ZoomのWindows版で情報が盗まれる脆弱性!修正/謝罪を発表!

クラウド型ビデオ会議サービス「Zoom」のWindows版において、クライアントのログイン情報などが盗まれる脆弱性があることが報じられました。「Zoom」のCEOは一連の問題について謝罪し、Windowsの認証情報が盗まれる脆弱性を修正したことを発表しました。

目次

  1. 1Windows版「Zoom」に情報が盗まれる脆弱性を謝罪し修正発表
  2. 2今回の脆弱性に関する問題の背景
  3. 合わせて読みたい!Windowsに関する記事一覧

Windows版「Zoom」に情報が盗まれる脆弱性を謝罪し修正発表

クラウド型ビデオ会議サービス「Zoom」のWindows版において、クライアントのログイン情報などが盗まれる恐れがある脆弱性があることを、米国の情報サイト「Bleeping Computer」が報じました。

「Zoom」を運営する「Zoom Video Communications」のエリック・ユアンCEOは、米現地時間2020年4月2日、指摘された一連の問題について謝罪し、Windowsの認証情報が盗まれる脆弱性を修正したことを発表しました。

そしてこの先の90日間は新機能を追加せずに問題修正に専念し、透明性レポートも公開することを約束しています。

今回問題となった脆弱性とは「Zoom」がサービス内で利用しているURL文字列をハイパーリンクに変換する機能に関してです。この機能のおかげで、ユーザーはURLをクリックするとそこにすぐにアクセスすることが可能になります。

「Zoom」のWindows版では、UNC(Universal Naming Convention)パスをクリックすると、ユーザーのログイン名とNTLM(NT LAN Manager authentication)認証のパスワードハッシュを使ってリンク先を開こうとします。

つまりWindows版「Zoom」において、URLだけでなくUNC(「C:\Users\Public」のようにドライブの位置を指定するパス)もハイパーリンクに変換してしまいます。

ユーザーがハイパーリンクをクリックしWindowsがファイルにアクセスしようとする過程で、PCのユーザー名とパスワードのハッシュがリモート先から見えてしまうため、悪意ある攻撃者はWindowsの認証情報などを盗むことができてしまうわけです。

セキュリティに関する専門家は、今回の脆弱性を修正するにはUNCをハイパーリンクに変換できないようにする必要があると指摘していました。

教育関係者に「Zoom」を遠隔授業の支援で無料提供!
ビデオ会議サービス「Zoom」は、遠隔授業の支援として教育関係者向けに無料で提供することを発...
Skype(スカイプ)会議のやり方をくわしく解説!
Skype(スカイプ)会議のやり方をご存じでしょうか?Skype(スカイプ)会議を用いること...

今回の脆弱性に関する問題の背景

今回の一連の問題の背景についてエリック・ユアンCEOによると、この度の新型コロナウイルス感染拡大の対策の中で家庭や学校での「Zoom」の利用者が急激に増加したためだとしています。

無料および有償の「Zoom」への参加人数が、2019年12月末の時点では約1000万人だったのが、2020年3月に2億人以上となり、プラットフォームを構築する際では予測できなかった課題が生じていると説明しています。

「Zoom」は急激に増えた利用者に対応しながらサービスを提供していて、今回プライバシーやセキュリティに対する対策が伴っていなかったことを謝罪し、今後サービスを修正し改善していくとしています。

今回指摘された問題に関して既に修正を行った点は以下の部分です。
 

iOSアプリのFacebook SDKを削除し、不要なデバイス情報の収集中止
Macアプリの脆弱性の修正
WindowsアプリでUNCリンクをハイパーリンクにする問題の修正
会議室を乗っ取る「Zoom-bombing」への対処法の公開
教育機関ユーザー向けガイドやプライバシーポリシーの公開
「LinkedIn Sales Navigator」アプリ削除
出席者のアテンショントラッカー機能削除

デスクトップ共有ツール「join.me」の使い方!WEB会議をする方法
皆さんデスクトップトップ共有ツールのjoin.meを知っていますか?WEB会議やWEB上でm...
Skype for BusinessとSkypeの違いって何?
ビジネス版のSkype for Business、Skype Onlineとは、普通のスカイ...

合わせて読みたい!Windowsに関する記事一覧

Facebookメッセンジャーに「デスクトップ」アプリWindows/Mac版が登場!
Facebookがサービス提供を行っているメッセンジャーに「デスクトップ」アプリWindow...
Windows10の「スタートメニュー」の名前のカスタマイズ方法!
Windows10には、「スタートメニュー」において名前を変更し、カスタマイズする機能があり...
Windows 10標準アプリの「アイコン」がカラフルに!
Microsoftが「Windows 10」アプリに新しいアイコンを導入し「アイコン」をカラ...
【2画面端末OS】「Windows 10X」のエミュレーターを公開!
2画面端末OS「Windows 10X」をエミュレートできるアプリとSDKが公開されました。...

関連するまとめ

関連するキーワード

この記事のライター
usagifwfw

人気の記事

新着まとめ