セキュリティ

SECURITY

公開：2024-07-13

ZoomのWindows版アプリに特権昇格の脆弱性、CVSSスコア7.1の高リスク問題に対処

text: XEXEQ編集部

記事の要約

• WindowsアプリのインストーラーにCVE-2024-27240の脆弱性
• ローカルアクセスによる特権昇格の可能性
• CVSS評価7.1の高リスク脆弱性
• 最新版へのアップデートで対策可能

Zoomの特権昇格脆弱性、Windows版アプリに深刻な影響

Zoomの一部Windows向けアプリケーションにおいて、深刻な特権昇格の脆弱性が発見された。この脆弱性はCVE-2024-27240として識別され、Common Vulnerability Scoring System（CVSS）によって7.1という高い評価を受けている。Zoomの公式発表によると、この脆弱性は認証されたユーザーがローカルアクセスを通じて特権昇格を行える可能性があるという点で危険性が高いとされている。^[1]

影響を受けるアプリケーションは、Zoom Workplace Desktop App for Windows（バージョン6.0.0未満）、Zoom Workplace VDI Plug-in for Windows（バージョン5.17.13未満）、そしてZoom Rooms App for Windows（バージョン6.0.0未満）だ。Zoomは、ユーザーに対して公式サイト（https://zoom.us/download）から最新版をダウンロードし、インストールすることで脆弱性に対処するよう呼びかけている。この迅速な対応は、Zoomのセキュリティに対する姿勢を示すものと言えるだろう。

CVSSとは？脆弱性の深刻度を示す重要指標

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報セキュリティの脆弱性の深刻度を評価するための業界標準システムのことを指す。主な特徴として、以下のような点が挙げられる。

• 0.0から10.0までのスコアで脆弱性の重大さを評価
• 攻撃の複雑さや影響範囲などの要素を考慮
• ベーススコア、時間的スコア、環境的スコアの3種類で構成
• セキュリティ専門家や組織間での共通言語として機能
• 脆弱性の優先順位付けやリスク管理に活用

CVSSスコアは、脆弱性の技術的な特徴と、それが与える潜在的な影響を数値化したものだ。今回のZoomの脆弱性に与えられた7.1というスコアは、「高」レベルの脆弱性を示しており、早急な対応が必要であることを意味している。このスコアリングシステムにより、組織はセキュリティリスクを客観的に評価し、効果的な対策を講じることが可能となっている。

Zoomの脆弱性対応に関する考察

今回のZoomの脆弱性対応は、ソフトウェアセキュリティの重要性を再認識させる出来事となった。特権昇格の脆弱性は、攻撃者がシステム全体を掌握する可能性があるため、特に危険度が高い。Zoomのような広く使用されているアプリケーションにこうした脆弱性が存在することは、個人ユーザーから企業ユーザーまで幅広い層に影響を与える可能性があり、その影響は計り知れないものがある。

今後、Zoomには脆弱性の早期発見と迅速な対応をさらに強化することが求められるだろう。例えば、セキュリティ研究者との協力関係を深め、バグバウンティプログラムの拡充などを通じて、潜在的な脆弱性をより早く発見し、対処する体制を整えることが重要だ。また、ユーザーに対しても、定期的なアップデートの重要性を啓発し、自動アップデート機能の強化など、ユーザー側での対応をサポートする仕組みづくりが必要となるだろう。

この事例は、ソフトウェア開発企業全体にとっても重要な教訓となる。特に、リモートワークやオンラインコミュニケーションツールの重要性が高まる中、セキュリティへの投資とユーザー保護の取り組みは、企業の信頼性と競争力を左右する重要な要素となっている。Zoomの対応と今後の取り組みは、業界全体のセキュリティ標準を引き上げる契機となる可能性を秘めている。

参考サイト

1. ^ Zoom. 「ZSB-24019 | Zoom」. https://www.zoom.com/en/trust/security-bulletin/zsb-24019/, (参照 24-07-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