最近毎日のようにZoomを使っている身としては、Zoomのセキュリティに問題があるというのも気になるけれど、それを修正してAES-GCM化するときにトラブルでZoomが止まってしまうのも嫌だなあと思っていました。
昨日、5月30日はかねてより予定されていたZoomのセキュリティ向上のためのバージョンアップが行われる予定の日でした。無事、サーバー側も移行できたようで、6月からはセキュリティが改善されたZoomが無事使えそうです。ちょっと解説を書いてみますね。
コロナによるリモートワークや遠隔授業で一気に需要が爆発したビデオ会議システムですが、なかでもZoomは先発のCiscoやMicrosoftのサービスを差し置いて、人気No.1となりました。やはり、直感的に操作できて、小学生でも使いこなせるのが人気の秘密でしょう。
他方で、Zoomのセキュリティを巡っては色々と問題が指摘されてました。率直に言って、あんまりセキュリティに詳しい人が作ったわけではなかったみたいですね。割と初歩的な問題が続出して、米国ニューヨーク州では公立学校の遠隔授業でZoom使用禁止なんて話もありました。
Zoom社も問題の解決に動きます。5月上旬にはこんな通知が出てましたね。
「GCM暗号化」って耳慣れないですが、今のAESを変えるわけではなくて、その利用モードを、現在の問題のあるECB(Electronic Codebook)モードから、認証付きCTRモードであるGalois/Counter Mode (GCM)に移行するってことです。いやー、ECBモードは使っちゃいけないという話は、1990年代頃にしていたので、21世紀の現代においては、改善された暗号利用モードを採用するのが当たり前の話だと思ってました。色々出てきたZoomのセキュリティ問題の中で、私が一番驚いたのが、ECBモードを使ってるってことでしたね。
でもこれ、修正するにはすべてのクライアントのアプリとサーバーが一斉に移行しないといけないので、Zoomにとって結構重い処理になると思ってました。その期日が5月30日だったのです。今やZoomは、あちこちで必須のビデオ会議システムになりつつあるので、当日の移行がうまくいくか、ちょっと心配でした。万一、トラブった時のために、WebExでホスト開催する準備をしておこうかなとも考えていたのですが、受講者側の対応も必要なのでちょっと悩みました。移行日は土曜日で、月曜日まではリカバリーの時間はあるので、大丈夫だろうと静観を決め込むことに。
さて、30日が過ぎ、ちゃんと移行はされたのかな。アプリは5.0.4で最新だし、AES-ECBからAES-GCMに移行するはず、と思って31日の早朝2時過ぎに立ち上げてみたのですが、あれ、AES-ECBのままじゃないですか。
時差の関係かなと思いつつ、ちょっと心配だったので、31日の午後に改めて確認したら、無事、AES-GCMと表示されました。
アプリのバージョンは一緒ですから、サーバー側が移行したのは日本時間で31日の早朝以降だったみたいですね。
ザっとテストしてみて問題なく動くので、とりあえずよかったです。明日から使えないと困りますからね。