Web会議サービスZoomに対し複数の脆弱性があるとの指摘、暗号化への懸念の声も 66
ストーリー by hylom
いきなりクライアントをインストールさせるのはやばいでしょ 部門より
いきなりクライアントをインストールさせるのはやばいでしょ 部門より
Anonymous Coward曰く、
新型コロナウイルスの感染拡大による外出自粛を受けて、オンラインでのミーティングを行えるビデオチャットサービスが注目されている。その1つに「Zoom」があるが、このZoomに対しセキュリティ面での懸念の声が出ている。
その1つに、通信内容の暗号化に関するものがある。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド(E2E)で暗号化されると明示されているものの、The Interceptによると、実際にはエンドツーエンドでの暗号化は行われていないという(ITmedia、Slashdot)。
エンドツーエンド暗号化の定義としては、暗号化された情報を復号できる鍵は利用者(クライアント)のみが所有することになっている。しかし、Zoomのビデオ会議はTCP接続ではTLSを使い、UDP接続ではTLS接続でネゴシエートされたキーを使ってAESで暗号化していると答えた。これではエンドツーエンド暗号化の要件には当てはまらないことになる。
また、これ以外にもWindows版のクライアントには悪意のあるリンクをチャット画面に送信することで接続情報を奪うことができるという脆弱性が存在するという話や(Business Insider)、Mac版クライアントでは攻撃者が外部から管理者権限を取得できる脆弱性や、利用者の同意なしにカメラやマイクへのアクセス権を取得できるという脆弱性も存在するという(TechCrunch、ITmediaの別記事)。
権限設定も重要 (スコア:1)
脆弱性は順次対応してくれるんでしょうけど、設定しっかりしておかないと
変な人、入ってきてアヤしい動画ながされたりするようですね
https://jp.techcrunch.com/2020/03/18/2020-03-17-zoombombing/ [techcrunch.com]
Re: (スコア:0)
https://f-secure.videosync.fi/cyber-security-covid-19?seek=557 [videosync.fi]
セキュリティリサーチャーからもzoomのコンフィグについて
啓蒙の情報発信が始まっているみたいですね。
とりあえずパスなしでID公開して誰が入ってくるかもわからない
ような状態だけは最低限回避した方がよいでしょう。
Re: (スコア:0)
結局暇人のおもちゃにされてるじゃんw
急にラップ曲を大音量で流したり、ランダムな会議に参加して汚い言葉で妨害とかw
Zoom Trolling
https://www.youtube.com/playlist?list=PLJX1zLAUVVRLmN36H1zFxTLXHywgoZ7Zl [youtube.com]
Re: (スコア:0)
15年前のSkypeを思い出すな
// インターネット老人会
Re: (スコア:0)
NetMeetingやるって!?
1996年ぐらいに見知らぬ人とオンラインでつながって〇Xマルペケした。
Re: (スコア:0)
俺Internet Magazine創刊号のCU-SeeMe座談会に載ってるんだ
エンドツーエンド暗号化の要件には当てはまらない? (スコア:0)
TLSの暗号化そのものも「セッション鍵」という「ネゴシエートされたキー」を使って暗号化しますし、類似技術であるSIP+SRTPもINVITEリクエスト(もしくはそれに対する200 OKレスポンス)でSRTPの鍵をやりとりします(RFC-4568, INVITEそのものはTLSで暗号化します)。
どこらへんが「エンドツーエンド暗号化の要件には当てはまらない」んでしょうか?
Re:エンドツーエンド暗号化の要件には当てはまらない? (スコア:4, 参考になる)
参加者とZoomのサーバの間の暗号化(Zoomはこれをエンドツーエンド暗号化と呼んでる)はされてても参加者と参加者の間が全部通しで暗号化(The Interceptはこれをエンドツーエンド暗号化と呼んでる)されてるわけじゃない。好きな方の定義を選んで。
あと、SIP+SRTPでThe Interceptの言うエンドツーエンド暗号化された会議をやろうとするとメッシュ状に暗号化したセッションを張らなきゃいけないので大規模なのは大変。
Re: (スコア:0)
なるほど
サーバーとユーザーの間しか暗号化出来ていないってタレコミに書かなきゃ何を言いたいのか分からんよね
Re: (スコア:0)
分からなかった時点でなぜソースを読まずに脊髄反射で書き込むのかが分からない。
知らん (スコア:1)
分かりませんでした!
