昨夜遅く、Zoom Mac アプリに重大な脆弱性が発見されたと報じられた。この脆弱性により、一部のサイトがコンピューターのウェブカメラを乗っ取ることが可能になったという。
このゼロデイ脆弱性は、セキュリティ研究者のジョナサン・ライチュー氏によって発見され、3月にZoomに最初に報告されていました。ライチュー氏は最近、自身のMediumアカウントでこの脆弱性の詳細を公開し、その仕組みとZoomユーザーにとってどれほど危険であるかを詳しく説明しました。
大まかな概要は次のとおりです。ビデオ会議アプリ「Zoom」をMacにインストールすると、コンピュータに直接ウェブサーバーがインストールされます。The Vergeのレポートによると、このサーバーは実際には「通常のブラウザでは受け付けないリクエストを受け入れる」とのことです。このウェブサーバーはバックグラウンドプロセスとして動作しており、「ユーザーの許可なく、ビデオカメラを起動した状態でユーザーをZoom通話に強制的に参加させる」ことが可能です。
Mediumの元の投稿には、脆弱性をテストするためのリンクが提供されています。これを実行すると、ユーザーはカメラが既に起動した状態で電話会議に参加しますが、ユーザーが直接同意する必要はありません。
さらに悪いことに、ウェブサーバーはコンピュータに直接インストールされているため、Zoomアプリケーションをアンインストールしてもサーバーは残ります。つまり、ユーザーがZoomをインストールしていない場合でも、この脆弱性は有効です。
前述の通り、Leitschuh氏は3月にZoomにこの脆弱性を報告しており、月曜夜の公開前にこの脆弱性がどのように発生したかを詳細なタイムラインにまとめています。Leitschuh氏によると、このリグレッションは7月8日に修正されましたが、すぐに回避策を見つけることができたとのことです。
さらに、Leitschuh 氏は、Zoom には有効な自動更新プロセスが実装されていないため、多くの Zoom ユーザーが古いバージョンのソフトウェアを使用している可能性があり、脆弱性に陥る可能性があると述べています。
現在、Zoom はこの問題に対応し、問題を修正するためのアップデートを送信しました。
Macデバイス向けZoomアプリの7月9日パッチが公開されました。詳細は下記をご覧ください。Zoomアプリ内でクライアントのアップデートを促すポップアップが表示される場合がありますので、zoom.us/downloadからダウンロードするか、Zoomアプリウィンドウを開き、画面左上のzoom.usをクリックして「アップデートを確認」をクリックすることでアップデートをご確認ください。
Zoomはこの件について詳細なブログ記事を公開しており、Zoomユーザーであればぜひ一読する価値があります。以下は、 Zoomクライアントがビデオ会議への参加時にウェブカメラを自動的に起動しないように設定できることを同社が指摘している短い抜粋です。
今週、ある研究者がビデオ体験に関する懸念を提起する記事を発表しました。彼の懸念は、攻撃者が標的のZoomユーザーを騙して攻撃者のZoomミーティングID URLへのウェブリンクをクリックさせることができれば、標的のユーザーは知らないうちに攻撃者のZoomミーティングに参加してしまう可能性があるというものです。ユーザーがZoomクライアントでミーティング参加時にビデオを無効にする設定をしていない場合、攻撃者はユーザーのビデオフィードを閲覧できる可能性があります。なお、このような事例がこれまでに発生したという兆候は見られません。
この懸念を踏まえ、ユーザーがビデオ設定をより細かく制御できるようにすることを決定しました。2019年7月のリリースでは、ユーザーが初めてZoomミーティングに参加した際に設定したビデオ設定が、それ以降のすべてのZoomミーティングに適用され、保存されるようになります。ユーザーとシステム管理者は、引き続きクライアントのビデオ設定でミーティング参加時にビデオをオフにすることができます。この変更はすべてのクライアントプラットフォームに適用されます。
さて、興味があって、Zoom の脆弱性とそのクリーンアップ方法を確認したい場合 (ターミナル アプリを使用してもかまわない場合)、Glen Maddern の Twitter の投稿から始めるのが最適です。
わかりました…。
• Zoomアプリをゴミ箱にドラッグします
次にターミナルで次の操作を実行します:
• lsof -i :19421 (PID を取得する)
• kill -9 [PID] (これでカニが強制終了する)
• rm -rf ~/.zoomus (そのまま)
• touch ~/.zoomus (そのまま)何か見逃したでしょうか? https://t.co/UCGtaM3jdp
— グレン・マダーン(@glenmaddern)2019年7月9日
Zoomは最高のビデオ会議アプリ・サービスの一つとして高く評価されていますが、これは大きな脆弱性です。それでも、Zoomが早期に回復する可能性はあります。特に、自動更新の仕組みをアップグレードし、より多くのマシンにパッチ適用済みの新しいソフトウェアを確実にインストールできれば、その可能性はさらに高まります。
あなたはZoomユーザーですか?
