AES 256-bit GCM暗号化や接続しているデータセンターのリージョン表示、ユーザー報告機能などをサポートした「Zoom 5.0 for Mac/Win」がリリース。

スポンサーリンク

 AES 256-bit GCM暗号化や利用しているデータセンターのリージョンや暗号化方式の表示、ユーザーの報告機能などをサポートした「Zoom 5.0 for Mac/Win」がリリース。ます。詳細は以下から。

Zoomのアイコン

 ビデオ会議サービス「Zoom Meeting」などを提供するZoom Video Communications, Incは現地時間2020年04月27日、先日アナウンスしていたとおり、プライバシーを強化し、複数のセキュリティ問題を修正したビデオ会議クライアント「Zoom (Meeting) for Mac/Windows/Linux」のバージョン5.0を正式にリリースしたと発表しています。

Zoom 5.0 for Mac

Current Release

  • April 27, 2020 Version 5.0.0 (23186.0427)
  • Download Type: Manual

リリースノートより

スポンサーリンク

Zoom v5.0

 Zoom v5.0シリーズでは、複数のセキュリティ研究者らに指摘されてきたAES 256-bit暗号化のECB」モードに替わり、認証付き暗号の「AES 256-bit GCM」モードがサポートされており、加えて、北米のユーザーが利用する際に中国のデータセンターを経由していた問題を修正、設定パネルには現在の接続が、どのリージョンのデータセンターを使用しているかを表示するようになっています。

Zoom for Mac v5.0の利用データセンター

現在のところZoom MeetingのMacクライアントと利用しているアカウントでは、AES 256-bit ECB暗号化が利用されていましたが、Zoomは05月30日までに全てのアカウントでAES 256-bit GCM暗号化を提供すると発表しています。

 また、Zoom Meeting v5.0では、v4.6.10でホスト(主催者)用に追加されたセキュリティアイコンボタンに[報告]の項目が加わり、不正にミーティングにアクセスしてこようとするユーザーを報告し、Zoom Trust and Safety Teamが必要に応じてユーザーを評価・ブロックするそうです。

Zoom Meeting reports user

リリースノート

Changes to existing features

  • Prevent private chatting with channel members outside of Zoom account or organization
    Users will no longer be able to privately chat with other members of the same channel if they are not on the same Zoom account or organization. To continue chatting with contacts outside of their Zoom account, they can add them as external contacts.
  • Copied URL will not include password if the web setting Embed password in meeting link for one-click join is disabled
    If the host has the web setting Embed password in meeting link for one-click join disabled in the Zoom web portal, the Zoom client will no longer include the password in the URL when inviting new participants.

New and enhanced features

  • AES 256-bit GCM encryption
    Zoom is upgrading to the AES 256-bit GCM encryption standard, which offers increased protection of your meeting data in transit and resistance against tampering. This provides confidentiality and integrity assurances on your Zoom Meeting, Zoom Video Webinar, and Zoom Phone data. This version of the Zoom client will support GCM encryption when it is automatically enabled for all accounts on May 30.

Meeting features

  • Report a user during a meeting
    The meeting host can now report a user during a meeting by clicking on the Security icon, then Report. This feature will generate a report which will be sent to the Zoom Trust and Safety team to evaluate any misuse of the platform and block a user if necessary.
  • Additional feedback options at the end of a meeting
    Users will now have the ability to provide additional feedback if the setting Post meeting feedback survey is enabled. This feedback can also be viewed in Dashboard and can be downloaded as a spreadsheet. This setting was previously named Display end of meeting feedback survey.
  • Enhancements to meeting end/leave flow
    The host will now be required to assign a new host when leaving the meeting. Additionally, the pop-up message asking if the host would like to leave or end the meeting will now be displayed by the Leave button.
  • Show the connected data center
    Users can see which data center they are connected to by clicking on by clicking on the info icon at the top left of the client window.
  • Select data center regions when scheduling a meeting
    Users can now select which data center regions they would like their in meeting traffic to use when scheduling a meeting.

Chat features

  • Indication of an external user
    Users will have the label “External” next to their name if they are not part of your Zoom account. This label will be displayed in one on one messages. This label will also be displayed in the user’s profile details when you hover over their profile picture and in the channel members list.

Phone features

  • Enhanced encryption
    Zoom supports secure voice calls across all supported SIP devices, desktop, and mobile clients. Zoom Phone supports standards-based encryption using SIP over TLS 1.2 Advanced Encryption Standard (AES) 256-bit algorithm for calls and during phone provisioning sessions. In addition, call media is transported and protected by SRTP with AES-256 bit algorithm for Zoom desktop and mobile clients, and with AES-128 bit algorithm for devices.

Resolved issues

  • Minor bug fixes

Zoom for Macのセキュリティタイムライン

  • 2019年07月08日
    ▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。

  • 2019年07月09日
    ▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。

  • 2019年07月09日
    ▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載したJuly 9 Patchを公開。

  • 2019年07月10日
    ▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能Malware Removal Toolをアップデートし、"~/.zoomus"を削除する機能を追加したと発表。

  • 2019年07月12日
    ▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。

  • 2019年07月14日
    ▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。

  • 2019年07月15日
    ▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。

  • 2019年07月16日
    ▶Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除。

  • 2020年03月末
    ▶Zoom Meeting for Macのインストーラーが、ユーザー承認をせずにアプリをインストールする問題

  • 2020年03月31日
    ▶Zoom Meeting for Macに権限昇格とコードインジェクションを利用しMacのカメラとマイクからユーザーの行動をキャプチャされる可能性がある脆弱性が指摘される。

  • 2020年04月01日
    ▶ZoomのCEOが謝罪し、今後はセキュリティ問題の修正に専念すると発表

  • 2020年04月02日
    ▶Zoomが複数の脆弱性を修正し、インストーラーが承認を取るようにしたZoom Meeting for Mac v4.6.9をリリース。

  • 2020年04月07日
    ▶タイトルバー上のミーティングID表示の廃止や、ミーティングのホスト(主催者)用にセキュリティを一箇所でコントロールできる「セキュリティ」ボタンを追加したZoom Meeting for Mac/Windows v4.6.10をリリース。

  • 2020年04月12日
    ▶DropboxやOneDriveでのファイル共有やスケジュールされたミーティングでパスワードが要求されるようになったZoom for Mac/Windows v4.6.11がリリース。

  • 2020年04月27日▶複数のセキュリティ機能を追加/強化したZoom v5.0がリリース。

  • 2020年05月10日
    ▶メールアドレスやPMI、電話番号などの個人情報をアスタリスクで隠すようにしたZoom v5.0.2がリリース。

  • 2020年05月17日
    ▶スクリーン共有時のミーティング情報表示や待合室用の新しいチャイムを追加したZoom v5.0.3がリリース。

  • 2020年05月25日
    ▶仮想カメラデバイスやアプリを再サポートしたZoom v5.0.4がリリース。

  • 2020年05月30日New
    ▶Zoom Meeting v5.x以降のクライアントを利用する全てのZoomアカウントをAES 256-bit GCM暗号化を採用

コメント

  1. 匿名 より:

    経由するデータセンターを選べるようになったけど、Japan/Hong Kong でひとくくりだったような、別のとこの記事では。そこから変わったのかな?
    いや、別にいいだろというのもあるかもしれないが、んー?としか思えないw