【目次】
概要
【要点】
◎新型コロナ対策で、急速に普及が進んだ遠隔会議サービス「Zoom」に、複数のセキュリティ上の問題が発見され注目されている
◎政府機関や自治体の会議、高度な機密性が要求される企業の会議には適さないが、教育・情報共有等の一般的な会議の場合は、運用に十分配慮すれば問題ないレベルまで改善
【概要】
■Zoomの問題
- Facebookへのデータ送信
- エンドツーエンドで暗号化という表現への疑問
- Mac版、OSを乗っ取り可能な脆弱性
- Mac版、インストール時にマルウェア的な挙動
- Windows版クライアントに脆弱性
■ZoomBombing対策
| 主要な対策 | 備考 |
|---|---|
| 会議室パスワードの強化 | |
| 「待機室」機能 | トロント大学の研究者が脆弱性を指摘(4/5時点で) *1 ⇒ 修正確認(4/8)*2 |
■ZoomBombing緩和策
| 詳細な緩和策 | 備考 |
|---|---|
| 画面共有を「ホストのみ」に変更 | 画面乗っ取り対策 |
| 「ホストの前の参加」を無効にする | 開始前の対策 |
| 「共同ホスト」を有効にする | 運営のサポート |
| 「ファイル送信」を無効にする | マルウェア共有対策 |
| 「取り除かれた参加者を再度参加させることを許可」を無効 | 追放者の再ログインの制限 |
■暗号(AES)
| 項目 | 内容 | 備考 | 修正後 |
|---|---|---|---|
| 暗号アルゴリズム | AES | ||
| 鍵長 | 128bit | 短い | 256bit |
| モード | ECB | 解読が容易 | GCM |
■待合室(Waiting Room)
- 待合室に脆弱性(Citizen Lab)
- 修正済み
■Zoom使用に制限を表明している組織
| 日時 | 対象組織 | 制限内容 | 備考 |
|---|---|---|---|
| 2020/03/28 | スペースX | 使用禁止 | プライバシーとセキュリティー保護に関する重大な懸念 |
| 2020/04/05 | 米NY市の学校 | 使用中止(Teamsへ移行) | 安全性に懸念 |
| 2020/04/09 | 使用禁止 | セキュリティ標準を満たしていない | |
| 2020/04/09 | 米国・上院 | 代替手段使用の要請 | データの安全性に対する懸念 *3 |
| 2020/04/10 | ドイツ外務省 | 使用制限(専用機では使用可) | セキュリティとデータ保護の弱点のためにリスクが高すぎる |
| 2020/04/10 | 台湾政府 | 使用回避 | セキュリティ上の欠陥 |
■Zoom for Macの脆弱性タイムライン
| 2019/07/08 | InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性があるとMediumに投稿 *4 |
|---|---|
| 2019/07/09 | Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表 |
| 2019/07/09 | Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載した「July 9 Patch」を公開 |
| 2019/07/10 | これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool」をアップデートし、"~/.zoomus"を削除する機能を追加したと発表 |
| 2019/07/12 | Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される |
| 2019/07/14 | 会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON) |
| 2019/07/15 | ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布 |
| 2019/07/16 | Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除 |
| 2020/03末 | Zoom Meeting for Macのインストーラーが、ユーザー承認をせずにアプリをインストールする問題 |
| 2020/03/31 | Zoom Meeting for Macに権限昇格とコードインジェクションを利用しMacのカメラとマイクからユーザーの行動をキャプチャされる可能性がある脆弱性が指摘される |
| 2020/04/01 | ZoomのCEOが謝罪し、今後はセキュリティ問題の修正に専念すると発表 |
| 2020/04/02 | Zoomが複数の脆弱性を修正し、インストーラーが承認を取るようにした「Zoom Meeting for Mac v4.6.9」をリリース |
| 2020/04/22 | Zoom 5.0 のリリースを発表。AES-GCM(256-ビット)を採用 |
【最新情報】
◆Zoomユーザーを標的としたフィッシング詐欺に注意 (マイナビニュース, 2023/01/11 10:09)
https://news.mynavi.jp/techplus/article/20230111-2559222/
⇒ https://malware-log.hatenablog.com/entry/2023/01/11/000000
記事
【ニュース】
■2019年
◇2019年7月
◆リモート会議システム「Zoom」のMac用クライアントにユーザーの許可なしにMacのカメラが有効になってしまう脆弱性が発見される。 (AAPL Ch., 2019/07/09)
https://applech2.com/archives/20190709-zoom-client-for-mac-camera-hijack.html
