いまだ大事には至っていないようですが…。
新型コロナウイルスの問題で、一気に認知度も利用度も高まったZoom。ビジネスに学業、プライベートでも大活躍な半面、そのセキュリティは大丈夫なのか? やや心配なニュースも相次いだ1年だったでしょう。
当のZoomもその課題は百も承知のようで、今年はZero Day Initiativeが主催する、ハッキングコンテストの「Pwn2Own 2021」へと参加。多額の懸賞金を支払ってでも、世界の名だたるハッカーたちにZoomの脆弱性を発見してもらい、セキュリティレベルを高める努力を払ってきました。その結果、Zoom Chatの機能にセキュリティホールがあり、なにもユーザーがクリックなどせずとも、悪意ある第三者によって勝手にPCを乗っ取られる危険があったことを認めましたよ!
こちらのTwitterのツイートで明かされているとおり、いざZoom Chatの脆弱性を突いて、PCが乗っ取られてしまうと、勝手にマイクやカメラがオンオフされてしまうのみならず、自分のPC画面のスクリーンショットを取られたり、ブラウザの閲覧履歴を勝手にチェックされてしまうほか、メールなども読み放題。これは以前問題になっていた、勝手にミーティングに参加されてしまうという被害とは比べものにならない、深刻な問題を引き起こしかねないと指摘されていますね。
Computest Securityのオランダ人研究者のDaan Keuper氏とThijs Alkemade氏が発見したとされる同脆弱性は、すでにZoomに報告されており、両氏はバグの発見で20万ドルの賞金を手にしました。問題はZoomの各ユーザーのアプリではなくサーバ側にあったため、すでに報告を受けて、Zoomはセキュリティパッチを適用して対応済み。これまでに同脆弱性を悪用し、実際にPCを乗っ取られてしまった被害は報告されていないそうです。利用が広まれば広まるほど、Zoomのセキュリティ対策もますます重要度を増していくのでしょうね。
Source: Computest Security
