションを作成します。

Zoomは、すべての有料アカウントにエンドツーエンド暗号化されたミーティングモードを提供します。ログインしたユーザーは、Zoomネットワーク上のリポジトリに保存される公開暗号IDを生成します。このIDは、ミーティング参加者間の信頼関係を確立するために使用できます。ミーティング主催者は、ミーティングごとに一時的な対称鍵を生成します。この鍵は、非対称鍵ペアにエンベロープされた状態でクライアント間で配布され、参加者リストに大きな変更があった場合にローテーションされます。

暗号鍵はホスト側で管理され、ホストのクライアントソフトウェアが会議鍵の受信と会議への参加を許可するデバイスを決定します。また、企業ユーザーがより高度な認証レベルを提供できるようなメカニズムについても検討を進めています。

ただし、エンドツーエンドの暗号化の使用を選択すると、一部の機能が失われることになります。

これらのエンドツーエンドで暗号化された会議では、電話ブリッジ、クラウド録画、または Zoom 以外の会議室システムはサポートされません。

Zoom がコンテンツを復号化できない場合、これらのいずれも実行できなくなります。

Zoomは、5月22日に暗号設計の草案を公開し、コメントを募るとしている。

ソーシャルディスタンスの要請を受け、Zoomはビデオ通話による交渉を通じてKeybaseを買収した。買収条件は明らかにされていない。

havebin.com を Google ニュース フィードに追加します。