それにしても注目アプリだからこそこうやって解析されちゃうし、
これからどんどん良くなるんでしょうね。
Re: (スコア:0)
それはない。
Re: (スコア:0)
いやわかんなかったな。
TLSはE2E暗号化だし
何言ってんだコイツと思ったわ
全参加者でメッシュで通信なんか少し数増えたら現実的じゃないし想像してなかった
富豪度が足りんなぁ
Re:エンドツーエンド暗号化の要件には当てはまらない? (スコア:1)
> 全参加者でメッシュで通信なんか少し数増えたら現実的じゃないし想像してなかった
会議用セッション鍵を開催者が生成し、個別参加者と 1:n で公開鍵暗号使った
鍵交換すれば、全参加者でセッション鍵を共通しつつ、E2E暗号化が実現できるから、
全然実現可能だと思う。
Re: (スコア:0)
鍵の問題じゃなくて通信量の問題。
Re:エンドツーエンド暗号化の要件には当てはまらない? (スコア:1)
通信自体は今までと方式を変えずに、今まで通りにできるでしょ。
暗号化ストリーム通信を中継するだけだし。
サーバで参加者のビデオをとりまとめて再圧縮してると通信量は減りそうだけど、
劇的な高価はない割に、計算量は馬鹿にならなそうだし。
通信トポロジの話は(今回関係ないと思うけど)むしろハブアンドスポークだと中央のサーバのところが
ボトルネックになるので、工夫すればP2Pのほうが早いとかって話なかったっけ?
Re: (スコア:0)
zoom使ったことないでしょ?
使ったことあるんなら、
> 暗号化ストリーム通信を中継するだけだし。
で済まないことがわかるはず。
何千台とはいわんからせめて数台つないで、それぞれで資料共有したり、ミュートしたり、喋ったり、帯域を変化させたりしながら通信量の変化を見ると、細い回線でも快適に会議ができるようにサーバ側が細かな制御をしてるのがわかるはず。
Re:エンドツーエンド暗号化の要件には当てはまらない? (スコア:2)
通信量に真っ先に気が行くのは老人なんですかね
10人の会議なら10倍、100人なら倍ですよ
ちょっとなぁ
Re: (スコア:0)
TLSはクライアント-サーバ間のE2Eだけど、ビデオ会議のようなクライアント間の通信でE2Eといえばサーバでも復号できないものを指すのが普通。
なぜならこの場合のサーバは「エンド」ではなく中継者だから。
Re: (スコア:0)
まあ、この話を読む人がどういう前提を持っているか、それだけの話。
あなたの「普通」は、ほかの人にとっての「普通」とは限らない。
知識などの前提が違えば、読み解き方も異なってくる。
だから単に不足している前提を補えば良いだけなのに、余計な一言を書くから印象が悪くなる。
で、ZOOMはP2Pではなく間に入るサーバをZOOM社が提供しているんでしょうか。
この前提があれば、E2Eの定義には確かにはまらないですね。ただそれが実用上セキュアかどうかは、また別の話かと。
Re: (スコア:0)
P2Pではない限り、「クライアント-サーバ間のE2E」をE2Eと主張するのは詐欺に近く、普通は「通信路暗号化」といいますな。
今のご時世、通信路暗号化すらしないのは論外に近いので、ようするにZoomは暗号化に関しては特筆するようなことはしていません、という認識でよいかと。
Re: (スコア:0)
正直なるほどと思った。クライアントサーバーのイメージに浸かり過ぎているのかな。
Re: (スコア:0)
だから (#3790483)にとっての「普通」が、多くの企業にとっては許容できないリスクであるという話でしょ。
中継するサーバなんて信用できないとするのが鉄則なんだから。
Re: (スコア:0)
君にとっての「鉄則」はそうなんだろうね。
Re: (スコア:0)
一人暮らしの在宅勤務中だけど、ショルダーハッキングされたい。
Re: (スコア:0)
Zoomの場合、有料版の大きな機能として
「クラウドレコーディング」(会議の内容をZoomが提供するクラウド上のスペースに録画する)があるんで、
最初からZoomサーバー自身がクライアントとしても動作しないといけないってのもあるなあ。
