ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
ZoomのMac版のインストールプロセスが、Appleのセキュリティを回避する一般にマルウェアで使われる動作になっているとセキュリティ専門家が指摘。ZoomのCEOはWeb会議参加までのステップを簡単にするためだったが改善すると表明した。
Web会議サービス「Zoom」のmacOS版アプリのインストールプロセスで、ユーザーが許可しなくてもインストールが始まるようになっているのはマルウェア的だと米セキュリティ企業VMRayのテクニカルリードを務めるフェリックス・シール氏が自身のTwitterアカウントで指摘した。
これに対し、Zoomのエリック・ユアンCEOは、MacからWeb会議に参加するのは簡単ではないので、参加するまでに必要なクリック数を減らすためにこの方法を採用したが、指摘はもっともなので改善するとリプライした。
ユーザーがMacからWeb会議に参加しようとすると、PKG形式のZoomアプリのインストールを求められる。一般的なアプリの場合、インストール開始までに複数のステップがあるが、Zoomの場合はそうした手順はなく、macOSで通常は行われるユーザーへの警告も表示せずに「pre-requirement」スクリプトを実行する。
警告メッセージの代わりに「zoom.usから"ダウンロード"フォルダ内のファイルにアクセスしようとしています。」というメッセージが表示され、ここで「許可しない」を選ぶこともできるが、ほとんどのユーザーはここで「はい」をクリックするとシール氏は指摘する。これでインストールが始まる。
さらに、PKGには「zoomAutenticationTool」というツールが含まれており、アプリ更新の権限のないユーザーでもアプリを更新できるようになっている。これはユーザーにとっては便利だが、このためにZoomはシステムを偽装し、「ソーシャルエンジニアリングでユーザーにパスワードを入力させようとする」とシール氏は説明する。これは、マルウェアで使われているいかがわしい方法だという。
シール氏は「インストールでのクリック数を減らしたいというZoomの立場は分かるが、使いやすさの向上のためにセキュリティを脅かしたり、ユーザーに嘘をついてはいけない。一連のステップに悪意はないが、世界で最も広く使われているアプリの1つとしては悪いことだ」と主張する。
問題点の詳細は、シール氏のブログを参照されたい。
本稿執筆現在、ユアンCEOあるいはZoomからの新たな発表はまだない。
新型コロナウイルス感染症対策でテレワークを強いられる人が増える中、Zoomの利用者は急増している。米調査会社App Annieによると、新型コロナのパンデミック認定後の3月第2週のZoomアプリのダウンロード数は昨年第4四半期の週平均の数十倍に上ったという。
関連記事
- ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性
ZoomのWindowsクライアントにWindowsのログイン情報を盗まれる恐れのある脆弱性があるとセキュリティ専門家が指摘した。UNCをハイパーリンク化できるので、パブリックグループに投稿された出自不明のハイパーリンクをクリックするのは危険だ。 - 「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家
新型コロナ対策でユーザーが急増中のWeb会議サービス「Zoom」。公式サイトには「すべてのミーティングに対するエンドツーエンドの暗号化」とあるが、実際にはそうではないとInterceptが報じた。 - ZoomのFacebookへのデータ転送(停止済み)で集団訴訟
新型コロナ対策の在宅勤務でユーザー急増中のWeb会議サービス「Zoom」の運営会社が、iOSアプリでユーザーに無断でユーザーデータをFacebookに転送していたとして集団訴訟を起こされた。「Facebook SDK」を採用していたためで、指摘を受けたZoomは既にデータ転送を停止している。 - 新型コロナでビジネスアプリ需要が急増 「ZOOM」はイタリアで55倍に──App Annie調べ
新型コロナウイルス感染症対策の自宅待機令やロックダウンが拡大する中、テレワークに必携のビジネスアプリの世界でのダウンロード数が急増している。App Annieによると「ZOOM」のダウンロード数は例えばイタリアでは55倍になった。 - ビデオ会議「Zoom」を教育関係者に無料提供 遠隔授業など支援 4月30日まで
ビデオ会議サービス「Zoom」が教育関係者向けに無料で提供される。新型コロナの感染拡大を受けた施策で、遠隔授業などを支援する。期間は4月30日まで。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.