⇒ https://malware-log.hatenablog.com/entry/2019/07/09/000000_13
◆アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信 (TechCrunch, 2019/07/11)
https://jp.techcrunch.com/2019/07/11/2019-07-10-apple-silent-update-zoom-app/
⇒ https://malware-log.hatenablog.com/entry/2019/07/11/000000_2
■2020年
◇2020年3月
◆ビデオ会議への不快なビデオ共有「ZoomBombing」にご注意を (TechCrunch, 2020/03/18)
https://jp.techcrunch.com/2020/03/18/2020-03-17-zoombombing/
⇒ https://malware-log.hatenablog.com/entry/2020/03/18/000000_7
◆新型コロナウイルス対策の在宅勤務で人気のオンライン会議アプリ「ZOOM」は、Facebookアカウントを持っていない人のデータもFacebookに送信している (Gigazine, 2020/03/27 10:26)
https://gigazine.net/news/20200327-zoom-ios-app-sends-data-facebook/
⇒ https://malware-log.hatenablog.com/entry/2020/03/27/000000_4
◆ZoomのFacebookへのデータ転送(停止済み)で集団訴訟 (ITmedia, 2020/03/31 17:41)
https://www.itmedia.co.jp/news/articles/2003/31/news132.html
⇒ https://malware-log.hatenablog.com/entry/2020/03/31/000000_1
◇2020年4月
□2020/04/01
◆「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家 (ITmedia, 2020/04/01 10:24)
https://www.itmedia.co.jp/news/articles/2004/01/news068.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/01/000000_2
◆人気ビデオ会議アプリ「Zoom」が今も抱えるさまざまな問題 (TechCrunch, 2020/04/01)
https://jp.techcrunch.com/2020/04/01/2020-03-31-zoom-at-your-own-risk/
⇒ https://malware-log.hatenablog.com/entry/2020/04/01/000000_1
□2020/04/02
◆Windows版Zoomにユーザー名やパスワード漏洩の脆弱性。メッセージに書かれた外部アドレスに注意 (Engadget, 2020/04/02)
https://japanese.engadget.com/jp-2020-04-02-windows-zoom.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/02/000000_2
◆元NSAの専門家がZoomのMac乗っ取り脆弱性を警告、Zoomからは回答なし (TechCrunch, 2010/04/02)
https://jp.techcrunch.com/2020/04/02/2020-04-01-zoom-doom/
⇒ https://malware-log.hatenablog.com/entry/2020/04/02/000000_1
◆ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘 (ITmedia, 2020/04/02 07:44)
https://www.itmedia.co.jp/news/articles/2004/02/news053.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/02/000000_4
◆テレワークでニーズ急増も……オンライン会議ツール「Zoom」でプライバシー問題が続出 (Internet Watch, 2020/04/02 06:00)
https://internet.watch.impress.co.jp/docs/yajiuma/1244513.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/02/000000_3
◆ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性 (ITmedia, 2020/04/02 08:47)
https://www.itmedia.co.jp/news/articles/2004/02/news055.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/02/000000_8
◆「Zoom」のWindows版クライアントに脆弱性、認証情報を盗まれるおそれ (CNet, 2020/04/02 10:52)
https://japan.cnet.com/article/35151756/
⇒ https://malware-log.hatenablog.com/entry/2020/04/02/000000_5
◆スペースX、ビデオ会議アプリ「ズーム」を禁止 安全性懸念で (ロイター, 2020/04/02)
