【武漢肺炎】ビデオ会議ツール「Zoom」のiOS版とMac版とWindows版に脆弱性

1 ：サーバル ★：2020/04/03(金) 12:05:47.18 ID:06Vxne5Y9.net

「Zoom」のWindows版クライアントに脆弱性、認証情報を盗まれるおそれ

　ビデオ会議ツール「Zoom」の「Windows」版クライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが、セキュリティ研究者の調査で明らかになった。Zoomについては、「iOS」版アプリでプライバシーに関する問題が浮上したばかりだ。

　Zoomは新型コロナウイルス感染症（COVID-19）患者の急激な増加を受けて使用されるケースが急増している中で、そのセキュリティに対しても厳しい目が向けられている。

　グループチャット機能では、ミーティング中に会議の他の参加者にメッセージを送信できる。また、送信したURLをハイパーリンクに変換する機能もあり、これを受信した人はブラウザーでウェブページを開くことができる。

　だがBleepingComputerの報告によれば、Zoomクライアントは通常のURLだけでなくWindowsネットワークのUniversal Naming Convention（UNC）パスもクリック可能なリンクに変換してしまうという。

　UNCはネットワークリソースの場所を指定するために使用される。例えば、攻撃者の支配下にあるServer Message Block（SMB）サーバーにホスティングされているおそれがあるファイルの指定もできる。

　任意の人物がこのUNCパスのリンクをクリックすると、WindowsはSMBネットワークのファイル共有プロトコルを使用してリモートサイトへの接続を試みる。そして、デフォルト設定では、Windowsは次にユーザーのログイン名とNT Lan Manager（NTLM）パスワードハッシュを送信する。

　ハッシュは平文ではないが、非常に簡単なパスワードが設定されている場合は、パスワードクラッカーの「John the Ripper」といったツールを使用すれば、通常レベルのGPUを搭載したコンピューターで、ごくわずかな時間で解析できる。

　このバグはセキュリティ研究者の@_g0dmodeによって発見された。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

https://japan.zdnet.com/amp/article/35151756/

ZoomのMac版、インストール時にマルウェア的な挙動　セキュリティ専門家が指摘
ZoomのMac版のインストールプロセスが、Appleのセキュリティを回避する一般にマルウェアで使われる動作になっているとセキュリティ専門家が指摘。ZoomのCEOはWeb会議参加までのステップを簡単にするためだったが改善すると表明した。

https://www.itmedia.co.jp/news/articles/2004/02/news053.html


解決策→ブラウザ版を使おう

56 ：名無しさん＠１周年：2020/04/03(金) 12:40:46 ID:4ZMy87zx0.net

>>1
Linux最強やな

57 ：名無しさん＠１周年：2020/04/03(金) 12:41:14 ID:YGpveWHN0.net

>>44
そもそもSMBはルーターでポートを閉じてるから例えクリックしても問題ないだろ。

58 ：名無しさん＠１周年：2020/04/03(金) 12:44:11 ID:fzXcx2hI0.net

うちも自宅PCとスマホで使えと言われている。
怖いからZoom専用の端末、回線を用意した

59 ：名無しさん＠１周年：2020/04/03(金) 12:45:41 ID:Fy9+Z6pj0.net

>>52
Mac持ってない人はどうすればいいの？

60 ：名無しさん＠１周年：2020/04/03(金) 12:48:40 ID:MqutwzBK0.net

仕事で嫌々使わされてるが、使えるからと嬉しそうになんやかんやとアップロードしたりみんな仲間メンバーやねみたいな調子で気持ち悪いメッセージ書き込んだりするいちびりがいて、それがいちいち登録メールに来たりと、ほんま鬱陶しいで。

61 ：名無しさん＠１周年：2020/04/03(金) 12:49:31 ID:Fy9+Z6pj0.net

Zoomのノイズキャンセル機能と挙手機能はかなり有能。なぜGoogleとMSが真似しないのか不思議なくらい。

62 ：名無しさん＠１周年：2020/04/03(金) 12:49:52 ID:77gqRV0Y0.net

安くあげようとするからしょぼいソフトに頼るんだろ
ハードをソフトで代用しようとすると不具合は出るわ

63 ：名無しさん＠１周年：2020/04/03(金) 12:50:19 ID:SnBWlfxJ0.net

>>59
みんなiPhoneとiPad持って打ち合わせしてたから
それでいいじゃんって言ったんだよ

64 ：名無しさん＠１周年：2020/04/03(金) 12:51:12 ID:wln3LPCK0.net

【武漢肺炎】国民民主党がビデオ会議ソフト「Zoom」を利用してウェブ役員会
https://asahi.5ch.net/test/read.cgi/newsplus/1585885695/

