「Zoom」のWindows版クライアントに脆弱性、認証情報を盗まれるおそれ

Liam Tung (CNET News) 翻訳校正: 桑井章裕 長谷睦 (ガリレオ)

2020-04-02 10:52

 ビデオ会議ツール「Zoom」の「Windows」版クライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが、セキュリティ研究者の調査で明らかになった。Zoomについては、「iOS」版アプリでプライバシーに関する問題が浮上したばかりだ。

 Zoomは新型コロナウイルス感染症(COVID-19)患者の急激な増加を受けて使用されるケースが急増している中で、そのセキュリティに対しても厳しい目が向けられている。

 グループチャット機能では、ミーティング中に会議の他の参加者にメッセージを送信できる。また、送信したURLをハイパーリンクに変換する機能もあり、これを受信した人はブラウザーでウェブページを開くことができる。

 だがBleepingComputerの報告によれば、Zoomクライアントは通常のURLだけでなくWindowsネットワークのUniversal Naming Convention(UNC)パスもクリック可能なリンクに変換してしまうという。

 UNCはネットワークリソースの場所を指定するために使用される。例えば、攻撃者の支配下にあるServer Message Block(SMB)サーバーにホスティングされているおそれがあるファイルの指定もできる。

 任意の人物がこのUNCパスのリンクをクリックすると、WindowsはSMBネットワークのファイル共有プロトコルを使用してリモートサイトへの接続を試みる。そして、デフォルト設定では、Windowsは次にユーザーのログイン名とNT Lan Manager(NTLM)パスワードハッシュを送信する。

 ハッシュは平文ではないが、非常に簡単なパスワードが設定されている場合は、パスワードクラッカーの「John the Ripper」といったツールを使用すれば、通常レベルのGPUを搭載したコンピューターで、ごくわずかな時間で解析できる。

 このバグはセキュリティ研究者の@_g0dmodeによって発見された。

 

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  3. セキュリティ

    クラウドネイティブ開発の要”API”--調査に見る「懸念されるリスク」と「セキュリティ対応策」

  4. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

  5. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]