zoomに脆弱性〜セキュリティは大丈夫か!?

zoom会議や、動画編集をする時間が長くなってきました。特にzoomは非常に快適ですね。

そんな中、「zoomに脆弱性!」といった記事が急に出るようになってきました。沢山な人が使い出すと、やはりそこに人が集まるため、新しい脆弱性は見つかりがちですね。

多くのソフトウェアには脆弱性があります。なので、zoomさんにももともとたくさんの穴はあったのでしょう。多少、あたたかい気持ちで見守ってあげたい気もしますし、一方で、致命的な脆弱性があるようでは困ります。

zoomの脆弱性に関するニュース

まずはこちらのニュースから。zoomの認証情報、すなわちIDとパスワードが盗まれてしまうかもしれない、問題。 問題がでるに即日解決!これはアプリを再度ダウンロードして入れ替える必要がありますね。

ZoomからWindowsの認証情報が盗まれる脆弱性 (4/2(木) 11:54配信 Yahooニュース)
https://headlines.yahoo.co.jp/hl?a=20200402-00000075-impress-sci

Zoom」の脆弱性を突き、認証情報が盗めてしまう脆弱性

Yahooニュース

Windows認証情報が盗まれるZoomの脆弱性が即修正 (2020年4月3日 09:58 PCWatch)
https://pc.watch.impress.co.jp/docs/news/1244817.html

この脆弱性が明らかになってからわずか1日で修正された格好だ。

PC Watch

この記事では他に以下のような修正が出たと記載されています。

  • 招待されていない参加者の嫌がらせに対処
  • iOSクライアントのFacebook SDKの削除による不要なデバイス情報の収集の取りやめ
  • プライバシーポリシーの更新
  • K-12専用のプライバシーポリシーや使い勝手の改善
  • 出席者のアテンショントラッカー機能の完全削除
  • Mac関連の問題の修正
  • LinkedIn Sales Navigatorアプリの恒久的な削除

ビデオ会議アプリ「ズーム」使用中にポルノ画像、FBIがサイバー攻撃に警鐘
(4/1(水) 15:19配信 Yahooニュース)
https://headlines.yahoo.co.jp/hl?a=20200401-00000022-jij_afp-int

マサチューセッツ州のとある高校では、正体不明の人物がオンライン教室にアクセスし、教師に大声で下品な言葉をかけた後、その教師の自宅の住所を叫んだという。

Yahooニュース

zoomのいいところはURL共有するだけで、相手のID確認なしで、会議がはじめられるところです。逆に言うと、URLが知られちゃうと、外部の人が入ってくるリスクがあります。 URLの共有はクローズドなところでやったほうがいいですね。

Facebookとかでも不特定多数でzoom飲み会やりましょう!URLこちらです!と公開しちゃうのは気をつけないとです。

この問題は、この対処で防げるようになったのでしょうか。 →招待されていない参加者の嫌がらせに対処
URL知られちゃうと結局ダメな気がしますので、招待の仕方から見つめ直さないといけないのでしょうか。

MAC

macでも以下のような記事がありました。4/2の記事で、zoomから回答なし!って見出しにつけちゃうのは、ちょっとかわいそうな気がします。

ただ、この以下のバグの内容は怖いですね。 Macののっとり。

Macを乗っ取ることができるバグをさらに2つ見つけ出した。このバグはユーザーのウェブカメラやマイクを任意に操作できるという。

techcrunch

ただ、 よく読むと、攻撃するMacに物理的接触をしないといけない、つまり、遠隔攻撃に対するバクではなくて、マシンを直接その場に来て触らないと発生しない問題のようですね。

バグはローカルの攻撃者によって利用される可能性があるという。つまり問題のコンピュータに物理的に接触可能であることが必要だ。

更に以下のようないろいろな問題が指摘されています。だいぶ、やばいやつが多いですね。

人気ビデオ会議アプリ「Zoom」が今も抱えるさまざまな問題
2020年4月01日 techcrunch
https://jp.techcrunch.com/2020/04/01/2020-03-31-zoom-at-your-own-risk/

  • ユーザーのZoomの利用習慣に関するデータを密かにFacebookに送っていた
  • 「トロール(荒らし)」が、オープンで保護されておらずデフォルト設定の脆弱なビデオ会議に侵入し、画面共有を乗っ取りポルノや露骨な画像を送りつける行為だ。
  • 遠隔監視機能で炎上: 会議のホストは参加者が通話中にZoomのメインウィンドウを離れたかどうかをチェックすることができる

zoom側の対策

回答なしと言われたzoomも早速反応してますね。機能追加を90日間凍結して、セキュリティ優先!

これはうまく行けば、英断になるかもしれませんね。いま、zoomは乗りに乗ってますから、いろいろ新しい追加機能を用意しているところだったでしょう。それを思い切ってとめて、セキュリティに全振りするようです。事実ならいいんじゃないかと思います。 

Zoom、機能追加を90日間凍結–セキュリティ問題の解決に集中
(ZDnet 2020-04-03 08:34)https://japan.zdnet.com/article/35151809/

キュリティに対する懸念の高まりを受け、それに対処する今後90日間の計画を説明した。

ZDnet

もちろん90日で全てのセキュリティ問題が解決できるかはわかりませんが、ぜひzoomさんには頑張ってほしい。期待しています。

セキュリティアップデート

zoomアプリを立ち上げて、終了する際に、アップデートしてと言われました。どんどん新しいバージョンが続きそうですね。 (うちはmacです)

IPAの情報

IPAにも情報が出てますね。

Zoom の脆弱性対策についてhttps://www.ipa.go.jp/security/ciadr/vul/alert20200403.html

悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする可能性があります。

IPA

その他のzoom関連記事

そんなところで。