https://jp.reuters.com/article/spacex-zoom-video-commn-idJPKBN21K160
⇒ https://malware-log.hatenablog.com/entry/2020/04/02/000000_6
□2020/04/03
◆リモートワークで利用急増の「ズーム」、安全性に疑問の声 (ASCII.jp, 2020/04/03 06:57)
https://ascii.jp/elem/000/004/008/4008191/
⇒ https://malware-log.hatenablog.com/entry/2020/04/03/000000_4
◆Windows認証情報が盗まれるZoomの脆弱性が即修正 (PC Watch, 2020/04/03 09:58)
https://pc.watch.impress.co.jp/docs/news/1244817.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/03/000000
◆問題続出のオンラインビデオ会議ツール「Zoom」が抱える「パスワード問題」と「OSの資格情報を盗まれる脆弱性」が新たに指摘される (Gigazine, 2020/04/03 12:06)
https://gigazine.net/news/20200403-zoom-password-windows-credentials-problems/
⇒ https://malware-log.hatenablog.com/entry/2020/04/03/000000_2
◆ビデオ会議「Zoom」がセキュリティ・プライバシー問題を謝罪 (ケータイ Watch, 2020/04/03 16:34)
https://k-tai.watch.impress.co.jp/docs/news/1244868.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/03/000000_1
◆利用急増のZoom、「爆撃」相次ぐ 使用禁じる企業も (朝日新聞, 2020/04/03 21:20)
https://digital.asahi.com/articles/ASN4372PCN43UTIL05V.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/03/000000_3
◆Zoom、権限昇格の脆弱性などを修正した「Zoom Meeting for Mac v4.6.9」をリリース。インストール時にユーザーの承認を得るインストーラーも。 (AAPL Ch., 2020/04/03)
https://applech2.com/archives/20200403-zoom-meeting-for-mac-april-2-patch.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/03/000000_8
◆Thousands of Zoom video calls left exposed on open Web (The Washington Post, 2020/04/03 15:43)
[Zoomのビデオ通話数千件がオープンウェブ上で公開されたままになっている]Many of the videos include personally identifiable information and deeply intimate conversations, recorded in people’s homes
[ビデオの多くには、個人を特定できる情報や、自宅での親密な会話が記録されています]
□2020/04/05
◆Zoom、パスワード強化と「待機室」追加 “Zoombombing”対策で (ITmedia, 2020/04/05 07:03)
https://www.itmedia.co.jp/news/articles/2004/05/news009.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/05/000000_1
◆Zoombombingは犯罪 米司法省が警告 (ITmedia, 2020/04/05 10:50)
https://www.itmedia.co.jp/news/articles/2004/05/news012.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/05/000000
◆米NY市、学校に「ズーム」の使用中止を指示 安全性に懸念 (CNN, 2020/04/05 13:21)
https://www.cnn.co.jp/tech/35151881.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/05/000000_2
◆Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明 (ITmedia, 2020/04/05 09:54)
https://www.itmedia.co.jp/news/articles/2004/05/news010.html
⇒ https://malware-log.hatenablog.com/
□2020/04/06
◆ニューヨーク市は学校でのZoom禁止、セキュリティ上の懸念からMS Teamsに移行へ (TechCrunch, 2020/04/06)
https://jp.techcrunch.com/2020/04/06/2020-04-05-zoom-new-york-city-schools/
⇒ https://malware-log.hatenablog.com/entry/2020/04/06/000000_1
□2020/04/08
