4/05/2020

Zoomのセキュリティとプライバシーへの影響

シュナイアーのブログより

Zoomは、今日のCOVID-19の世界で選ばれるビデオ会議プラットフォームになってから、ここ数週間で使用が急増しています。(私の大学、ハーバード大学は、すべてのクラスでこれを使用しています。ボリス・ジョンソンは、Zoomで内閣の閣議を開催しました。) 同じ期間に、同社は、お粗末なプライバシーとお粗末なセキュリティの両方を抱えていることが明らかになりました。ここでの私の目標は、すべての問題をまとめ、解決策と回避策について話すことです。

一般的に、Zoomの問題は、(1) 不適切なプライバシー慣行、(2) 不適切なセキュリティ慣行、(3) 不適切なユーザー設定という3つの大きなバケットに分類されます。

最初にプライバシーです。Zoomは個人的な利益のためにユーザーをスパイします。誰もが注意を払い始めてから、これは幾分か整理したようですが、それでもまだあります。

同社は、ユーザー名、住所、メールアドレス、電話番号、仕事情報、Facebookプロフィール情報、コンピューターまたは電話の仕様、IPアドレス、ユーザーが作成またはアップロードしたその他の情報を含む、あなたに関するデータの長いリストを収集します。そして、あなたの利益に反して、利益のためにこのすべての監視データを使用しています。

先月、Zoomのプライバシーポリシーには次の部分が含まれていました。

Zoomは個人データを販売しているのか? 何を「販売する」かの意味に依存します。私たちは、マーケティング会社または他の誰も、支払いと引き換えに個人データにアクセスすることを許可していません。上記の場合を除き、当社はユーザーにサービスを提供する過程で収集した個人データに第三者がアクセスすることを許可していません。当社は、お客様の同意がない限り、当社が取得した個人データを第三者が自らの目的で使用することを許可していません((例えば、マーケットプレイスからアプリをダウンロードする場合など)。従って、私たちの控えめな見解では、その慣行が一般に理解されているように、ほとんどのユーザーが私たちの情報を販売しているとは考えないでしょう。

「『販売』の意味するところに依存します。」「...ほとんどのユーザーは私たちが販売していると見なしているでしょう...」 弁護士が慎重に書いたそのパラグラフは、そうでない振りをしながら、あなたの情報で何でもすることを許可するため、ほとんど何でもできます。「マーケットプレイスからアプリをダウンロード」した人のうち、第三者に個人データを提供することに同意したことを覚えていますか? 私は覚えていません。

Doc Searlsはこれまでずっと、ZoomのWebサイトにある驚くほど多数のサードパーティのトラッカーが存在することや、一般的な貧弱なプライバシー慣行について書いています。

3月29日に、Zoomはプライバシーポリシーを書き直しました

私たちはあなたの個人データを販売することはありません。企業、学校、個人ユーザーを問わず、私たちはお客様のデータを販売することはありません。

[...]

当社では、お客様の会議を含め、サービスの利用から取得したデータを広告に使用することはありません。zoom.usやzoom.comなどのマーケティングWebサイトにアクセスしたときに取得したデータを使用します。お客様が当社のマーケティングWebサイトにアクセスすると、お客様自身のCookie設定を制御できます。

他にもたくさんあります。 それは以前よりも良くなっていますが、Zoomはまだあなたに関する膨大な量のデータを収集しています。そして、ホームページを「マーケティングWebサイト」と見なしているため、サードパーティのトラッカーと監視ベースの広告がまだ使用されていることに注意して下さい。(正直、Zoom、直ちにそれをするのをやめて下さい。)

今はセキュリティです。Zoomのセキュリティは良くても杜撰で、最悪の場合は悪質です。Motherboardは、ユーザーがFacebookアカウントを持っていない場合でも、ZoomのiPhoneアプリがユーザーデータをFacebookに送信していたと報告しました。Zoomはこの機能を削除しましたが、その応答は、一般的な杜撰なコーディング方法を憂慮するべきです。

「私たちはもともとユーザーに当社のプラットフォームにアクセスする別の便利な方法を提供するために、Facebook SDKを使用して、「Login with Facebook」機能を実装しました。しかし、最近私たちは、Facebook SDKが不要なデバイスデータを収集していることに気付かされました」と、Zoomは金曜日の声明でのMotherboardに語りました。