65 ：名無しさん＠１周年：2020/04/03(金) 12:54:13 ID:lWcKuY+E0.net

discord最強じゃね

66 ：名無しさん＠１周年：2020/04/03(金) 12:54:54 ID:qJuOycj10.net

>>48
あるよ

67 ：名無しさん＠１周年：2020/04/03(金) 12:57:53.95 ID:BPELTYvy0.net

SMB経由ってのがワロス

68 ：名無しさん＠１周年：2020/04/03(金) 12:59:20 ID:gN/Ke2XP0.net

在宅なんとかのせいかやたらネットがブツブツ切れるようになって迷惑なんだけど

69 ：名無しさん＠１周年：2020/04/03(金) 13:01:06 ID:18DsZN0E0.net

ワロタｗ　在宅ワークで一気に感染爆発かｗ

70 ：名無しさん＠１周年：2020/04/03(金) 13:02:16 ID:PsviYK7+0.net

ハングアウトでいいんじゃないかな？

71 ：名無しさん＠１周年：2020/04/03(金) 13:04:30 ID:HVeqSyrh0.net

テレワーク拡大でサーバーや回線の弱さが明るみに出始めてる
回線遅かったりサーバーに繋がらなかったり
日本のインターネットインフラは弱すぎる

72 ：名無しさん＠１周年：2020/04/03(金) 13:05:45 ID:Iz/RWp7G0.net

>>55
ネットワーク機器をシスコ使ってる企業がついでに導入する感じなのかな
アメリカの客とミーティングやるときWebex指定されることが自分は多い

73 ：名無しさん＠１周年：2020/04/03(金) 13:10:46.51 ID:Ca6xI+PT0.net

sambaって
パスワードのまま乗ってるもんな

すごい低脳が考えた仕様

74 ：名無しさん＠１周年：2020/04/03(金) 13:16:06 ID:m6gYH/CB0.net

カスペルスキーとかインストールしておけばこういうソフトを使ってもとりあえず心配ないと考えていい？
セキュリティソフトって、情報流出をかってにガードしてくれるんでしょ？

75 ：名無しさん＠１周年：2020/04/03(金) 13:40:25 ID:YTItLH4z0.net

会社がこんなもん使うなよ
金払ってwebEx使え

76 ：名無しさん＠１周年：2020/04/03(金) 13:49:24.99 ID:ukneO0TG0.net

>WindowsネットワークのUniversal Naming Convention（UNC）パスもクリック可能なリンクに変換してしまうという。

使ってるのかこの機能

77 ：名無しさん＠１周年：2020/04/03(金) 13:58:53 ID:Hgxof8T40.net

とはいえ、今更スカイプじゃねーし、他に選択肢がない。

78 ：名無しさん＠１周年：2020/04/03(金) 14:03:56.84 ID:KWgwCG6j0.net

>>74
その認識は間違ってる。
このソフトウエアはセキュリティソフトにも与えないroot権限与える。
そこがドアになって他のマルウェアも入ってくる。

79 ：名無しさん＠１周年：2020/04/03(金) 14:08:49 ID:FHRhNnlM0.net

>>77
meetsでもTeamsでもいくらでもあるだろ

80 ：名無しさん＠１周年：2020/04/03(金) 14:15:21 ID:qwUGVLC/0.net

>>67
昔からよく脆弱性出てたが今でも使ってるんだな

81 ：名無しさん＠１周年：2020/04/03(金) 14:28:15 ID:OWri55CE0.net

>>39
ビデオしか使えない輩はおおいからなー。

82 ：名無しさん＠１周年：2020/04/03(金) 14:31:19 ID:8HOM73af0.net

>>81
耳が痛い

4月から一気に「オンラインなんとか」が増えた
あと数年で定年退職、逃げ切れるかと思ったのになあ

83 ：名無しさん＠１周年：2020/04/03(金) 14:40:28 ID:NPdFeRQF0.net

>>35
ミーティングにパスワードつければ済む話

84 ：名無しさん＠１周年：2020/04/03(金) 14:47:19 ID:OWri55CE0.net

>>82
zoomでもチャットやファイルアップロードができることは覚えておいてほしい。見ないボスが悲しい……

85 ：名無しさん＠１周年：2020/04/03(金) 14:56:29 ID:j6Jes/PN0.net

実は娘が東京の某大でお世話になってるが、夏休み前まで全講義をオンラインでやるそうだ。
Zoomを使うらしい。困ったもんだな・

せめて都内の大学生ぐらいとっとと抗体検査して、
ほんとうにオンラインでやらなければならないぐらい深刻なのか、調べてくれ。
理系が全講義をオンラインって、実験はどうすんだ！！！　無理ありすぎ。

86 ：名無しさん＠１周年：2020/04/03(金) 15:02:15.03 ID:8HOM73af0.net

>>84
わかってる
わかってるんだが、目と手が追いついていかないんだ

87 ：名無しさん＠１周年：2020/04/03(金) 15:08:03.78 ID:8HOM73af0.net

>>85
理系の実験もそうだし、文系のゼミでも「もの」を扱わなきゃできない場合がある
学生もたいへんだが、いきなり「Zoomでやれ」と言われた教員の側も途方に暮れる

学生の「たいへん」といえば、サークルとか新人勧誘ができなくてどうなるんだろうか

88 ：名無しさん＠１周年：2020/04/03(金) 17:23:06 ID:x9Chl8pZ0.net

メールアドレスだけで使えるスカイプは重宝してるわ

89 ：名無しさん＠１周年：2020/04/03(金) 18:07:05 ID:+EweMN8w0.net

>>82
そんな御大がよくにちゃんやっとるね
皮肉じゃなくて、十分やれとるんと違うの？と思うけどな

頑張ってくれ！
家の会社は這ってでもこいってなもんで、在宅勤務なんてみじんも考えられない無能の集まりが役員だから永遠に無理だ

90 ：名無しさん＠１周年：2020/04/03(金) 18:35:31 ID:qWRp/ESG0.net

>>39
Teamsはそれはそれでユーザー増えてるから、別に仇にはなってなさそう

91 ：名無しさん＠１周年：2020/04/03(金) 21:55:21 ID:45OtSzSQ0.net

Zoomはやばいわ
セキュリティなにそれ状態の会社が作ってる

インストールしたPCを勝手にWEBサーバ化し
アンインストール後もWEBサーバ機能は削除されない→カメラ乗っ取りの脆弱性へ

92 ：名無しさん＠１周年：2020/04/03(金) 22:00:56 ID:cLMxJGdd0.net

会社で使うことになったわこれ

93 ：名無しさん＠１周年：2020/04/03(金) 22:07:09.38 ID:nBvwSp0K0.net

何か今日会社で騒いでたのこれか

94 ：名無しさん＠１周年：2020/04/03(金) 22:18:09 ID:5IWkgcZu0.net

マツダスレかと思ったら違った

95 ：名無しさん＠１周年：2020/04/04(土) 01:08:36 ID:3VJATC0Z0.net

セキュリティとプライバシーに関する欠陥って、使ったらアカンのじゃないの？


国民民主党、ビデオ会議アプリ「Zoom」で党役員会を開催 こういうのってセキュリティ大丈夫なの？
https://hayabusa9.2ch.net/test/read.cgi/news/1585746341/

96 ：名無しさん＠１周年：2020/04/04(土) 01:11:55 ID:tkCY7/a50.net

Webexの開発者がzoomの創業者じゃなかったけ？

97 ：名無しさん＠１周年：2020/04/04(土) 01:34:18 ID:0+9WrLmA0.net

SMBの認証が走るのはクリックした本人のPC上でだろ？
その認証情報をどうやって攻撃者が得るの？

98 ：名無しさん＠１周年：2020/04/04(土) 01:35:24 ID:gfZ78i+M0.net

オンライン会議やってわかったことは、ビデオで若い
女子を見るとボッキしてしまうことだ。

99 ：名無しさん＠１周年：2020/04/04(土) 05:58:54 ID:q4MUC3Ad0.net

Zoomはかなり悪質だと思うけどな。
前もカメラの乗っ取りとか、勝手に野良apkインストールとか前科ありまくり。
有名になってバレたから不具合ってことにして直しますアピールしてるけど。
まずZoomはアメリカの企業だけど、中身は中国人だし。

100 ：名無しさん＠１周年：2020/04/04(土) 08:31:37 ID:EajPZN/Y0.net

まさに「安物買いの銭失い」だなｗｗｗ
素直にPolyComにしとけばいいものをｗ

101 ：名無しさん＠１周年：2020/04/04(土) 10:14:19 ID:w54x/si10.net

>>14
仕事していない管理職が騒ぐからな

102 ：名無しさん＠１周年：2020/04/04(土) 13:22:11 ID:itcdQlTH0.net

どうして日本はLINEとかzoom とか、世界から見たらドマイナーなツールを使いたがるのか？
アホなの？バカなの?

103 ：名無しさん＠１周年：2020/04/04(土) 16:26:35 ID:kmBeK31X0.net

>>102
何ならマイナーじゃないんだ？
https://i.imgur.com/2kdCYKw.jpg

104 ：名無しさん＠１周年：2020/04/04(土) 16:40:28 ID:qiCPFu7z0.net

>>100
polycomは拠点間接続に対しては抜群だけど、多点だとなあ。

105 ：名無しさん＠１周年：2020/04/04(土) 18:25:20.24 ID:qiCPFu7z0.net

zoomメジャーよ。