◆ニューヨーク市、ポルノ荒らしとセキュリティの懸念からZoomでの遠隔授業を禁止 (Gizmode, 2020/04/08 23:00)
https://www.gizmodo.jp/2020/04/nyc-bans-zoom-in-classrooms-following-porn-zoombombings.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/08/000000
□2020/04/09
◆Zoomの株主が同社のセキュリティ対策の「誇張」で提訴 (TechCrunch, 2020/04/09)
https://jp.techcrunch.com/2020/04/09/2020-04-08-zoom-sued-shareholder-security/
⇒ https://malware-log.hatenablog.com/entry/2020/04/09/000000_1
◆Googleがオンラインビデオ会議アプリ「Zoom」の使用を禁止 (Gigazine, 2020/04/09 12:00)
https://gigazine.net/news/20200409-google-bans-zoom/
⇒ https://malware-log.hatenablog.com/entry/2020/04/09/000000_3
◆米上院、議員にビデオ会議アプリ「ズーム」の使用禁止を通達か (ロイター, 2020/04/09 19:35)
https://jp.reuters.com/article/zoom-video-commn-privacy-senate-idJPKCN21R1IQ
⇒ https://malware-log.hatenablog.com/entry/2020/04/09/000000_4
◆Zoom、元Facebookのセキュリティ責任者をアドバイザーに指名し、CISO評議会を結成 (ITmedia, 2020/04/09 07:55)
https://www.itmedia.co.jp/news/articles/2004/09/news056.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/09/000000_7
◆Zoom、会議ID非表示などセキュリティ関連のアップデート (ITmedia, 2020/04/09 08:35)
https://www.itmedia.co.jp/news/articles/2004/09/news059.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/09/000000_6
□2020/04/10
◆ビデオ会議「Zoom」の暗号化は機密情報に不適切、中国との関係を研究者が警告 (日経XTECH, 2020/04/10)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/03896/
⇒ https://malware-log.hatenablog.com/entry/2020/04/10/000000_3
◆Zoom、台湾政府がセキュリティ上の懸念から全面禁止。ドイツ外務省やGoogleも使用に制限 (Engadget, 2020/04/10)
https://japanese.engadget.com/jp-2020-04-09-zoom-google.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/10/000000_1
□2020/04/13
◆Over 500,000 Zoom accounts sold on hacker forums, the dark web (Bleeping Computer, 2020/04/13 14:05)
https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/
⇒ https://malware-log.hatenablog.com/entry/2020/04/13/000000_2
□2020/04/14
◆50万人分以上の「Zoom」アカウントが闇市場で売買されたと判明、価格は1アカウント1円未満で無料配布されるケースも (Gigazine, 2020/04/14 14:00)
https://gigazine.net/news/20200414-hacker-sold-over-500k-zoom-accounts/
⇒ https://malware-log.hatenablog.com/entry/2020/04/14/000000_2
◆Zoom、中国を経由しないルーティングを実装。有償ユーザーは地域設定可能に (Impress Watch, 2020/04/14 12:33)
https://pc.watch.impress.co.jp/docs/news/1246921.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/14/000000_3
□2020/04/15
◆AmazonChime と Zoom を比較 (HACKnote, 2020/04/15)
https://hacknote.jp/archives/57036/
⇒ https://malware-log.hatenablog.com/entry/2020/04/15/000000_7
□2020/04/23
◆ビデオ会議システム「ズーム」ユーザー3億人に、企業は使用回避 (ロイター, 2020/04/23 19:32)
https://jp.reuters.com/article/zoom-video-commn-encryption-idJPKCN2251KS
⇒ https://malware-log.hatenablog.com/entry/2020/04/23/000000_3
