これはセキュリティー方針の大転換だ。ビデオ会議システムのZoom(ズーム)は、結局エンドツーエンド(E2E)暗号化を、無料ユーザーを含む全ユーザーに提供すると発表した。ただし、無料ユーザーがE2E暗号化を利用するためには、個人認証のために一定の「追加」情報を差し出す必要がある(ショートメッセージを受信できる電話番号など)。Zoomはこれを「乱用の予防と対応のため」に必要なチェックだと言っている。これは、料金を払わなければE2Eはないとしていた以前の方針と比べて大きな進歩だ。
「当社のE2E暗号化(E2EE)方針について、技術的、哲学的両方の意見を寄せてくれた方々に感謝している」とZoomが今日(米国時間6月17日)更新したブログで語った。「現在続いているこの複雑な状況のなかで、今後も全員がそれぞれの考えを共有することを望んでいる」
6月初め、CEO Eric Yuan(エリック・ヤン)氏が、警察当局に協力できるように無料ユーザーにはE2EEを提供するつもりがない、と発言したことを Bloombergが報じたことで、同社は非難の嵐にさらされた。
セキュリティー、プライバシーの専門家は挙ってこの姿勢を非難した。中でも目立っていたのが暗号化の専門家、Matthew Green(マシュー・グリーン)氏で、同氏の名前はZoomのe2e暗号化設計白書に載っている。
「E2E暗号化を大衆に渡すのは「危険」すぎる、という前例がひとたびつくられると、収拾がつかなくなる。そしてひとたび企業国家アメリカが、私的な通信手段を提供することは政治的にリスクが高すぎるという考えを認めてしまうと、もとに戻るのは困難である」とGreen氏はTwitter(ツイッター)で警鐘を鳴らした。
E2Eの炎上以降、Zoomは別のスキャンダル にも巻き込まれている。こちらはプライバシーと検閲に関わるもので、中国政府の依頼を受けて複数の中国活動家のアカウントを停止したことをZoomが認めたためだった。つまりZoomは、当初の姿勢を覆すもっともな理由に遭遇したと言えるかもしれない。なにしろ、読むことのできないコンテンツの検閲ははるかに難しいのだから。
方針変更を説明するブログで、Zoomは「公民権擁護団体や当社の情報セキュリティー委員会、子供の安全擁護団体、暗号専門家、政府当局、そしてわれわれ自身のユーザーなど」との約束を守るだけだと語った。
「われわれはE2EEをあらゆるプランのユーザーに提供するための新技術も探求した」と同社は付け加えた。
ブログには、無料ユーザーがE2E暗号化を利用するための手順が簡単に書かれている。「無料のベーシックユーザーがE2EEを利用するには、ショートメッセージによる電話番号の検証などによって追加情報を提供する1回限りの手続きが必要になる」
さらに同社は、「多くの大手企業が、悪用アカウントの大量生成を防ぐために、アカウント作成時に同様の手順を実施している。われわれはリスクに基づく認証を導入し、ユーザーの通報機能などの現行ツールと合わせることで、プラットフォーム悪用の防止、対処に努めていく」と付け加えた。
一部の国ではSIMカードの購入に身分証明が必要なので、Zoomの認証プロセスは、一部ユーザーにとって当局に追跡される可能性のある痕跡を残さずにE2E暗号化を利用することを困難にする可能性がある。
Zoomのブログ記事によると、E2E暗号化のベータ版は7月から提供される。なお、Zoomプラットフォームのデフォルト暗号化方式はAES 256 GCMである。
新たなE2E暗号化は自動的に有効にはならなず、オプションとして提供される。Zoomはこれについて、一部のミーティング機能(従来からの公衆交換電話網やSIP/H.323ハードウェア会議室システムなど)が制限されるためだと説明している。
「ホストは、ミーティング単位にE2EEのオンオフを切り替えることになる」と同社は言い、アカウント管理者はアカウントやグループレベルでE2EEの有効無効を設定できると付け加えた。
本日(米国時間6月17日)Zoomは、同社のE2E暗号化デザインのV2アップデートも公開し、仕様をGithubに登録した。
画像クレジット:Yuriko Nakao / Getty Images
[原文へ]
(翻訳:Nob Takahashi / facebook )
- Original:https://jp.techcrunch.com/2020/06/18/2020-06-17-zoom-u-turns-on-no-e2e-encryption-for-free-users/
- Source:TechCrunch Japan
- Author:Natasha Lomas
Amazonベストセラー
Now loading...