セキュリティの問題が指摘されているビデオ会議サービス「Zoom」のCEOが声明を発表。今後は問題の修正に専念し、Mac版の脆弱性も修正。

スポンサーリンク

 セキュリティの問題が指摘されているビデオ会議サービス「Zoom」のCEOが声明を発表しています。詳細は以下から。

Zoomのアイコン

 ここ最近の自宅学習やリモートワークユーザーの増加で、ユーザー数を増やしてきたビデオ会議サービス「Zoom」のEric S. Yuan CEOは現地時間2020年04月01日、同社のZoomサービスに複数の脆弱性が確認され、オープンなオンライン会議やクラスをハイジャックし、嫌がらせを行うZoom-Bombingが発生していることに対して謝罪し、今後90日間はエンジニアリング・リソースをプライバシーとセキュリティ問題のに集中させ、それらの改善と修正に専念すると発表しています。

Zoom Message

We have strived to provide you with uninterrupted service and the same user-friendly experience that has made Zoom the video-conferencing platform of choice for enterprises around the world, while also ensuring platform safety, privacy, and security. However, we recognize that we have fallen short of the community’s – and our own – privacy and security expectations. For that, I am deeply sorry, and I want to share what we are doing about it.[…]Over the next 90 days, we are committed to dedicating the resources needed to better identify, address, and fix issues proactively.

A Message to Our Users – Zoom Blog

 Zoomの脆弱性についてはMac版だけではなく、iOSやWindowsなど複数のプラットフォームで報告されているため全ては把握しきれていませんが、Patrick Weadleさんが指摘していたZoom Meeting for Macの脆弱性については、04月01日付けで修正すると記載されており、

  • On April 1, we:
    • Published a blog to clarify the facts around encryption on our platform – acknowledging and apologizing for the confusion.
    • Removed the attendee attention tracker feature.
    • Released fixes for both Mac-related issues raised by Patrick Weadle.
    • Released a fix for the UNC link issue.
    • Removed the LinkedIn Sales Navigator after identifying unnecessary data disclosure by the feature.

現在のところ、Zoom Meeting for Macの最新バージョンは03月23日にリリースされたv4.6.8 (19178.0323)で、インストーラーも引き続きユーザーの承認なしにアプリをインストールする仕様に変化はないため、ユーザーの方はアップデートをチェックしておくことをおすすめします。

Zoom for Mac March 2020 update

スポンサーリンク

Zoom Meeting for Macの脆弱性タイムライン

  • 2019年07月08日
    ▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。

  • 2019年07月09日
    ▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。

  • 2019年07月09日
    ▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載したJuly 9 Patchを公開。

  • 2019年07月10日
    ▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能Malware Removal Toolをアップデートし、"~/.zoomus"を削除する機能を追加したと発表。

  • 2019年07月12日
    ▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。

  • 2019年07月14日
    ▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。

  • 2019年07月15日
    ▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。

  • 2019年07月16日
    ▶Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除。

  • 2020年03月末
    ▶Zoom Meeting for Macのインストーラーが、ユーザー承認をせずにアプリをインストールする問題

  • 2020年03月31日
    ▶Zoom Meeting for Macに権限昇格とコードインジェクションを利用しMacのカメラとマイクからユーザーの行動をキャプチャされる可能性がある脆弱性が指摘される。

  • 2020年04月01日
    ▶ZoomのCEOが謝罪し、今後はセキュリティ問題の修正に専念すると発表

  • 2020年04月02日
    ▶Zoomが複数の脆弱性を修正し、インストーラーが承認を取るようにしたZoom Meeting for Mac v4.6.9をリリース。

  • 2020年04月07日
    ▶タイトルバー上のミーティングID表示の廃止や、ミーティングのホスト(主催者)用にセキュリティを一箇所でコントロールできる「セキュリティ」ボタンを追加したZoom Meeting for Mac/Windows v4.6.10をリリース。

  • 2020年04月12日
    ▶DropboxやOneDriveでのファイル共有やスケジュールされたミーティングでパスワードが要求されるようになったZoom for Mac/Windows v4.6.11がリリース。

  • 2020年04月27日▶複数のセキュリティ機能を追加/強化したZoom v5.0がリリース。

  • 2020年05月10日
    ▶メールアドレスやPMI、電話番号などの個人情報をアスタリスクで隠すようにしたZoom v5.0.2がリリース。

  • 2020年05月17日
    ▶スクリーン共有時のミーティング情報表示や待合室用の新しいチャイムを追加したZoom v5.0.3がリリース。

  • 2020年05月25日New
    ▶仮想カメラデバイスやアプリを再サポートしたZoom v5.0.4がリリース。

コメント

  1. 匿名 より:

    ZoomはR&Dセンターを中国において、開発チームも全員中国人だからこんな作りになったんじゃないでしょうか?
    中国人エンジニアは人件費も安いし、開発費も10%しかかかってないて自慢してたし、これじゃCiscoとかが可愛そう。
    ttps://www.cnbc.com/2019/03/26/zoom-key-profit-driver-ahead-of-ipo-engineers-in-china.html