クラウド型ビデオ会議サービス「Zoom」のWindows版において、クライアントのログイン情報などが盗まれる脆弱性があることが報じられました。「Zoom」のCEOは一連の問題について謝罪し、Windowsの認証情報が盗まれる脆弱性を修正したことを発表しました。
クラウド型ビデオ会議サービス「Zoom」のWindows版において、クライアントのログイン情報などが盗まれる恐れがある脆弱性があることを、米国の情報サイト「Bleeping Computer」が報じました。
「Zoom」を運営する「Zoom Video Communications」のエリック・ユアンCEOは、米現地時間2020年4月2日、指摘された一連の問題について謝罪し、Windowsの認証情報が盗まれる脆弱性を修正したことを発表しました。
そしてこの先の90日間は新機能を追加せずに問題修正に専念し、透明性レポートも公開することを約束しています。
今回問題となった脆弱性とは「Zoom」がサービス内で利用しているURL文字列をハイパーリンクに変換する機能に関してです。この機能のおかげで、ユーザーはURLをクリックするとそこにすぐにアクセスすることが可能になります。
「Zoom」のWindows版では、UNC(Universal Naming Convention)パスをクリックすると、ユーザーのログイン名とNTLM(NT LAN Manager authentication)認証のパスワードハッシュを使ってリンク先を開こうとします。
つまりWindows版「Zoom」において、URLだけでなくUNC(「C:\Users\Public」のようにドライブの位置を指定するパス)もハイパーリンクに変換してしまいます。
ユーザーがハイパーリンクをクリックしWindowsがファイルにアクセスしようとする過程で、PCのユーザー名とパスワードのハッシュがリモート先から見えてしまうため、悪意ある攻撃者はWindowsの認証情報などを盗むことができてしまうわけです。
セキュリティに関する専門家は、今回の脆弱性を修正するにはUNCをハイパーリンクに変換できないようにする必要があると指摘していました。
今回の一連の問題の背景についてエリック・ユアンCEOによると、この度の新型コロナウイルス感染拡大の対策の中で家庭や学校での「Zoom」の利用者が急激に増加したためだとしています。
無料および有償の「Zoom」への参加人数が、2019年12月末の時点では約1000万人だったのが、2020年3月に2億人以上となり、プラットフォームを構築する際では予測できなかった課題が生じていると説明しています。
「Zoom」は急激に増えた利用者に対応しながらサービスを提供していて、今回プライバシーやセキュリティに対する対策が伴っていなかったことを謝罪し、今後サービスを修正し改善していくとしています。
今回指摘された問題に関して既に修正を行った点は以下の部分です。
iOSアプリのFacebook SDKを削除し、不要なデバイス情報の収集中止 |
Macアプリの脆弱性の修正 |
WindowsアプリでUNCリンクをハイパーリンクにする問題の修正 |
会議室を乗っ取る「Zoom-bombing」への対処法の公開 |
教育機関ユーザー向けガイドやプライバシーポリシーの公開 |
「LinkedIn Sales Navigator」アプリ削除 |
出席者のアテンショントラッカー機能削除 |