Microsoft Teamsか (スコア:0)
Skype、Google使えよ…
Re:Microsoft Teamsか (スコア:1)
Skype for Business は Teams に置き換えられちゃうわけだけど……
Re: (スコア:0)
SlackだろJK
# とはいいつつ、Zoomのバーチャル背景は汚い部屋さらさなくていいから魅力的
Re:Microsoft Teamsか (スコア:2)
使ったことないんで効果はわかりませんが。
Re:Microsoft Teamsか (スコア:1)
Teamsは上司がポテトになる機能があるらしいですね。
Re:Microsoft Teamsか (スコア:1)
// 何度見ても笑える…
Re: (スコア:0)
バーチャル背景は背景が単一色でないとうまくいかないからうちの汚部屋では無理だ。
Re: (スコア:0)
ログイン無しでurl送るだけという手軽さがウケたんだろうなあと
web会議危険論を振りかざして (スコア:0)
さあ出社する準備をするんだ
Re:web会議危険論を振りかざして (スコア:2)
その前に、稟議書に印鑑を。
Re: (スコア:0)
そうだFAXで会議しよう!
Re: (スコア:0)
伝書鳩...
Re: (スコア:0)
RFC1149ですか
Re: (スコア:0)
(中指を立てて)FAX you!
Re: (スコア:0)
中指で送信ボタンを押す人は珍しいかもしれない
Re: (スコア:0)
ごめん。
人差し指だと思ったところに押せないのよ。
覇権アプリになるための試練 (スコア:0)
・エンドツーエンド暗号化ではない
⇒クラウドツーエンド暗号化である、Zoom側を信頼できなければ使えないという話。
課題ではあるが、クラウドアプリのほとんどに当てはまる課題でもある。
・悪意のあるリンクをチャット画面に送信することで接続情報を奪う
⇒\\sample.com\hoge\fuga というハイパーリンクを踏ませて、ドメインにあたる
サーバにwindowsの認証情報を送信させる手口のこと。
ハイパーリンクを生成することが脆弱性にあたるとの指摘。
ハイパーリンクがなくてもそもそも知らないサーバにアクセスに行っちゃだめ。
覇権アプリ化が進んできたせいでいろいろ出てきてますけど、冷静に対処してほしいですね。
他のアプリにしてもたたけばいろいろあると思うので、ここでしっかり対応できれば
逆境がプラスになるでしょう。
Re:覇権アプリになるための試練 (スコア:1)
指摘の中にはその辺も含めて「言いがかり」に近い部分もあるんですが、それらも含めて
https://www.itmedia.co.jp/news/articles/2004/03/news066.html [itmedia.co.jp]
謝罪と新機能の開発を全て止めての修正を約束し、既に幾つかは修正済みとのことなので、頑張って欲しいですね。
#しかし昨年末で約1000万ユーザーから3月時点で2億にまで増加って、インフラ担当的には悪夢としか言いようがない……。
Re: (スコア:0)
大ヒットしてサーバーの利用料がものすごいことになってしまったらしい
Cookie Clickerを思い出してしまった
Re:覇権アプリになるための試練 (スコア:1)
Re: (スコア:0)
この手のチャットアプリでエンドツーエンド暗号化って言ったら運営に盗聴されないことを意味してるから。
詐称していることが問題なわけで実装されていないことが問題じゃないんだよね。
なんでもかんでもTLS化してる時代にクライアント-サーバー間だけ暗号化してエンドツーエンド暗号化とか言って特徴になるとか思ってる時点でセキュリティリテラシが無い企業と言って良い。
Re: (スコア:0)
それが、Zoomはビデオチャットアプリでもテレビ電話アプリでもないんだよなあ……。
会社概要 (スコア:0)
この手の会社にありがちな、「公式Webなのに会社概要かそれに類するモノがさっぱり見当たらない」ですね。
よくこういう所のサービス仕事で使おうと思うなぁと関心。感心。奸臣。
Re:会社概要 (スコア:1)
// 勧進