IT技術 Zoom セキュリティ ツール・ソフトウェア 暗号化

Zoom が使用するリージョンの オプトイン、オプトアウトを可能に

2020年4月14日

Zoom が、懸念されていた通信時に他国の DataCenter を経由する問題について、新しい方針を出しています。

これまで指摘されてきた Zoom のセキュリティの問題については、先日、以下の記事にまとめました。

今まで起きた問題の中で、アメリカとカナダのユーザーの間で行おうとした通信の共通秘密鍵が、何故か中国のサーバーから提供された事がありました。

もともとは、中国国内と中国国外でサーバーを分けていたはずでしたが、2月の需要増加の際にサーバーを追加した際に設定をミスしたためで、現在は修復済みの状況でした。

一方で、政府関係者や企業で Zoom を使っているユーザーの間に不安が広がり、Zoom の使用を止める動きに加速がかかりました。

今回 Zoom が提示してきた対策は、さらにユーザーが安心して使用できるように、明示的に使用するデータセンターを選択 (オプト・イン)したり、特定のデータセンターを除外(オプト・アウト)できるようになるというものです。

2020/4/18 に Zoom 追加される機能 (データセンターのオプトイン / オプトアウト)

有料アカウントについては、以下の機能を提供する事で、ユーザーが使用するデータ・センターをある程度、制御できるようにするそうです。

  • 特定のデータ・センター・リージョンをオプト・アウトできるようにする。
  • 特定のデータ・センター・リージョンをオプト・インできるようにする。

デフォルトのリージョンは、変更したり、オプト・アウトできないそうです。( デフォルト・リージョンとは、アカウントが作られたリージョンです )

今回の Zoom の対応についての、補則情報

  • Zoom は、Zoom が管理するサーバーとパブリッククラウドの両方を使ってサービスを提供しています。リージョンの選択は、下のレイヤーのリソースの影響があったとしても尊重されます。
  • 無効化されたリージョンの Zoom の Conference Room Connector (CRC) は、ミーティングや Webinar に接続できません。
  • リージョンのダイヤル・イン番号は、リージョンが無効化された時には無効化されます。
  • 現在、Zoom のデータセンターは、アメリカ、カナダ、ヨーロッパ、インド、オーストラリア、中国、ラテンアメリカ、日本/香港 です。
  • 無償ユーザーは、アカウントが作られたリージョンのデフォルトのデータセンターに固定されます。中国外のユーザーは、中国にルートされる事はありません。
  • 中国のユーザー (users based in China) は、管理者が 4/25までに、中国のデータセンターをオプト・インしていない場合、データのトランジットのために中国本土のデータセンターへ接続できなくなります。
  • 中国本土のミーティングサーバーは、中国国外からのユーザーに対しては、ブロック(ジオフォースと呼ばれる)されています。間違って中国に接続される事を防ぐために、4/3に中国の全ての HTTPS トンネルサーバーを削除しました。

Zoom のアーキテクチャーに精通していなので、「Conference Room Connector」 の役割や、「HTTPSトンネルサーバー」の役割がクリアでないのと、中国本土のユーザーは、中国のデータセンターを経由しないで、国外に暗号化通信をできるのかな。というのが気になりました。

2019年9月~11月頃までは Zoom は中国国内から国外への通信が止められ、その後は携帯電話による認証が必用になっていたようです(携帯電話の入手には本人確認が必要なので事実上の個人認証)。

これは Zoomだからというわけではなく中国では定期的に、ISP(Internet Service Provider) 等に調査が入り、海外への通信が厳しくみられ、場合によっては止められます。

全て法律で決まっているからですが、法律の運用のさじ加減は、時期や地域によってムラがあります。上海は緩い。党大会が近いと厳しくなる。等、法律の運用が一定していません。

通常はグレートファイヤーウォールにより、海外ドメインののDNSの名前解決ができなくなったり、必用な要件を満たす事ができなければ (厳しいのだと、中国国内で使っているサーバーのドメインを .cn にしてくださいと言われたり)、国外にサーバーがある場合は、中国国内にサーバーを移すように求められ、中国国内にサーバーを置いている場合でも要件を満たしていないと、通信を止められたりします。

中国政府の権限の及ばない所(つまり国外)にあるサーバーやドメインから中国国内に、コンテンツやデータが送られるようなものは、法律の運用が厳しくなった時にアウトになる可能性があると思った方が良いです。Zoom はまさにこれに引っかかったわけです。そして何らかの検閲を受け入れた事になります。(参考:「グーグルの中国再進出と、「検閲」にまつわるこれだけの課題 」)

Zoom が実際にどのような対応を求められたのかは、Zoom の人しか知る由がありませんが、Zoom の中国からの通信は、通信の個人が特定されるようになったので、ログが取られるようになったと考えるのが自然で、自動で通信内容をキーワードでモニターしている事まで想定する必用があるかなと思います。

Zoom 側は、アメリカとカナダの通話で中国のサーバーが使われた事を、作業ミスと言っていますが、中国国内の Zoomは、中国政府の要請に基づいたカスタマイズが行われているのは事実なので、そのソフトウェアは、完全に別のバージョンとして管理されているのか等の情報が出てこない限りは、政府や企業関係者もう少し様子を見た方が良いかもしれません。同じストリームでコードを管理していた場合、どのリージョンでも簡単に開く事のできるバックドアが入っている可能性も否定できません。

さらに 4/15 の午前 11:30 Pacific Time (日本時間の 4/15 午前 3:30) から、CEO の Eric の公開 Webinar が公開されるようです。

以下のブログの下のボタンから Webinar に登録できます。

 

-IT技術, Zoom, セキュリティ, ツール・ソフトウェア, 暗号化

Copyright© エンジニアの何でもメモ帳 , 2021 All Rights Reserved.