NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

MacとWindowsクライアント上での脆弱性やプライバシーの問題

Macクライアントのインストーラーの問題

 「Zoom」のMacクライアントのインストーラーが通常は必要となるユーザーへの確認などの手順をバイパスしてインストールを行っていたという問題で、3月31日にFelix Seele氏によって報告されました。

 インストーラーは、パスワードプロンプトで通常のメッセージを書き換えてパスワードを入力させようとしており、こうした手法はまるでマルウェアのようだとしています。

 「Zoom」は4月2日にこの問題を修正したアップデートを公開しました。

 

Macクライアントのローカルからの攻撃に対する脆弱性

 「Zoom」のMacクライアントのローカルからの攻撃に対する2つの脆弱性を4月1日にセキュリティ研究者のPatrick Wardle氏がブログで公開しました。

 1つは前述の「Zoom」のMacクライアントのインストーラーの問題を利用して権限のないユーザーが管理者権限を取得できるというものです。

 もう1つは、悪意あるコードを「Zoom」に付加することで、ユーザーの同意なしにカメラやマイクへのアクセス権を取得できるというものです。

 「Zoom」は4月2日にこの問題を修正したアップデートを公開しました。

 

WindowsクライアントのUNCパスの処理に関する脆弱性

 Bleeping Computerが3月31日に報じた問題で、「Zoom」のWindowsクライアントのチャットでのUNCパスの処理に問題があるというものです。

 「Zoom」のクライアントでは、会議の参加者はチャット機能を用いて他の参加者にテキストのメッセージを送信することができます。チャットにURLが含まれると、自動的にハイパーリンクに変換されるため、チャットを受信した参加者は、リンクをクリックすることでWebサイトにアクセスすることができます。

 しかし、「Zoom」のWindowsクライアントでは、通常のURLだけでなく、WindowsのUNC(Universal Naming Convention)パスもクリック可能なハイパーリンクに変換してしまうことが報告されました。

 UNCパスは、「\\example.com\images\logo.jpg」 のような形式です。ユーザーがUNCパスのリンクをクリックすると、WindowsはSMBファイル共有プロトコルでリモートのサイトへの接続を試みます。このときWindowsは自分のユーザー名とハッシュ化されたパスワードを自動的に送信します。これはWindowsの仕様によるものですが、UNCパスが外部のドメインの場合、外部ドメインにパスワードハッシュが送信されてしまいます。

 このパスワードハッシュをキャプチャしてパスワード・クラック・ソフトで解析することにより、攻撃者がWindowsのパスワードを入手することが可能です。

 また、このUNCパスを利用して、リンクをクリックした参加者のWindows上で任意の実行ファイルを実行されたりする可能性もあります。

 この脆弱性に関してはIPAからも注意喚起が出ています。

 「Zoom」は4月2日にすべてのリンク(通常のURLやUNCを含む)をクリック可能なハイパーリンクに変換しないことでこの脆弱性に対応しました。その後、4月21日に、httpやhttpsを含むリンクに関しては、クリック可能となるように変更されました。

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

2021.02.24

ニューノーマル時代のコミュニケーション変革第3回

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

トランスコスモスが導入した“リモートワーク用の雑談ツール”とは?

2021.01.08

ニューノーマル時代のコミュニケーション変革第2回

トランスコスモスが導入した“リモートワーク用の雑談ツール”とは?

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」