セキュリティ研究者のJonathan Leitschuh氏が米国時間7月8日、ウェブカメラに注意が必要であることを示す新たな理由を「Mac」ユーザーに示した。ビデオ会議アプリ「Zoom」にセキュリティの脆弱性があるという。
Zoomは、クリックで参加する機能がよく知られている。URLをクリックすると、Zoomアプリ内のビデオ会議に直接参加することができる。しかし、Leitschuh氏はMediumの投稿の中で、Zoomでこの機能が安全でない方法で実装されていることを数カ月前に発見したと説明している。Macにインストールした場合、任意のウェブサイトがユーザーをミーティングに参加させることができ、許可なくユーザーのウェブカメラを起動できるという。
これによって、無効なミーティングにユーザーを繰り返し参加させることによって、任意のウェブページがMacにDoS(Denial of Service)攻撃を仕掛けられるという。MacからZoomアプリをアンインストールしても、この問題は修正されない。Zoomは、ユーザーのコンピューター上にウェブサーバーをインストールすることによって、クリックで参加する機能を実装しているため、ユーザーの許可なくZoomが再インストールされる可能性がある。
「一旦インストールしたZoomクライアントをアンインストールしても、localhostのウェブサーバーがコンピューター上に残るので、それによってZoomクライアントが再インストールされる。ウェブページを訪問する以外に、ユーザーの意志に基づくユーザー操作は一切必要としない。この再インストール『機能』は今でもそのような形で動作し続けている」(Leitschuh氏)
Leitschuh氏はMediumの投稿の中で、ZoomアプリをMacにインストール済みのユーザーに対し、ローカルサーバーを無効にする手順を示している。また、ミーティングに参加する際、自分のビデオをオフにするよう設定する方法も紹介している。
同氏は3月25日にZoomに連絡し、90日の情報開示猶予期間を与えたと述べた。Zoomは問題を修正し、ウェブページがユーザーのウェブカメラを自動的にオンにする機能を無効にしたが、この部分的な修正は7月7日に取り払われ、再び許可なくウェブカメラが起動できる状態になっている。
Zoomは声明で、ローカルウェブサーバーは、2018年9月にリリースされたAppleのウェブブラウザ「Safari 12」の回避策だと述べた。
「Zoomは、Zoomのクライアントを実行するMacデバイスにローカルウェブサーバーをインストールする」「これはSafari 12で導入されたアーキテクチャの変更に対する回避策だ。この変更により、ユーザーは会議のたびにZoomの起動を承認しなければならなくなった。ローカルウェブサーバーはユーザーに代わって自動的にアクセスを承認し、ユーザーが会議参加前に追加のクリックをしなくて済むようにする。当社はこれを、貧弱なユーザー体験への適切な解決策であり、当社の製品差別化の鍵である円滑なワンクリック参加型の会議をユーザーに提供できるようにするものと捉えている」(Zoom)
DoS攻撃の可能性については、そのような脆弱性が悪用された記録はないとし、そのセキュリティ脆弱性は5月に修正済みだとZoomは述べた。
その後、Zoomはパッチを9日に提供すると発表した。これを適用すると、ローカルウェブサーバーは完全に削除される。また、ユーザーが手動でローカルウェブサーバーも含めてZoomを完全にアンインストールできるようになる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス