セキュリティ

SECURITY

公開：2025-01-16

ZoomがWorkplace Apps for Windowsの脆弱性を公開、権限昇格の可能性で複数の製品がアップデートの必要性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Zoom Workplace Apps for Windowsにセキュリティ脆弱性
• 認可されたユーザーによる権限昇格の可能性
• 複数のZoom製品が影響を受け更新が必要

Zoom Workplace Apps for Windowsのセキュリティ脆弱性

Zoomは2025年1月14日、Zoom Workplace Apps for Windowsにおいて認可されたユーザーが権限昇格を実行できる脆弱性（CVE-2025-0145）を公開した。この脆弱性はCVSS 3.1で4.6点の中程度の深刻度に分類され、インストーラーにおける信頼されていない検索パスの問題が原因となっている。^[1]

影響を受ける製品は、Zoom Workplace App for Windows 6.2.5未満、Zoom Workplace VDI Client for Windows 6.1.13未満（6.0.15を除く）、Zoom Rooms Client for Windows 6.2.5未満など複数のZoom製品に及んでいる。ユーザーはセキュリティを確保するため、公式サイトから最新バージョンへのアップデートを実施する必要がある。

この脆弱性は認可されたユーザーがローカルアクセスを通じて権限昇格を実行できる可能性があり、情報の改ざんやシステムの可用性に影響を与える恐れがある。CVSSベクトル文字列によると、攻撃の複雑さは低いものの、攻撃者には権限が必要であり、ユーザーの操作も必要となる。

影響を受けるZoom製品まとめ

Zoomの最新バージョンのダウンロードはこちら

権限昇格とは

権限昇格とは、システムにおいて通常のユーザーが管理者権限などの高い権限を不正に取得することを指す。主な特徴として、以下のような点が挙げられる。

• システムの重要な機能やデータへの不正アクセスが可能になる
• マルウェアの実行やシステム設定の変更が可能になる
• 情報漏洩やシステム破壊などのセキュリティリスクが高まる

今回のZoom Workplace Apps for Windowsの脆弱性では、認可されたユーザーがローカルアクセスを通じて権限昇格を実行できる可能性がある。この脆弱性は中程度の深刻度に分類されているが、組織のセキュリティポリシーに重大な影響を及ぼす可能性があるため、早急な対応が推奨される。

Zoom Workplace Apps for Windowsの脆弱性に関する考察

今回の脆弱性はローカルアクセスと認可されたユーザーという条件が必要であり、リモートからの攻撃や認証されていないユーザーによる攻撃のリスクは限定的である。しかし、内部犯行や認証情報が漏洩した場合のリスクは依然として存在し、特に大規模な組織での運用においては慎重な対応が必要となるだろう。

今後の課題として、インストーラーのセキュリティ設計の見直しや、定期的なセキュリティ監査の実施が重要となる。特にWindows環境での権限管理については、より厳格な制御メカニズムの実装や、セキュアなインストール処理の実装が求められるだろう。

Zoomは今回の脆弱性に対して迅速な対応を行い、更新プログラムを提供している点は評価できる。今後は、開発段階でのセキュリティテストの強化や、脆弱性報告プログラムの拡充など、予防的なセキュリティ対策の強化が期待される。

参考サイト

1. ^ Zoom. 「ZSB-25004 | Zoom」. https://www.zoom.com/en/trust/security-bulletin/zsb-25004/, (参照 25-01-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