Zoomがセキュリティで杜撰になっていたのはこれが初めてではありません。昨年、研究者はMac Zoomクライアントの脆弱性により、悪意のあるWebサイトが許可なくカメラを有効にできることを発見しました。これは、Zoomがブラウザーのセキュリティ設定をバイパスし、ユーザーの知らないうちに同意なしにユーザーのWebカメラをリモートで有効にするようにサービスを設計したという意図的な設計の選択のようでした。(EPICはこれについてFTCの苦情を提出しました。) Zoomは昨年この脆弱性を修正しました。

4/1に、私たちはZoom for WindowsがユーザーのWindowsの資格情報を盗むことができることを知りました。

攻撃は、Zoomのチャットウィンドウを使用して、ターゲットが使用しているWindowsデバイス上のネットワークの場所を表すテキスト文字列を送信することで動作します。 Windows用のZoomアプリは、これらのいわゆる汎用命名規則文字列(\\attacker.example.com/C$など)を自動的にクリック可能なリンクに変換します。ターゲットが完全にロックされていないネットワーク上のリンクをクリックした場合、ZoomはWindowsのユーザー名に対応するNTLMハッシュをリンクに含むアドレスを送信します。

4/2には、Zoomが人々のLinkedInのプロフィールのデータを密かに表示していたため、一部の会議参加者がお互いを覗き見できることを知りました。(Zoomはこれを修正しました。)

私は、これらの悪いセキュリティ上の決定、杜撰なコーディングミス、そしてランダムなソフトウェアの脆弱性がもっとたくさんあると私は確信しています。

しかし、それはさらに悪化します。Zoomの暗号化はひどいのです。まず、同社はエンドツーエンドの暗号化を提供していると主張していますが、実際は提供していません。リンクの暗号化のみを提供します。つまり、会社のサーバーではすべてが暗号化されません。Interceptより:

Zoomのホワイトペーパーには、「エンドツーエンド(E2E)の暗号化された会議を有効」で始まる会議ホストが利用できる「事前会議セキュリティ機能」のリストが存在します。ホワイトペーパーの後半では、会議の主催者が利用できる「会議中のセキュリティ機能」として「E2E暗号化で会議を保護する」と記載しています。主催者が「サードパーティエンドポイントの暗号化を要求する」設定を有効にして会議を開始すると、参加者がマウスをポイントすると、「Zoomはエンドツーエンドの暗号化接続を使用している」という緑色の南京錠が表示されます。

しかし、ビデオ会議が実際にエンドツーエンドで暗号化されているかどうかについてコメントを求められた際、Zoomのスポークスパーソンは次のように書いています。「現在、Zoomビデオ会議のE2E暗号化を有効にすることはできません。Zoom のビデオ会議は TCP と UDP の組み合わせを使用します。TCP接続はTLSを使用して行われ、UDP接続はTLS接続でネゴシエートされた鍵を使用してAESで暗号化されます。」

また、暗号化の種類についても嘘をついています。4/3に、Citizen Labは報告しました

Zoomのドキュメントでは、アプリは可能な限り会議に「AES-256」暗号化を使用していると主張しています。ただし、各Zoomの会議では、すべての参加者がたった一つのAES-128鍵をECBモードで使用して、オーディオとビデオを暗号化および復号化していることが分かります。ECBモードの使用は、暗号化中に平文に存在するパターンが保持されるため、推奨されていません。

私たちが検証したAES-128鍵は、インターネットトラフィックで傍受されたZoomパケットを復号化するのに十分であり、Zoomサーバーによって生成されたように見え、場合によっては、会議参加者全員、そしてZoomのサブスクライバの会社が中国以外であっても、中国のサーバを経由してZoom会議の参加者に配信されます。

私はAES-128で大丈夫ですが、ECB(電子コードブック)モードを使用することは、会社に暗号について詳しい人が誰もいないことを示しています。

そして、中国とのつながりは気になります。再びCitizen Lab:

