シアトル生活はじめました

20年以上すんだ東海岸から西海岸に引っ越してきました。MicrosoftのUniversal Storeで働いてます。

(改題)なぜZoomがヤバかったのか、Microsoft Teamsの方が良いと思うか(改題前)なぜZoomがヤバくてMicrosoft Teamsの方が良いか

テクノロジー 仕事

【4月22日更新】

コメント欄でご指摘を受けて、Zoomの暗号鍵生成に関連する現時点での状況について誤解を避けるためタイトルを過去形に変更しました。

またこの記事全般でZoomに関する記述はすべて過去形として理解していただくようお願い申し上げます。

特に以下の点で訂正いたします。

  • 「中国にあるサーバーが暗号の鍵を生成している」→ 「中国にあるサーバーが暗号の鍵を生成する場合が過去に稀にあった」
  • 「中国政府にZoomの会話内容が駄々洩れになる可能性がある」→「中国政府にZoomの会話内容が駄々洩れになる可能性が過去に稀にあった」

また以下の点を追記いたします。

4月3日の段階でZoomは中国のサーバーをバックアップとして使用されるサーバーのリスト(ホワイトリストと呼ばれています)から取り除いたため、この問題が再発する可能性は極めて低くなった。

Upon learning of the oversight yesterday, we immediately took the mainland China datacenters off of the whitelist of secondary backup bridges for users outside of China.

https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/

よって私の意見は「中国政府にZoomの会話内容が駄々洩れになる可能性は極めて低くなった」に変更します。

このブログ記事の投稿は4月18日です。その段階でZoomの中国サーバーアクセス問題に関しては、現実的にはすでに解決されたと言える状況だったようですが、私がしっかり裏をとらずに見切り発車で投稿したことでこの問題に関して、結果としてミスリードしてしまったことをお詫びします。コメントで指摘してくださったken5scal さん、ありがとうございます。

なお、このブログは「Zoomの中国サーバーアクセス問題」に焦点を当てています。この問題以外にも圧縮技術は待合室に関わるセキュリティ上の問題も存在するか過去に存在したようですが、その点に関してはout of scopeで何ら言及していません。

 

====== 以下4月18日投稿内容。=====

中国のサーバーで暗号鍵が生成されることがZoomのセキュリティの最大の問題

4月3日の記事なので多少現状は変わっているかもしれませんが、以下のPC Manazineの記事がZoomのリスクのうち「中国にあるサーバーが暗号の鍵を生成している」ことを指摘しています。

 

www.pcmag.com

 

この PC Magazineの記事はトロントにある大学(University of Toronto)の CitizenLabというリサーチグループの調査結果を引用しています。

 

citizenlab.ca

 

そこに分かりやすい図があったので、URLごと下に貼り付けます。

 

https://citizenlab.ca/wp-content/uploads/2020/04/ALICE-ZOOMS-BOB-latest.png

 

The Citizen LabがWiresharkというツール(このブログでも以前「Wiresharkで無線LAN(802.11)のデータを見てみよう!」でトピックに取り上げました)を使ってZoomのデスクトップアプリがどのような通信を行っているかを調査した結果、中国の北京にあるサーバーに、ユーザー間の会話の内容を暗号化するための鍵の生成を要求していたことが分かったのです。

この鍵は「平分→ 暗号文」と「暗号文→ 平文」の両方向に変換できます(symetric encryption key 共通鍵暗号と呼びます)。

中国政府が国内のネットワークを完全に制御していることは周知の事実でわざわざその根拠を示すソースを提示する必要はないと思います。

要するに「中国政府にZoomの会話内容が駄々洩れになる可能性がある」ということなのです。そしてZoomが主張するように(そしてそれは正確で正しい)すべての通信は暗号化されているけれど、その鍵が中国にあるサーバーで生成されている、ということが問題なのです。

Microsoft Teamはどうなの?

ZoomはヤバイからTeamsにしよう、という話を聞きますが、Teamsに同様の問題はないのでしょうか?

Teams の場合この問題は存在しません。Teamsはクラウドベースのサービスで、その表面の下にはOffice 365、SharePoint、Exchange、などがありますが、それらは(言うまでもなくオンプレのインスタンスを除いて)Auzreクラウド上のサーバーで実行されています。

Azureは中国に関しては、物理的にまったく別の存在です。詳しい内容は以下のMicrosoftのサイトから読めます。

docs.microsoft.com

 Azure Chinaクラウドサービスは、上海ベースのBlueCloudという会社がオペレートしています。この会社の親会社は北京にある21Vianetです。

私たちが使うAzure は「Azure Global」と呼ばれ「Azure China」とは物理的にもオペレーションのレベルでも完全に切り離されているのです。「Azure Global」の中で、例えば別の地域のデータセンター同士が通信することは可能ですが(それでもデータそのものはそのデータセンターが属する地域から出ることはありません。それはSLAとして保証されています)、Azure Chinaへアクセスすることは不可能なのです。

ちなみにですが、Teamsが通話や会議を始めるフローは原則Zoomと同じようにサーバーのサービスに依存しています。

 

https://stefanoceruti.files.wordpress.com/2017/08/082317_1440_mediaflowin1.png?w=727&zoom=2

Media Flow in Microsoft Teamsstefanoceruti.wordpress.com

 

そこで、上図のようなサーバーが世界中にあるデータセンターの「どこでホストされているか」という点では気になるところです。

この疑問についてまとめてあるブログを見つけました。

tomtalks.blog

 

興味深いなと思ったのが、Teams会議がホストされるサーバーがどのように選択されるかのアルゴリズムです。超単純です「最初に参加したユーザーがいる地域のデータセンターが選択される」です。

これはTeamsの通話機能の基礎になったSkype for Business (前に働いてました・・・)とは異なるとあります。Skype for Businessの場合は会議をセットした人の地域のサーバーでホストされるそうです。

 

じゃあZoomは危険だから絶対に使うべきじゃない?

そんなことはありません。最近ですがZoomの新機能で有料ユーザーであれば会議とウェビナーの通信に関してどの地域のデータセンターを使うかを任意で選べるようになりました。

Users on paid accounts can now customize which data center regions they use for their real-time meeting and webinar traffic. 

https://support.zoom.us/hc/en-us/articles/204758419-New-Updates-for-Web

だたし、当然ながらこれは有料ユーザーしか(現段階では)選べない機能です。

まとめ&私見

Zoomは使い勝手がよいと評判なので、それはつまりITリテラシーの面で発展途上な人達(ITに不慣れな先生や生徒)たちにとって、良い選択肢のひとつでしょう。

会話の内容が、仮に大通りで人目にさらされていても問題ない、そういうものならばZoomでも全く問題ないと思います。

逆に「それはちょっと」という場合は、リスク軽減のために有料プランに切り替えるか、別の選択肢を選ぶべきでしょう。

私はMicrosoftで働いているのでTeams推しですが、別のサービスとの客観的な比較もしてないバイアスまみれの意見なのであんまり意味はないかな・・・。

ただ、リモートで働いているこの数カ月、まちがいなくTeamsは仕事の中心であるし、Teamsの機能で不便や不満を感じたことはありません(2年前だったら意見は異なります!まだ全然安定していなかった時。ちょっと使ってSlackが恋しくなってました)