速報
ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性
ZoomのWindowsクライアントにWindowsのログイン情報を盗まれる恐れのある脆弱性があるとセキュリティ専門家が指摘した。UNCをハイパーリンク化できるので、パブリックグループに投稿された出自不明のハイパーリンクをクリックするのは危険だ。
Web会議サービス「Zoom」のWindowsクライアントに、ログイン情報を盗まれる恐れのある脆弱性があると、PC情報サイトの米Bleeping Computerが3月31日(現地時間)に報じた。
Zoomがサービス内で利用しているURLをハイパーリンクに変換する方法が問題という。URLだけでなくUNC(Universal Naming Convention、「C:\Users\Public」のようにドライブの位置を指定するパス)もハイパーリンクに変換する。不注意なユーザーがたとえばパブリックグループに投稿されたおもしろそうな名称のハイパーリンクをクリックすれば、Windowsがリモートファイルにアクセスしようとする過程でPCのユーザー名とパスワードのハッシュがリモート先から見えるようになるので、悪意ある攻撃者がこのハッシュを入手してユーザーのPCや参加するネットワークに侵入しようとする可能性がある。
さらに、警告は表示されるものの、UNCを悪用して実行可能ファイルを起動することも可能という。
セキュリティ専門家は、この脆弱性を修正するにはUNCをハイパーリンクに変換できないようにする必要があると指摘する。
本稿執筆現在、Zoomからはこの件についての発表はまだない。
関連記事
- ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
ZoomのMac版のインストールプロセスが、Appleのセキュリティを回避する一般にマルウェアで使われる動作になっているとセキュリティ専門家が指摘。ZoomのCEOはWeb会議参加までのステップを簡単にするためだったが改善すると表明した。 - 「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家
新型コロナ対策でユーザーが急増中のWeb会議サービス「Zoom」。公式サイトには「すべてのミーティングに対するエンドツーエンドの暗号化」とあるが、実際にはそうではないとInterceptが報じた。 - ZoomのFacebookへのデータ転送(停止済み)で集団訴訟
新型コロナ対策の在宅勤務でユーザー急増中のWeb会議サービス「Zoom」の運営会社が、iOSアプリでユーザーに無断でユーザーデータをFacebookに転送していたとして集団訴訟を起こされた。「Facebook SDK」を採用していたためで、指摘を受けたZoomは既にデータ転送を停止している。 - 新型コロナでビジネスアプリ需要が急増 「ZOOM」はイタリアで55倍に──App Annie調べ
新型コロナウイルス感染症対策の自宅待機令やロックダウンが拡大する中、テレワークに必携のビジネスアプリの世界でのダウンロード数が急増している。App Annieによると「ZOOM」のダウンロード数は例えばイタリアでは55倍になった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.