Zoomはシリコンバレーに拠点を置く会社で、中国に3つの会社を所有しているようで、少なくとも700人の従業員がZoomのソフトウェアを開発することで給料が支払われています。この取り決めは、表面上は労働裁定取引の努力です。Zoomは、米国の顧客に販売する際に米国の賃金を支払うことを回避できるため、利益率が向上します。ただし、この取り決めは、Zoomは中国当局からの圧力に敏感になるかも知れません。

つまり、政府の要請により、中国のプログラマーがコードにバックドアを入れることができます。

最後に、ユーザー設定が不適切です。Zoomには多くのオプションがあります。デフォルトは素晴らしいものではなく、会議を適切に設定しないと、自分自身がオープンなままとなり、あらゆる種類のいたずらに気を配ることになります。

Zoom爆撃」は最も目に見える問題です。人々は、オープンなZoom会議、授業、イベントを見つけています。それらに参加し、画面を共有して、攻撃的なコンテンツ(主にポルノ)をすべての人にブロードキャストします。あなたが被害者なら、ひどいことであり、参加者が自分の画面を共有することを許可した結果です。

画面共有がなくても、人々はランダムなZoom会議にログインし、それらを妨害しています。Zoomは、誰かが会議を探したり、ランダムに会議IDを試すのを防ぐのに十分なほど、会議IDを長くしていなかったことが分かりました。これは新しいことではありません。チェックポイント・リサーチはこの昨年の夏に報告しました。会議IDを長くしたり複雑にしたりするのではなく(それを行うべきでした)、デフォルトで会議パスワードを有効にしました。もちろん、私たちのほとんどはパスワードを使わないし、Zoomの会議を見つけるための自動ツールが登場しています。

Zoomセッションの安全性を確保するために、Zoomには優れたガイドがあります。簡単なまとめると、必要以上に会議IDを共有しない、会議IDに加えてパスワードを使用し、可能であれば待合室を使用して、誰がどの権限を持っているかに注意を払って下さい。

これまでのところ、Zoomのプライバシーとセキュリティについて分かっていることは以上です。今後数週間および数か月でさらに多くの啓示が期待されます。ニューヨーク司法長官は会社を調査しています。セキュリティ研究者は、ソフトウェアをくまなく調べて、Zoomが行っている他のことを探しており、誰にも教えていません。発見されるのを待っている話はもっとたくさん存在します。

Zoomはセキュリティとプライバシーの大惨事ですが、これまでは比較的あいまいだったため、公的な説明責任を回避すること成功してきました。今、それが注目を浴びているので、すべてが出てきています。(これらすべてに対する4/1の対応はこちらです。) 4/2には、同社はすべての機能開発を凍結し、セキュリティとプライバシーに焦点を当てると述べました。それがPR以上のものかどうかを見てみましょう。

その間、あなたはできる限りZoomをロックダウンするか、もっと良い方法はプラットフォームを完全に破棄する必要があります。Jitsiは、分散型で無料のオープンソースの代替手段です。ここから会議を開始できます。

追加編集: Fight for the Futureはこれにあります

スティーブ・ベロヴィンのコメント

一方で、多くのZoomビデオ録画がインターネット上で利用できます。この記事には、彼らがどのようにそこに到達したかについての有益な詳細は書かれていません。

ポスト紙が閲覧したビデオには、1対1のセラピーセッション、テレヘルス通話を行う労働者のためのトレーニングオリエンテーション(人々の名前と電話番号が含まれている)、中小企業の会議(民間企業の財務諸表が含まれている)、小学校の授業で子供たちの顔や声、個人情報が暴露されているものなどが含まれていました。

多くのビデオに、個人を特定できる情報や、人々の自宅で録音された親密な会話が含まれています。その他の動画には、エステティシャンがブラジリアンワックスの塗り方を生徒に教える動画など、裸を含む動画もあります。

[...]

ビデオの多くは、バケットと呼ばれる保護されていないAmazonストレージスペースのチャンクにあり、ウェブ全体で広く使用されています。Amazonバケットはデフォルトでロックダウンされていますが、多くのユーザーは、誤って、または他の人とファイルを共有するために、ストレージスペースを一般に公開しています。

追加編集(4/4): ニューヨーク市は、学校でのZoomの使用を禁止しました

Darling Fireball