ビデオ会議システムのＺｏｏｍやＷｅｂｅｘなどで幅広く導入されているエンドツーエンド暗号化技術。ＴＬＳ通信のようなサーバー・クライアント暗号化通信とは異なり、通信相手との間でのみメッセージの送受信が可能であり、サービスプロバイダーであってもメッセージの盗聴、改ざんができない暗号化通信技術である。

新型コロナウイルス感染症の世界的流行を受け、テレワークやオンライン教育の場でビデオ会議システムの利用が拡大していることを踏まえると、安心・安全なテレワーク時代のセキュリティー確保に欠かせない技術である。

情報通信研究機構（ＮＩＣＴ）では、兵庫県立大学やＮＥＣと共同で、Ｚｏｏｍに導入されているエンドツーエンド暗号化技術やＧｏｏｇｌｅ　Ｄｕｏ、Ｃｉｓｃｏ　Ｗｅｂｅｘ、Ｊｉｔｓｉ　Ｍｅｅｔなどで導入予定のエンドツーエンド暗号化技術ＳＦｒａｍｅの安全性評価に関する研究開発を実施している。

Ｚｏｏｍの安全性評価では、他人へのなりすまし、メッセージの改ざん、サービス利用の拒否に繋がる６個の脆弱（ぜいじゃく）性を発見し、これらの脆弱性を利用した８種類の攻撃手法を提示するとともに、これらの攻撃に対する防御対策について提案した。特に、Ｚｏｏｍの安全性評価チームが想定するよりも強力な攻撃として、我々が提示する条件を満たす場合に任意のユーザーになりすますことができることを指摘した。

ＳＦｒａｍｅの安全性評価では、他人へのなりすましに繋がる３個の脆弱性を発見し、これらの脆弱性を利用した３種類の攻撃手法を提示するとともに、これらの攻撃に対する防御対策について提案した。特に、ＳＦｒａｍｅがメッセージの真正性を保証するために電子署名方式を採用しているにもかかわらず、会議に参加している別のユーザーになりすますことができることを指摘した。

Ｚｏｏｍの安全性評価チームとＳＦｒａｍｅの設計者に対して速やかに脆弱性報告を実施したところ、ＺｏｏｍとＳＦｒａｍｅの仕様が速やかに修正されていることを確認した。

我々の安全性評価は、なりすまし、改ざん、サービス利用拒否などの攻撃手法に対して耐性のあるシステムを設計する場面で効果を発揮し、テレワークなどで利用するビデオ会議システムの安心・安全な運用に貢献できるものとして期待されている。

◇サイバーセキュリティ研究所・セキュリティ基盤研究室　主任研究員　伊藤竜馬 １９年阪大院博士後期課程修了、２０年４月ＮＩＣＴ入所。共通鍵暗号の安全性評価に関する研究開発に従事。博士（工学）。