◆Zoom 5.0アップデートでAES 256-bit GCM暗号化など多数の改善 (ITmedia, 2020/04/23 07:47)
https://www.itmedia.co.jp/news/articles/2004/23/news065.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/23/000000_8
□2020/04/30
◆英で他社のビデオ会議に侵入か FT記者、投稿し記事も (共同通信, 2020/04/30 10:20)
https://www.47news.jp/4768698.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/30/000000
◆突然、性的画像が画面に…Zoom爆撃、香川大でも被害 (朝日新聞, 2020/04/30 10:39)
https://digital.asahi.com/articles/ASN4Y75MGN4WPTLC017.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/30/000000_1
□2020/05/01
◆Zoomが「1日3億人の利用者がいる」という公式表記をコッソリ修正したと発覚、誇張表記を行った疑惑が浮上 (Gigazine, 2020/05/01 12:40)
https://gigazine.net/news/20200501-zoom-doesnt-have-300-million-users/
⇒ https://malware-log.hatenablog.com/entry/2020/05/01/000000
◆ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表 (Gigazine, 2020/05/01 11:21)
https://gigazine.net/news/20200501-nsa-security-report/
⇒ https://malware-log.hatenablog.com/entry/2020/05/01/000000_1
□2020/05/07
◆裁判所がシスコに Webex ではなく Zoom の使用を命令、「Zoomのセキュリティ脅威」主張認めず (NetSecurity, 2020/05/07 09:15)
裁判官は特許侵害に関するリモート裁判に際し Cisco に、同社のビデオ会議システム Webex ではなく最大のライバル Zoom を使用するように命じた
https://scan.netsecurity.ne.jp/article/2020/05/07/44071.html
⇒ https://malware-log.hatenablog.com/entry/2020/05/07/000000
□2020/05/08
◆Zoomが暗号化技術のスタートアップKeybaseを買収、エンドツーエンド暗号化によりセキュリティが向上か (Gigazine, 2020/05/08 12:11)
https://gigazine.net/news/20200508-zoom-acquires-keybase/
⇒ https://malware-log.hatenablog.com/entry/2020/05/08/000000_2
◇2020年6月
□2020/06/02
◆Morphisec、Zoom会議を勝手に記録するメモリベースの攻撃について解説 (@IT, 2020/06/02)
Morphisecは、同社が発見したビデオ会議ツール「Zoom」の脆弱性を悪用した攻撃の仕組みを解説し、同社の「Moving Target Defense」(MTD)技術でこの攻撃を防止できると強調した
https://www.atmarkit.co.jp/ait/articles/2006/02/news022.html
⇒ https://malware-log.hatenablog.com/entry/2020/06/02/000000_2
□2020/06/04
◆Zoom、エンドツーエンドの暗号化を有料プランのみにするのは「FBIに協力したいから」とCEO (ITmedia, 2020/06/04 13:55)
https://www.itmedia.co.jp/news/articles/2006/04/news088.html
□2020/06/05
◆Zoomを悪用したマルウェア感染を回避する方法 (TechTarget, 2020/06/05 09:00)
Web会議の利用増に伴い、Zoomを悪用したマルウェアが登場した。感染すると厄介だが、感染を防ぐ方法は非常に簡単だ
https://techtarget.itmedia.co.jp/tt/news/2006/05/news01.html
⇒ https://malware-log.hatenablog.com/entry/2020/06/05/000000_7
□2020/06/08
◆「つながりやすさ」が売りのZoom、その知られざる仕組みとは (日経XTECH, 2020/06/08)
https://xtech.nikkei.com/atcl/nxt/column/18/01326/060400001/
⇒ https://malware-log.hatenablog.com/entry/2020/06/08/000000_3
□2020/06/09
◆Zoomのエンド・ツー・エンド暗号化通信は有償ユーザーのみ、その理由は? (マイナビニュース, 2020/06/09 07:12)
https://news.mynavi.jp/article/20200609-1050952/
⇒ https://malware-log.hatenablog.com/entry/2020/06/05/000000_7
□2020/06/10
