セキュリティ

SECURITY

公開：2024-07-13

Zoom Workplace Desktop App for macOSに脆弱性、ローカルアクセスによるサービス拒否攻撃のリスク

text: XEXEQ編集部

記事の要約

• Zoom Workplace Desktop App for macOSに脆弱性
• CVE-2024-39820として報告
• バージョン6.0.10未満が影響を受ける
• ローカルアクセスによるサービス拒否攻撃の可能性

Zoom Workplace Desktop Appの脆弱性、ローカルアクセスによる攻撃リスク

Zoom Workplace Desktop App for macOSのインストーラーに存在する制御されていない検索パス要素の脆弱性が明らかになった。この脆弱性はCVE-2024-39820として識別され、CVSS（Common Vulnerability Scoring System）でMediumの深刻度、スコア6.6と評価されている。バージョン6.0.10未満のアプリケーションがこの脆弱性の影響を受けることが判明した。^[1]

この脆弱性を悪用されると、認証されたユーザーがローカルアクセスを通じてサービス拒否攻撃を引き起こす可能性がある。攻撃者は制御されていない検索パス要素を利用して、システムの正常な動作を妨げる可能性がある。ユーザーはZoomの公式ウェブサイト（https://zoom.us/download）から入手可能な最新のアップデートを適用することで、この脆弱性から身を守ることができる。

CVSSとは？

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として、以下のような点が挙げられる。

• 0.0から10.0までのスコアで脆弱性を評価
• 攻撃の容易さや影響度を考慮
• 基本評価・現状評価・環境評価の3つの指標で構成
• ベンダーや組織間で共通の尺度として使用
• 脆弱性の優先度付けやリスク管理に活用

CVSSは脆弱性の深刻度を数値化することで、セキュリティ対策の優先順位付けを容易にする。スコアが高いほど脆弱性の影響が大きく、早急な対応が求められる。今回のZoom Workplace Desktop Appの脆弱性は6.6というスコアであり、中程度の深刻度と評価されているが、迅速な対応が推奨される。

Zoom Workplace Desktop Appの脆弱性に関する考察

Zoom Workplace Desktop Appの脆弱性は、リモートワークの増加に伴い重要性を増すビデオ会議ツールのセキュリティリスクを浮き彫りにした。今後、同様の脆弱性が他のデスクトップアプリケーションでも発見される可能性があり、開発者はセキュアコーディング practices の徹底とコードレビューの強化が求められるだろう。ユーザー側も定期的なアップデートの重要性を再認識する必要がある。

この事例を踏まえ、Zoomには脆弱性の早期発見と迅速な修正のためのセキュリティテストの強化が期待される。また、インストーラーのセキュリティ強化や、ユーザーへのアップデート通知の改善など、より積極的なセキュリティ対策の実装が求められる。今後はAIを活用した脆弱性検出システムの導入など、先進的なセキュリティ対策の導入も検討すべきだろう。

この脆弱性の影響は、主にZoom Workplace Desktop App for macOSのユーザーに及ぶ。組織のIT管理者にとっては、影響を受けるシステムの特定と迅速なアップデート適用が課題となる。一方、セキュリティ研究者にとっては、類似の脆弱性を他のアプリケーションで発見する機会となり、全体的なソフトウェアセキュリティの向上に寄与する可能性がある。

参考サイト

1. ^ Zoom. 「ZSB-24027 | Zoom」. https://www.zoom.com/en/trust/security-bulletin/zsb-24027/, (参照 24-07-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