ビデオ会議システム「Zoom」のURLスキームに脆弱性があり、悪意のある人物がこれを悪用して非公開の会議を盗聴できる可能性がある。
これは情報セキュリティ企業のチェック・ポイント社によるもので、同社は、パスワードで保護されていないZoom主催の仮想会議に、スヌープが総当たり攻撃で侵入できることを発見したと述べている。
ハッカーは9桁、10桁、あるいは11桁の会議IDのリストを作成し、それらが有効かどうかをチェックするだけで済みます。もしIDリストにヒットすれば、スパイは会議を盗聴し、セッション中に共有されたすべてのビデオ、音声、文書にアクセスできるようになります。ただし、これはパスワードが設定されていない場合に限られます。
「問題は、『会議パスワードを要求する』オプションを有効にしていない場合、または手動で参加者を入場させる待機室を有効にしていない場合、これらの9-10-11桁の数字が会議のセキュリティを保護する唯一のものだったことです」と、チェック・ポイントは本日の公開に先立ちThe Registerに共有した勧告で指摘している。
Cisco Webexのバグにより、誰でもパスワード保護された会議に参加可能になった
続きを読む
同社は、ランダムに生成されたミーティングIDのうち、約4%が本物のZoomミーティングにつながったと推定している。これは大したことではないように思えるかもしれないが、チェック・ポイント社は、より安全なシステムに対するブルートフォース攻撃と比較すると「成功率が非常に高い」と述べている。
昨年4月に評価額160億ドルで上場したZoomは、シスコシステムズが買収したウェブ会議システム企業Webexの元エンジニア、エリック・ユアン氏によって2011年に設立されました。シスコシステムは数日前にセキュリティアドバイザリで、Webexの最新のバグを公開しました。
「ズームは、非常に機密性の高い商業上または法律上の問題を扱うことが多いビジネス会議で非常に人気がある。しかし、我々の調査では、ハッカーが簡単にランダムにズーム会議にアクセスし、会議を盗聴し、会議の議論や資料を盗聴できることがわかった」とチェック・ポイントの製品脆弱性調査責任者、オデッド・ヴァヌヌ氏は述べた。
Zoomによると、同社の会議ソフトウェアは「数百万」に利用されており、その中にはフォーチュン500企業の60%も含まれる。2019年10月31日を期末とする直近の四半期決算(2020年第3四半期)では、純利益は220万ドルと、前年同期の59万8000ドルの損失から大幅に増加した。売上高は85%増の1億6660万ドルとなったが、投資家はこれが成長の鈍化を示していると嘆いている。
研究者らは昨年6月22日、Zoomに対しこのセキュリティ上の欠陥を公表しました。これを受け、Zoomはセキュリティ上の脆弱性を修正し、今後のすべての会議でユーザーにパスワード設定を義務付けることや、会議IDのスキャンを繰り返し試みるデバイスをブロックすることなど、一連の修正をリリースしました。
この件について、Zoomの広報担当者は次のように回答した。「Zoomユーザーのプライバシーとセキュリティは当社の最優先事項です。この問題は2019年8月に解決されており、プラットフォームをさらに強化するために、引き続き機能を追加してまいります。」
同社は昨年、Macに隠しウェブサーバーをインストールしたことで非難を浴びました。このサーバーにより、ハッカーはウェブサイトにZoomリンクを埋め込むことで、何も知らないユーザーを通話に誘い込むことが可能になりました。ZoomとAppleはその後まもなく修正プログラムをリリースしました。®
