セキュリティ

SECURITY

公開：2024-07-13

Zoom Workplace AppとRooms Appに競合状態の脆弱性、ローカルアクセスによる攻撃の可能性

text: XEXEQ編集部

記事の要約

• Zoom Windows アプリに脆弱性発見
• 認証ユーザーによるサービス拒否攻撃の可能性
• CVE-2024-39821として報告
• Zoomがアップデートを推奨

Zoom Windows アプリの脆弱性、ローカルアクセスによる攻撃リスク

Zoom CommunicationsのWindows向けアプリケーションにおいて、重大な脆弱性が発見された。この脆弱性は、Zoom Workplace AppとZoom Rooms Appのインストーラーに存在する競合状態（レースコンディション）に起因するものだ。CVE-2024-39821として報告されたこの問題は、CVSS（共通脆弱性評価システム）でスコア6.6の中程度の深刻度と評価されている。^[1]

この脆弱性の特徴は、認証されたユーザーがローカルアクセスを通じてサービス拒否攻撃を実行できる点にある。具体的には、Zoom Workplace App for Windowsのバージョン6.0.10未満、およびZoom Rooms App for Windowsのバージョン6.0.6未満が影響を受ける。Zoomは、ユーザーに対して最新のアップデートを適用することで、セキュリティを確保するよう強く推奨している。

競合状態（レースコンディション）とは

競合状態（レースコンディション）とは、複数のプロセスやスレッドが共有リソースに同時にアクセスしようとする際に発生する問題のことを指す。主な特徴として、以下のような点が挙げられる。

• タイミングに依存する不確定な動作を引き起こす
• データの整合性を損なう可能性がある
• セキュリティ上の脆弱性につながることがある
• デバッグが困難な問題の一つ
• 並行処理システムで頻繁に発生する

Zoomの脆弱性の場合、インストーラーのプロセスにおいてこの競合状態が発生し、攻撃者がタイミングを悪用してサービス拒否攻撃を実行できる状況を生み出している。この種の脆弱性は、適切な同期メカニズムやアトミックな操作の実装によって防ぐことが可能だ。

Zoomアプリの脆弱性に関する考察

今回の脆弱性が明らかになったことで、リモートワークやオンラインコミュニケーションツールのセキュリティに対する懸念が再び浮上する可能性がある。特に企業や教育機関など、Zoomを広く利用している組織にとっては、迅速なアップデート対応が求められるだろう。一方で、この事態は、ソフトウェア開発におけるセキュリティテストの重要性を再認識させる機会となるかもしれない。

今後、Zoomには脆弱性の早期発見と迅速な対応に加え、インストーラーのセキュリティ強化が求められる。具体的には、署名付きインストーラーの採用やインストールプロセスの厳格な権限管理など、より堅牢なセキュリティ対策の実装が期待される。また、ユーザー側も定期的なアップデートチェックやセキュリティ警告への迅速な対応など、より積極的なセキュリティ意識が必要となるだろう。

この脆弱性の発見は、Zoomユーザーにとっては一時的な不安要素となるが、長期的にはZoomのセキュリティ体制の強化につながる可能性がある。セキュリティ研究者とソフトウェア開発者の協力により、より安全なコミュニケーションプラットフォームの実現に向けた取り組みが加速することが期待される。

参考サイト

1. ^ Zoom. 「ZSB-24028 | Zoom」. https://www.zoom.com/en/trust/security-bulletin/zsb-24028/, (参照 24-07-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