セキュリティの問題が指摘されているビデオ会議サービス「Zoom」のCEOが声明を発表。今後は問題の修正に専念し、Mac版の脆弱性も修正。

　セキュリティの問題が指摘されているビデオ会議サービス「Zoom」のCEOが声明を発表しています。詳細は以下から。

　ここ最近の自宅学習やリモートワークユーザーの増加で、ユーザー数を増やしてきたビデオ会議サービス「Zoom」のEric S. Yuan CEOは現地時間2020年04月01日、同社のZoomサービスに複数の脆弱性が確認され、オープンなオンライン会議やクラスをハイジャックし、嫌がらせを行う「Zoom-Bombing」が発生していることに対して謝罪し、今後90日間はエンジニアリング・リソースをプライバシーとセキュリティ問題のに集中させ、それらの改善と修正に専念すると発表しています。

We have strived to provide you with uninterrupted service and the same user-friendly experience that has made Zoom the video-conferencing platform of choice for enterprises around the world, while also ensuring platform safety, privacy, and security. However, we recognize that we have fallen short of the community’s – and our own – privacy and security expectations. For that, I am deeply sorry, and I want to share what we are doing about it.[…]Over the next 90 days, we are committed to dedicating the resources needed to better identify, address, and fix issues proactively.

A Message to Our Users – Zoom Blog

　Zoomの脆弱性についてはMac版だけではなく、iOSやWindowsなど複数のプラットフォームで報告されているため全ては把握しきれていませんが、Patrick Weadleさんが指摘していたZoom Meeting for Macの脆弱性については、04月01日付けで修正すると記載されており、

• On April 1, we:
  • Published a blog to clarify the facts around encryption on our platform – acknowledging and apologizing for the confusion.
  • Removed the attendee attention tracker feature.
  • Released fixes for both Mac-related issues raised by Patrick Weadle.
  • Released a fix for the UNC link issue.
  • Removed the LinkedIn Sales Navigator after identifying unnecessary data disclosure by the feature.

現在のところ、Zoom Meeting for Macの最新バージョンは03月23日にリリースされたv4.6.8 (19178.0323)で、インストーラーも引き続きユーザーの承認なしにアプリをインストールする仕様に変化はないため、ユーザーの方はアップデートをチェックしておくことをおすすめします。

Zoom Meeting for Macの脆弱性タイムライン

• 2019年07月08日
  ▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。


• 2019年07月09日
  ▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。


• 2019年07月09日
  ▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載した「July 9 Patch」を公開。


• 2019年07月10日
  ▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool」をアップデートし、"~/.zoomus"を削除する機能を追加したと発表。


• 2019年07月12日
  ▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。


• 2019年07月14日
  ▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。


• 2019年07月15日
  ▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。


• 2019年07月16日
  ▶Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除。


• 2020年03月末
  ▶Zoom Meeting for Macのインストーラーが、ユーザー承認をせずにアプリをインストールする問題。


• 2020年03月31日
  ▶Zoom Meeting for Macに権限昇格とコードインジェクションを利用しMacのカメラとマイクからユーザーの行動をキャプチャされる可能性がある脆弱性が指摘される。


• 2020年04月01日
  ▶ZoomのCEOが謝罪し、今後はセキュリティ問題の修正に専念すると発表。


• 2020年04月02日
  ▶Zoomが複数の脆弱性を修正し、インストーラーが承認を取るようにした「Zoom Meeting for Mac v4.6.9」をリリース。


• 2020年04月07日
  ▶タイトルバー上のミーティングID表示の廃止や、ミーティングのホスト(主催者)用にセキュリティを一箇所でコントロールできる「セキュリティ」ボタンを追加した「Zoom Meeting for Mac/Windows v4.6.10」をリリース。


• 2020年04月12日
  ▶DropboxやOneDriveでのファイル共有やスケジュールされたミーティングでパスワードが要求されるようになった「Zoom for Mac/Windows v4.6.11」がリリース。


• 2020年04月27日▶複数のセキュリティ機能を追加/強化した「Zoom v5.0」がリリース。


• 2020年05月10日
  ▶メールアドレスやPMI、電話番号などの個人情報をアスタリスクで隠すようにした「Zoom v5.0.2」がリリース。


• 2020年05月17日
  ▶スクリーン共有時のミーティング情報表示や待合室用の新しいチャイムを追加した「Zoom v5.0.3」がリリース。


• 2020年05月25日
  ▶仮想カメラデバイスやアプリを再サポートした「Zoom v5.0.4」がリリース。


• 2020年05月30日New
  ▶Zoom Meeting v5.x以降のクライアントを利用する全てのZoomアカウントをAES 256-bit GCM暗号化を採用。

• Release Notes – Zoom Help Center
• A Message to Our Users – Zoom Blog