Zoomの暗号の問題

こんにちは、丸山満彦です。

Zoomのセキュリティと プライバシーの課題については、多くの人の注目を集めることになっていますが、暗号に関する話を紹介しておきます。。。

● Citizen Lab (University of Toronto)

・2020.04.03 Move Fast & Roll Your Own CryptoA Quick Look at the Confidentiality of Zoom Meetings

-----

Key Findings

• Zoom documentation claims that the app uses “AES-256” encryption for meetings where possible. However, we find that in each Zoom meeting, a single AES-128 key is used in ECB mode by all participants to encrypt and decrypt audio and video. The use of ECB mode is not recommended because patterns present in the plaintext are preserved during encryption.
• The AES-128 keys, which we verified are sufficient to decrypt Zoom packets intercepted in Internet traffic, appear to be generated by Zoom servers, and in some cases, are delivered to participants in a Zoom meeting through servers in China, even when all meeting participants, and the Zoom subscriber’s company, are outside of China.
• Zoom, a Silicon Valley-based company, appears to own three companies in China through which at least 700 employees are paid to develop Zoom’s software. This arrangement is ostensibly an effort at labor arbitrage: Zoom can avoid paying US wages while selling to US customers, thus increasing their profit margin. However, this arrangement may make Zoom responsive to pressure from Chinese authorities.

-----

ZoomはAES-128の鍵をメッセージの秘匿化に向かないECBモードで利用しているようですね。

開発自体は中国の会社で行われているようですね。

解決にはいろいろと時間がかかりそうな感じですね。。。

【参考】

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.03 Zoom IDを見つけるためのツールは1時間あたり平均110の会議を見つけることができ、入り込む成功率は約14％

・2020.04.02 Zoom関連の脆弱性など。。。

・2020.03.31 FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。