パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

Zoom、Windows版・MacOS版・iOSアプリに複数の脆弱性判明

発表日時2020/3/24、26、30、4/1

ズームビデオコミュニケーションズにて提供されるオンライン会議ツール「Zoom」に脆弱性など多数の問題が見つかりハッカーやセキュリティ研究者たちが注意を呼び掛けている。

ZoomのWindows版クライアントではユーザーのネットワーク認証情報が洩れる脆弱性が発見されている。

問題となっているのはテキストメッセージのURLをハイパーリンク化する機能で、Windows版ではUNC(Universal Naming Convention)と呼ばれるローカルのネットワークにアクセスするための文字列もハイパーリンク化する。このリンクをクリックすると相手にWindowsネットワーク上のユーザー名とパスワードハッシュが送信され、これを手に入れた攻撃者は「Pass the Hash」と呼ばれるなりすまし攻撃が可能になり相手のPCやWindowsネットワークへ侵入の危険が高まる。

一方MacOS版でも複数の脆弱性が見つかっている。MacOSのインストーラーがインストールをクリックすることなくインストールを実行する脆弱性がありMacに物理的にアクセスできる攻撃者は権限が最低レベルであってもバグを仕込んだZoomインストーラーを仕込めばこれを通じ管理者権限が使えるという。

ウェブカメラとマイクを操作するシステムにも脆弱性が見つかっている。本来はユーザーの同意が必要であるカメラとマイクだが悪意あるコードを追加することによりZoomのアクセス権を取得できる。それによりZoomの音声や動画の記録、さらには任意のタイミングでカメラやマイクにアクセスできるようになるという。

iOSアプリではアプリ起動時にユーザーの同意なく、Facebookに情報を送信していたことが判明した。送信されていたデータは端末情報や広告識別子などで、以前Facebookアカウントでのログイン機能を実装していた際に使用していたFacebookSDKが情報の送信を行っていたという。同社は謝罪しアップデートで修正したがプライバシーポリシーに記載が無く消費者プライバシー保護法違反であるとして米国カルフォルニア州で集団訴訟が提起されている。

研究者らはセキュリティと機密性を必要とするのであればZoomではなく必要なセキュリティを持つプラットフォームを利用する方が良いと注意を呼び掛けている。

 



あわせて読みたい

お見積・評価版






製品・ブログ










フルワイプに対応したエンドポイントセキュリティ・TRUST DELETE prime
SMS Push遠隔消去ソフト TRUST DELETE Bizパナソニック版
VAIO PC向け遠隔消去情報漏えい対策ソリューション
パソコンの遠隔ロック・消去ソフト ワンビ リモートワイプ
パソコンの不正持ち出し抑止ソフト OneBe Guard
ワンビセミナー

情報漏えいニュース

2020.10.27
原子力規制委員会、サーバへの不正アクセスを確認
元記事: HP:原子力規制委員会 発表日時2020/10/27 原子力規制委員会にて不正アクセスを確認。同委員会にて職員が利用する情報システムのサーバに不正アクセスが確認された。26日に不正アクセスと......
2020.10.27
総務省、秘匿情報を誤って伝えたことにより個人情報が流出
元記事:個人情報の漏えい HP:総務省 会社名 総務省 株式情報 非上場 漏洩種別 流出 漏洩対象 口頭 漏洩場所 社外 漏洩内容 住所 漏洩件数 1件 漏洩日時 2020/10中旬 発表日時 202......
2020.10.26
GMOクリック証券、不正ログインにより顧客の資産が流出
元記事:悪意のある第三者による不正アクセスに関するお知らせ HP:GMOクリック証券株式会社 発表日時2020/10/26 GMOクリック証券にて不正ログインにより顧客の資産が流出被害。同社にて第三者......
2020.10.26
堺市、個人情報を含む書類を紛失
元記事:個人情報が含まれた令和 2 年国勢調査の調査世帯一覧の紛失について HP:堺市 会社名 堺市 株式情報 非上場 漏洩種別 紛失 漏洩対象 紙(書類) 漏洩場所 社外 漏洩内容 氏名/住所 漏洩......
2020.10.23
大阪市、書類誤記載により個人情報が流出
元記事:報道発表資料 福祉局における書類の誤使用による個人情報の漏えいについて HP:大阪市 会社名 大阪市 株式情報 非上場 漏洩種別 流出 漏洩対象 紙(書類) 漏洩場所 社外 漏洩内容 氏名/生......