セキュリティ

SECURITY

公開：2024-08-20

Zoomの一部製品に情報漏洩の脆弱性、最新版へのアップデートで対策可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Zoomの一部製品に情報漏洩の脆弱性
• CVE-2024-39823など4つの脆弱性が報告
• 最新バージョンへのアップデートで対策可能

Zoomの一部製品における情報漏洩の脆弱性

Zoomは、一部のWorkplace Apps、SDKs、Rooms Clients、Rooms Controllersに情報漏洩の脆弱性が存在すると発表した。この脆弱性により、特権を持つユーザーがネットワークアクセスを通じて機密情報を取得する可能性がある。Zoomは2024年8月13日にこの脆弱性情報を公開し、ユーザーに対して最新のアップデートを適用するよう呼びかけている。^[1]

報告された脆弱性はCVE-2024-39823、CVE-2024-39824、CVE-2024-42434、CVE-2024-42435の4つで、CVSSスコアは4.9（中程度）となっている。CVSSベクトル文字列はCVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:Nとなっており、ネットワーク経由でアクセス可能で、攻撃の複雑さは低いものの、高い権限が必要とされることがわかる。

影響を受ける製品は多岐にわたり、Zoom Workplace Desktop AppやZoom Meeting SDK、Zoom Rooms ClientなどのWindows、macOS、Linux、iOS、Android版が含まれる。ユーザーは自身の使用している製品のバージョンを確認し、影響を受ける可能性がある場合は、Zoomの公式サイト（https://zoom.us/download）から最新版をダウンロードし、アップデートを行うことが推奨される。

Zoomの脆弱性対象製品まとめ

Zoomの最新版ダウンロードはこちら

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略で、情報セキュリティの脆弱性の深刻度を評価するための業界標準システムのことを指している。主な特徴として以下のような点が挙げられる。

• 0.0から10.0までのスコアで脆弱性の深刻度を表現
• 基本評価基準、現状評価基準、環境評価基準の3つの指標で構成
• ベクトル文字列により詳細な評価内容を簡潔に表現可能

今回のZoomの脆弱性に関するCVSSスコアは4.9で、中程度の深刻度と評価されている。ベクトル文字列CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:Nは、ネットワーク経由でアクセス可能で攻撃の複雑さは低いものの、高い権限が必要であり、機密性への影響が高いことを示している。このような詳細な評価により、脆弱性の特性と対応の優先度を効果的に把握することが可能となる。

Zoomの脆弱性対応に関する考察

Zoomが迅速に脆弱性を公表し、対策を提供したことは評価に値する。ユーザーに対して透明性を保ち、具体的な対応策を示したことで、信頼性の維持につながるだろう。一方で、多数の製品とプラットフォームに影響が及んでいることから、全ユーザーへの周知と更新の徹底が課題となる可能性がある。

今後、同様の脆弱性が発見されるリスクも考えられる。Zoomは継続的なセキュリティ監査と迅速な脆弱性対応プロセスの確立が求められるだろう。また、ユーザー側も定期的なアップデートの重要性を認識し、セキュリティ意識を高める必要がある。Zoomのような広く使用されるコミュニケーションツールにおいては、セキュリティと利便性のバランスが極めて重要となる。

今後、Zoomには自動アップデート機能の強化や、脆弱性情報の効果的な通知システムの導入が期待される。また、開発段階でのセキュリティ設計の見直しや、サードパーティによる定期的なセキュリティ監査の実施なども検討すべきだろう。ユーザーの信頼を維持しつつ、安全なコミュニケーション環境を提供し続けることが、Zoomの今後の成長と市場での地位維持に不可欠となるはずだ。

参考サイト

1. ^ Zoom. 「ZSB-24030 | Zoom」. https://www.zoom.com/en/trust/security-bulletin/zsb-24030/, (参照 24-08-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