Zoom無料ユーザーにもエンドツーエンド暗号化を提供へ

これはセキュリティー方針の大転換だ。ビデオ会議システムのZoom(ズーム)は、結局エンドツーエンド(E2E)暗号化を、無料ユーザーを含む全ユーザーに提供すると発表した。ただし、無料ユーザーがE2E暗号化を利用するためには、個人認証のために一定の「追加」情報を差し出す必要がある(ショートメッセージを受信できる電話番号など)。Zoomはこれを「乱用の予防と対応のため」に必要なチェックだと言っている。これは料金を払わなければE2Eはない(未訳記事)としていた以前の方針と比べて大きな進歩だ。

 

米国時間6月17日、Zoomは「当社のE2E暗号化方針について、技術的、哲学的両方の意見を寄せてくれた方々に感謝している」とブログで語った。「現在続いているこの複雑な状況の中で、今後も全員がそれぞれの考えを共有することを望んでいる」。

6月初め、CEOであるEric Yuan(エリック・ヤン)氏が「警察当局に協力できるように無料ユーザーにはE2E暗号化を提供するつもりがない」と発言したことで同社は非難の嵐にさらされた(Bloomberg記事)。

セキュリティーやプライバシーの専門家は姿勢を非難した。中でも目立っていたのが暗号化の専門家、Matthew Green(マシュー・グリーン)氏で、同氏の名前はZoomのE2W暗号化設計白書(GitHubリンク)に載っている。

「『E2E暗号化を大衆に渡すのは危険すぎる』という前例がひとたびつくられると、収拾がつかなくなる。そしてひとたび企業国家である米国が、私的な通信手段を提供することは政治的にリスクが高すぎるという考えを認めてしまうと、もとに戻るのは困難である」とグリーン氏はTwitter(ツイッター)で警鐘を鳴らした

E2Eの炎上以降、Zoomは別のスキャンダル にも巻き込まれている。こちらはプライバシーと検閲に関わるもので、中国政府の依頼を受けて複数の中国活動家のアカウントを停止したことをZoomが認めたためだった。つまりZoomは、当初の姿勢を覆すもっともな理由に遭遇したと言えるかもしれない。なにしろ、読むことのできないコンテンツの検閲ははるかに難しいのだから。

方針変更を説明するブログでZoomは「公民権擁護団体や当社の情報セキュリティー委員会、子供の安全擁護団体、暗号専門家、政府当局、そしてわれわれ自身のユーザーなど」との約束を守るだけだと語った。「我々はE2E暗号化をあらゆるプランのユーザーに提供するための新技術も探求した」と同社は付け加えた。

ブログには、無料ユーザーがE2E暗号化を利用するための手順が簡単に書かれている。「無料のベーシックユーザーがE2E暗号化を利用するには、ショートメッセージによる電話番号の検証などによって追加情報を提供する1回限りの手続きが必要になる」。

さらに同社は「多くの大手企業が、悪用アカウントの大量生成を防ぐために、アカウント作成時に同様の手順を実施している。Zoomはリスクに基づく認証を導入し、ユーザーの通報機能などの現行ツールと合わせることで、プラットフォーム悪用の防止、対処に努めていく」と付け加えた。

一部の国ではSIMカードの購入に身分証明が必要なので、Zoomの認証プロセスは一部ユーザーにとって当局に追跡される可能性のある痕跡を残さずにE2E暗号化を利用することを困難にする可能性がある。

Zoomのブログ記事によると、E2E暗号化のベータ版は7月から提供される。なお、Zoomプラットフォームのデフォルト暗号化方式はAES 256 GCMだ。

新たなE2E暗号化は自動的に有効にはならなず、オプションとして提供される。Zoomはこれについて、一部のミーティング機能(従来からの公衆交換電話網やSIP/H.323ハードウェア会議室システムなど)が制限されるためだと説明している。

「ホストは、ミーティング単位にE2EEのオンオフを切り替えることになる」と同社は説明し、アカウント管理者はアカウントやグループレベルでE2EEの有効無効を設定できると付け加えた。

米国時間6月17日、Zoomは同社のE2E暗号化デザインのV2アップデートも公開し、仕様をGithubに登録している。

画像クレジット:Yuriko Nakao / Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。