NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題
2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

著者 北河 拓士

MacとWindowsクライアント上での脆弱性やプライバシーの問題

Macクライアントのインストーラーの問題

 「Zoom」のMacクライアントのインストーラーが通常は必要となるユーザーへの確認などの手順をバイパスしてインストールを行っていたという問題で、3月31日にFelix Seele氏によって報告されました。

 インストーラーは、パスワードプロンプトで通常のメッセージを書き換えてパスワードを入力させようとしており、こうした手法はまるでマルウェアのようだとしています。

 「Zoom」は4月2日にこの問題を修正したアップデートを公開しました。

 

Macクライアントのローカルからの攻撃に対する脆弱性

 「Zoom」のMacクライアントのローカルからの攻撃に対する2つの脆弱性を4月1日にセキュリティ研究者のPatrick Wardle氏がブログで公開しました。

 1つは前述の「Zoom」のMacクライアントのインストーラーの問題を利用して権限のないユーザーが管理者権限を取得できるというものです。

 もう1つは、悪意あるコードを「Zoom」に付加することで、ユーザーの同意なしにカメラやマイクへのアクセス権を取得できるというものです。

 「Zoom」は4月2日にこの問題を修正したアップデートを公開しました。

 

WindowsクライアントのUNCパスの処理に関する脆弱性

 Bleeping Computerが3月31日に報じた問題で、「Zoom」のWindowsクライアントのチャットでのUNCパスの処理に問題があるというものです。

 「Zoom」のクライアントでは、会議の参加者はチャット機能を用いて他の参加者にテキストのメッセージを送信することができます。チャットにURLが含まれると、自動的にハイパーリンクに変換されるため、チャットを受信した参加者は、リンクをクリックすることでWebサイトにアクセスすることができます。

 しかし、「Zoom」のWindowsクライアントでは、通常のURLだけでなく、WindowsのUNC(Universal Naming Convention)パスもクリック可能なハイパーリンクに変換してしまうことが報告されました。

 UNCパスは、「\\example.com\images\logo.jpg」 のような形式です。ユーザーがUNCパスのリンクをクリックすると、WindowsはSMBファイル共有プロトコルでリモートのサイトへの接続を試みます。このときWindowsは自分のユーザー名とハッシュ化されたパスワードを自動的に送信します。これはWindowsの仕様によるものですが、UNCパスが外部のドメインの場合、外部ドメインにパスワードハッシュが送信されてしまいます。

 このパスワードハッシュをキャプチャしてパスワード・クラック・ソフトで解析することにより、攻撃者がWindowsのパスワードを入手することが可能です。

 また、このUNCパスを利用して、リンクをクリックした参加者のWindows上で任意の実行ファイルを実行されたりする可能性もあります。

 この脆弱性に関してはIPAからも注意喚起が出ています。

 「Zoom」は4月2日にすべてのリンク(通常のURLやUNCを含む)をクリック可能なハイパーリンクに変換しないことでこの脆弱性に対応しました。その後、4月21日に、httpやhttpsを含むリンクに関しては、クリック可能となるように変更されました。

SHARE

関連記事

どうすればゼロトラストが実現できるのか?SASEを活用した導入術

2021.07.28

セキュリティ対策に求められる新たな視点第26回

どうすればゼロトラストが実現できるのか?SASEを活用した導入術

オンライン研修でも新卒社員は育つ!アイレップが導入したツールとは

2021.07.09

ニューノーマル時代のコミュニケーション変革第4回

オンライン研修でも新卒社員は育つ!アイレップが導入したツールとは

読者アンケートからわかった企業のセキュリティの課題とその対策とは

2021.06.30

セキュリティ対策に求められる新たな視点第25回

読者アンケートからわかった企業のセキュリティの課題とその対策とは

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

日鉄ケミカル&マテリアルは「テレビ会議クラウド化」で場所にとらわれない働き方を推進

2021.05.26

働き方改革&生産性向上のカギはどこにある?第37回

日鉄ケミカル&マテリアルは「テレビ会議クラウド化」で場所にとらわれない働き方を推進

チームは雑談を「聞く」ことで強くなる

2021.05.20

IT&ビジネスコラム第6回

チームは雑談を「聞く」ことで強くなる

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

2021.02.24

ニューノーマル時代のコミュニケーション変革第3回

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある