ITmedia NEWS > STUDIO >
セキュリティ・ホットトピックス

ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性

» 2020年04月02日 08時47分 公開
[佐藤由紀子ITmedia]

 Web会議サービス「Zoom」のWindowsクライアントに、ログイン情報を盗まれる恐れのある脆弱性があると、PC情報サイトの米Bleeping Computerが3月31日(現地時間)に報じた。

 windows zoom

 Zoomがサービス内で利用しているURLをハイパーリンクに変換する方法が問題という。URLだけでなくUNC(Universal Naming Convention、「C:\Users\Public」のようにドライブの位置を指定するパス)もハイパーリンクに変換する。不注意なユーザーがたとえばパブリックグループに投稿されたおもしろそうな名称のハイパーリンクをクリックすれば、Windowsがリモートファイルにアクセスしようとする過程でPCのユーザー名とパスワードのハッシュがリモート先から見えるようになるので、悪意ある攻撃者がこのハッシュを入手してユーザーのPCや参加するネットワークに侵入しようとする可能性がある。

 さらに、警告は表示されるものの、UNCを悪用して実行可能ファイルを起動することも可能という。

 セキュリティ専門家は、この脆弱性を修正するにはUNCをハイパーリンクに変換できないようにする必要があると指摘する。

 本稿執筆現在、Zoomからはこの件についての発表はまだない。

Copyright © ITmedia, Inc. All Rights Reserved.