ビデオ会議アプリのZoomは米国時間4月15日、サービスのセキュリティ強化に向けた長期的計画の一環として、バグ報奨金プログラムを刷新する計画を発表した。
提供:Zoom, ZDNet
同社は、持続可能な脆弱性開示プログラムやバグ報奨金プログラムを専門とするLuta Securityと連携することを明らかにした。
Luta Securitを指揮するのは、創業者でサイバーセキュリティの経験が豊富なKatie Moussouris氏だ。Moussouris氏は、Microsoft、Symantec、米国国防総省のバグ報奨金プログラムを立ち上げたことで最もよく知られている。
Zoomはこれまで、「HackerOne」プラットフォームでバグ報奨金プログラムを運営していた。
Zoomの既存プログラムの刷新は、Luta Securityの自由裁量に委ねられる。Moussouris氏は、Zoomの脆弱性開示プロセスを向上する方法について、サイバーセキュリティコミュニティー全体から広く意見を集めていると述べた。
「秘密保持契約、報奨金、提出フォームから、Zoom専用のバグ報奨金を管理しているバグ報奨金のトリアージベンダーとのやり取りまで、あらゆることを対象にしている」(Moussouris氏)
Zoomはサイバーセキュリティ業界で一目置かれているMoussouris氏の雇用に先立ち、元Facebookの最高セキュリティ責任者(CSO)のAlex Stamos氏を、セキュリティ顧問として迎え入れている。Stamos氏は米国時間4月8日のブログ記事で、同氏が一連のツイートで、Zoomが直面するセキュリティ課題とその対策について触れ、同社を擁護する発言をしたところ、Zoomの創業者で最高経営責任者(CEO)のEric Yuan氏から誘いを受けたと述べている。
Moussouris氏はZoomに今後、さらに著名な専門家らが加わる可能性があることをツイートで明らかにしている。Googleでプライバシーテクノロジー部門の世界責任者を務めるプライバシー専門家のLea Kissner氏や、暗号に詳しいジョンズ・ホプキンス大学教授のMatthew Green氏のほか、セキュリティコンサルティング企業として著名なBishop Fox、NCC Group、Trail of Bitsを挙げている。
I’m excited to highlight my colleagues who are adding their expertise in the next few weeks. In addition to welcoming my former colleague @alexstamos to the extended Zoom security family
— Katie Moussouris (@k8em0) April 16, 2020
I’d like to welcome @LeaKissner @matthew_d_green @bishopfox @NCCGroupInfosec @trailofbits pic.twitter.com/fQV5cce3aq
こうした新たな人材雇用は、Zoomサービスのセキュリティに対する姿勢を改善する取り組みの一環だ。
新型コロナウイルスのパンデミックにより、Zoomサービスのユーザー数は2019年12月の1000万人から現在の2億人以上へと急増した。この急激な人気の高まりによって、Zoomはサイバーセキュリティの研究者、プライバシー専門家、ハッカーなどから、厳しい目を向けられている。
専門家は、アプリのコードにセキュリティの脆弱性を発見したほか、ユーザーデータの管理ではプライバシーの問題、アプリのカスタム暗号化スキームの問題などを発見した。
こうした一連の批判が、高まりつつある同社の評判を損なうことを恐れ、Eric Yuan氏は4月1日、新機能の開発をすべて凍結し、セキュリティ強化に注力する計画を発表した。
Zoomはこの2週間で、複数のセキュリティの問題にパッチを施したほか、Zoom会議を「Zoom爆弾」から守る機能を導入した。また長期的なサイバーセキュリティ戦略のために、複数の専門家を雇用した。
Yuan氏は15日、毎週開催する「Ask Eric Anything」ウェビナーで、同社のこれまでの取り組みについてまとめ、今後提供する可能性のあるセキュリティ機能について一部を紹介した。
In @zoom_us's privacy/security webinar, @alexstamos says "in a matter of weeks" they'll be upgrading ciphers to AES-256 GCM.
— Micah Lee (@micahflee) April 15, 2020
And in the long-term, they're building an E2E encryption option, have a number of PhD cryptographers working on hard problems. More announcements soon.
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。