「Zoom」のWindows版クライアントに脆弱性、認証情報を盗まれるおそれ
ビデオ会議ツール「Zoom」の「Windows」版クライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが、セキュリティ研究者の調査で明らかになった。Zoomについては、「iOS」版アプリでプライバシーに関する問題が浮上したばかりだ。
Zoomは新型コロナウイルス感染症(COVID-19)患者の急激な増加を受けて使用されるケースが急増している中で、そのセキュリティに対しても厳しい目が向けられている。
グループチャット機能では、ミーティング中に会議の他の参加者にメッセージを送信できる。また、送信したURLをハイパーリンクに変換する機能もあり、これを受信した人はブラウザーでウェブページを開くことができる。
だがBleepingComputerの報告によれば、Zoomクライアントは通常のURLだけでなくWindowsネットワークのUniversal Naming Convention(UNC)パスもクリック可能なリンクに変換してしまうという。
UNCはネットワークリソースの場所を指定するために使用される。例えば、攻撃者の支配下にあるServer Message Block(SMB)サーバーにホスティングされているおそれがあるファイルの指定もできる。
任意の人物がこのUNCパスのリンクをクリックすると、WindowsはSMBネットワークのファイル共有プロトコルを使用してリモートサイトへの接続を試みる。そして、デフォルト設定では、Windowsは次にユーザーのログイン名とNT Lan Manager(NTLM)パスワードハッシュを送信する。
ハッシュは平文ではないが、非常に簡単なパスワードが設定されている場合は、パスワードクラッカーの「John the Ripper」といったツールを使用すれば、通常レベルのGPUを搭載したコンピューターで、ごくわずかな時間で解析できる。
このバグはセキュリティ研究者の@_g0dmodeによって発見された。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://japan.zdnet.com/amp/article/35151756/
ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
ZoomのMac版のインストールプロセスが、Appleのセキュリティを回避する一般にマルウェアで使われる動作になっているとセキュリティ専門家が指摘。ZoomのCEOはWeb会議参加までのステップを簡単にするためだったが改善すると表明した。https://www.itmedia.co.jp/news/articles/2004/02/news053.html
解決策→ブラウザ版を使おう
- >ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
怖すぎ
- >>2
ちゃんと読めよ、ソフト自体に問題はない - ダメじゃん
- マトリックスの世界に近づいてきた
- バグというよりは意図的な脆弱性に近い
- やはり料亭の座敷じゃないと
悪い話はできませんなあ - こんな糞ツール使ってるやつおるんか
- >>7
うちは全部これやで 全社員の自宅PCとスマホにインストール命令出てる - スレタイどう言う意味?
イデオロギーでやってるならキャップ返上したほうがいいよ - >>8
中国語圏は武漢肺炎って報道してるけど、
なんで五毛は日本にだけ文句言うの?
武漢研究所お漏らし中共隠蔽テドロス肺炎の方がいいってこと? - 会社のPCにこれ入ってる、まあ俺の情報じゃないから気にしないけど。
- Googleの法人契約についてきたmeet使ってる
- >>10
法人契約?
あくまでも1ライセンス1台だろ - 大人しくTeams使っとけ
Skypeでもいいけど - おしっこしてるとこ映るからな
- Androidはセーフ?
昨日いれたとこ - これを機に日本総リモート化を図りたい人間が一定数いるみたいだけど、
そうは問屋がおろさないと思ってる。
収束したら完全にとはいかなくても概ね元に戻ると思う。 - き・・・
- 今月から会社で導入してるんだがワロス
- LINEならともかくZOOMでこれやったら終わりじゃん
信用は一度失ったら終わり
トレンドマイクロウィルスバスターみたいになw - 会社が私物PCに入れろとヒステリー起こしてたんで、完全抹消してからつなごうかなとw
- いまんとこTeamsが一番使いやすいな
スレもチャットも画像共有も電話もできるし
できれば受信時にポップアップで教えて欲しいけど - 昨日ボリスジョンソンが閣議会議の画面のスクショをツイにあげてミーティングIDとか参加したイギリスの大臣のIDが漏れちゃったんだよな
あのひと50になってもまともに手も洗えないしいろいろモレモレすぎてイギリスはあれでだいじょうぶなんだろうか - セキュリティの方はどうしよかと思ってたらこれだw
- 新型コロナで最近注目され始めたアプリだから、windowsのように、エクスプロイトが多数開発されるだろうね。
- もうGoogleで統一しよう
アプリだらけツールだらけでめんどくさいんだよ - >>25
通信量もっとガッツリ抑えて
画質音質そのままならいいんだけどねー - 最初からそう言うシステムだったんだろ
エリックS.ユアンは億万長者のビジネスマンであり、クラウドベースのズームビデオコミュニケーションの創設者です
生まれ: 中華人民共和国 泰安市 - >>27
中共ウィルスのお陰で中国人大儲けか…
世の中理不尽だ - >>27
リアルでもネットでもウイルスばら撒くとかどうしようもないな - 企業はWebexじゃだめなの?
- アホの使うツールw
- このタイミングで判明かよ。
- 会議参加者が悪意持ってなきゃどうもならんやんけ
- >>31
参加URLのIDが短すぎて知らない奴が乱入してくるという不具合もある
エ口画像グロ画像ウイルス貼って邪魔してくる - 会社からGPSアプリを仕込まれる
- zoom zoomってか?
まさにお子ちゃまレベル(笑)
- 共有リンクなんか使わねーから問題ない
- >>37
ミーティング中にちょっとこの資料見て!って言われたらクリックせざるをえなくない? - >>37
使われるのが理解出来ない馬鹿 - GoogleやMSのような各種アプリ、ウェブストレージ、テキストチャットと一体化しているオンライン会議システムの方が優れているはずなんだけど、今はその多機能さがアダになった。複雑なものはそれだけで利用意欲を失わせるから。
いまからでも遅くないので、GoogleとMSは宣伝を見直すべき。
- やっぱスカイプか!
- 日本の学校は文科省がZoomをお勧めしているのでみんなZoom。
授業課題の提出にGoogle Classroomを使っていてもライブ配信はZoom。 - もう修正済なんだから古いネタで記事たてんな
- あーあ
オンライン授業終了 - linux版とかあるのかな
- シスコが一番堅牢な気がするけどな
- 日本政府ご推薦でまともなもんなんてあった試しがないだろ
Celeronノート15万だぜ?
【武漢肺炎】ビデオ会議ツール「Zoom」のiOS版とMac版とWindows版に脆弱性
ニュー速+
コメント