NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

MacとWindowsクライアント上での脆弱性やプライバシーの問題

Macクライアントのインストーラーの問題

 「Zoom」のMacクライアントのインストーラーが通常は必要となるユーザーへの確認などの手順をバイパスしてインストールを行っていたという問題で、3月31日にFelix Seele氏によって報告されました。

 インストーラーは、パスワードプロンプトで通常のメッセージを書き換えてパスワードを入力させようとしており、こうした手法はまるでマルウェアのようだとしています。

 「Zoom」は4月2日にこの問題を修正したアップデートを公開しました。

 

Macクライアントのローカルからの攻撃に対する脆弱性

 「Zoom」のMacクライアントのローカルからの攻撃に対する2つの脆弱性を4月1日にセキュリティ研究者のPatrick Wardle氏がブログで公開しました。

 1つは前述の「Zoom」のMacクライアントのインストーラーの問題を利用して権限のないユーザーが管理者権限を取得できるというものです。

 もう1つは、悪意あるコードを「Zoom」に付加することで、ユーザーの同意なしにカメラやマイクへのアクセス権を取得できるというものです。

 「Zoom」は4月2日にこの問題を修正したアップデートを公開しました。

 

WindowsクライアントのUNCパスの処理に関する脆弱性

 Bleeping Computerが3月31日に報じた問題で、「Zoom」のWindowsクライアントのチャットでのUNCパスの処理に問題があるというものです。

 「Zoom」のクライアントでは、会議の参加者はチャット機能を用いて他の参加者にテキストのメッセージを送信することができます。チャットにURLが含まれると、自動的にハイパーリンクに変換されるため、チャットを受信した参加者は、リンクをクリックすることでWebサイトにアクセスすることができます。

 しかし、「Zoom」のWindowsクライアントでは、通常のURLだけでなく、WindowsのUNC(Universal Naming Convention)パスもクリック可能なハイパーリンクに変換してしまうことが報告されました。

 UNCパスは、「\\example.com\images\logo.jpg」 のような形式です。ユーザーがUNCパスのリンクをクリックすると、WindowsはSMBファイル共有プロトコルでリモートのサイトへの接続を試みます。このときWindowsは自分のユーザー名とハッシュ化されたパスワードを自動的に送信します。これはWindowsの仕様によるものですが、UNCパスが外部のドメインの場合、外部ドメインにパスワードハッシュが送信されてしまいます。

 このパスワードハッシュをキャプチャしてパスワード・クラック・ソフトで解析することにより、攻撃者がWindowsのパスワードを入手することが可能です。

 また、このUNCパスを利用して、リンクをクリックした参加者のWindows上で任意の実行ファイルを実行されたりする可能性もあります。

 この脆弱性に関してはIPAからも注意喚起が出ています。

 「Zoom」は4月2日にすべてのリンク(通常のURLやUNCを含む)をクリック可能なハイパーリンクに変換しないことでこの脆弱性に対応しました。その後、4月21日に、httpやhttpsを含むリンクに関しては、クリック可能となるように変更されました。

SHARE

関連記事

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

2020.11.18

ニューノーマル時代のネットワーク技術革新第3回

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

2020.11.11

働き方改革&生産性向上のカギはどこにある?第29回

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

2020.10.02

「教育」をデジタルで変える第1回

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

コロナ禍で不可逆的に変化するマーケティングイベント

2020.10.01

IT&ビジネス最新ニュース第60回

コロナ禍で不可逆的に変化するマーケティングイベント