ZoomのWindows版アプリに脆弱性、パストラバーサルによる情報漏洩リスクが発覚

text: XEXEQ編集部

記事の要約
ZoomのWindows版製品に深刻な脆弱性、情報漏洩のリスクが浮上
パストラバーサルとは？
Zoomの脆弱性対応に関する考察
参考サイト

記事の要約

Zoom Workplace AppsとSDKsにパストラバーサルの脆弱性
認証済みユーザーによる情報漏洩のリスク
Windows版の複数製品が影響を受ける
最新の更新適用で安全性確保が可能

ZoomのWindows版製品に深刻な脆弱性、情報漏洩のリスクが浮上

Zoomの一部Windows版製品において、パストラバーサルの脆弱性（CVE-2024-39826）が発見された。この脆弱性は、Zoom Workplace AppsとSDKsのTeam Chat機能に存在し、認証済みユーザーがネットワークアクセスを通じて情報漏洩を引き起こす可能性がある。CVSSスコアは6.8（中程度）であり、影響の大きさを示している。^[1]

影響を受ける製品は、Windows用Zoom Workplace Desktop App 6.0.0未満、Windows用Zoom Workplace VDI App 5.17.13未満、Windows用Zoom Meeting SDK 6.0.0未満だ。Zoomは、ユーザーに対して最新の更新を適用することで安全を確保できるとしている。この脆弱性は、shmoulによって報告され、2024年7月9日に初めて公開された。

製品名	影響を受けるバージョン	更新推奨バージョン
Zoom Workplace Desktop App (Windows)	6.0.0未満	6.0.0以上
Zoom Workplace VDI App (Windows)	5.17.13未満	5.17.13以上
Zoom Meeting SDK (Windows)	6.0.0未満	6.0.0以上

パストラバーサルとは？

パストラバーサルとは、Webアプリケーションの脆弱性の一種で、攻撃者がファイルシステム上の任意のファイルにアクセスできてしまう問題を指す。主な特徴として、以下のような点が挙げられる。

ディレクトリ構造を操作し、本来アクセスできないファイルにアクセス可能
機密情報の漏洩や、システムファイルの改ざんのリスクがある
入力値の検証が不十分な場合に発生しやすい
「../」や「..¥」などの特殊文字列を使用して攻撃が行われる
Webアプリケーションセキュリティにおいて重要な脆弱性の一つ

ZoomのWindows版製品で発見されたこの脆弱性は、Team Chat機能を悪用することで、攻撃者が本来アクセスできないはずのファイルや情報にアクセスできてしまう可能性がある。そのため、ユーザーは速やかに最新バージョンへの更新を行い、潜在的なリスクを軽減することが重要だ。

Zoomの脆弱性対応に関する考察

Zoomの脆弱性対応は迅速だが、今後はより厳格なセキュリティ検証プロセスの導入が必要だろう。特に、Windows版製品に集中して発見された今回の脆弱性は、クロスプラットフォーム開発におけるセキュリティ課題を浮き彫りにしている。Zoomは、各プラットフォーム固有のセキュリティリスクに対する理解を深め、開発段階からのセキュリティ対策強化が求められる。

今後、Zoomには脆弱性スキャンの自動化やAIを活用したコード分析など、先進的なセキュリティ技術の導入が期待される。同時に、オープンソースコミュニティとの協力を強化し、外部の専門家による定期的なセキュリティ監査を実施することで、製品の安全性をさらに高められるだろう。ユーザーの信頼を維持するためには、透明性の高い脆弱性報告システムの構築も重要な課題となる。

この脆弱性の影響は、主にZoomを業務利用する企業や組織に及ぶ。特に、機密情報を扱う業界や、コンプライアンス要件の厳しい分野では、潜在的な情報漏洩リスクが大きな懸念事項となる。一方で、Zoomの迅速な対応と明確な更新指示は、ユーザーの安全確保に貢献している。今後は、脆弱性発見から修正までのプロセスをさらに効率化し、セキュリティインシデントの影響を最小限に抑える取り組みが求められるだろう。