◆OutlookやWebex、Zoomを装う偽のログインページなど、テレワーク増加に便乗したネットの脅威 (is702(Trendmicro), 2020/06/10)
https://is702.jp/news/3695/
⇒ https://malware-log.hatenablog.com/entry/2020/06/10/000000_5
◆Zoom closed account of U.S.-based Chinese activist “to comply with local law” (AXIOS, 2020/06/10)
https://www.axios.com/zoom-closes-chinese-user-account-tiananmen-square-f218fed1-69af-4bdd-aac4-7eaf67f34084.html
⇒ https://malware-log.hatenablog.com/entry/2020/06/10/000000_6
□2020/06/11
◆Zoomが天安門事件の記念イベントを主催した活動団体のアカウントを突如凍結 (Gigazine, 2020/06/11 11:00)
https://gigazine.net/news/20200611-zoom-6-4-tiananmen/
⇒ https://malware-log.hatenablog.com/entry/2020/06/11/000000_4
□2020/06/12
◆Zoom 米人権団体のアカウント一時停止 中国の厳しい規制影響か (NHK, 2020/06/12 05:37)
https://www3.nhk.or.jp/news/html/20200612/k10012467571000.html
⇒ https://malware-log.hatenablog.com/entry/2020/06/12/000000_1
◆米Zoom、活動家の米国アカウントを一時停止-中国政府の要請で (Bloombel, 2020/06/12 10:32)
https://www.bloomberg.co.jp/news/articles/2020-06-12/QBSE5VT1UM0X01
⇒ https://malware-log.hatenablog.com/entry/2020/06/12/000000_1
◇2020年7月
◆企業機密、闇市場で売買 Zoomの弱点「数億円で」 (日経新聞, 2020/07/20 02:00)
https://www.nikkei.com/article/DGXMZO61702700Z10C20A7MM8000/
⇒ https://malware-log.hatenablog.com/entry/2020/07/20/000000_6
◆Zoom Flaw Could Have Allowed Hackers To Crack Meeting Passcodes (ThreatPost, 2020/07/30 17:40)
[ズームの欠陥により、ハッカーは会議のパスコードを解読することができた可能性がある]
https://threatpost.com/zoom-flaw-could-have-allowed-hackers-to-crack-meeting-passcodes/157883/
⇒ https://malware-log.hatenablog.com/entry/2020/07/30/000000_4
◇2020年8月
◆Zoom、ミーティングなどでサービス障害、米国の新学期初日を直撃 (マイナビニュース
, 2020/08/25)
https://news.mynavi.jp/article/20200825-1246206/
⇒ https://malware-log.hatenablog.com/entry/2020/08/25/000000_5
◆Zoomがブラウザに保存されたCookieをアンインストール時に操作していることが判明 (Gigazine, 2020/08/28 23:00)
https://gigazine.net/news/20200828-zoom-read-write-cookie/
⇒ https://malware-log.hatenablog.com/entry/2020/08/28/000000_2
◇2020年12月
◆米、ズーム社元幹部を訴追 ビデオ会議を検閲 (日経新聞, 2020/12/19 12:34)
https://www.nikkei.com/article/DGXZQOGM191160Z11C20A2000000/
⇒ https://malware-log.hatenablog.com/entry/2020/12/19/000000
■2021年
◇2021年1月
◆Zoomで会議内容の流出を防ぐために備えておくべきポイントとは? (Gigazine, 2021/01/21 08:00)
https://gigazine.net/news/20210121-leak-zoom-meeting/
⇒ https://malware-log.hatenablog.com/entry/2021/01/21/000000
◇2021年2月
◆アメリカの顔をした中国企業 Zoomとクラブハウスの問題 (Newsweek, 2021/02/22 18:17)
https://news.yahoo.co.jp/articles/cc6f83cc26280ebc58dea581fd403833376ea8ba
⇒ https://malware-log.hatenablog.com/entry/2021/02/22/000000_9
◇2021年3月
◆Zoomの「録画」は相手に気付かれる? いまさら聞けないZoomの使い方 (マイナビニュース, 2021/03/06 08:00)
https://news.mynavi.jp/article/20210306-1750504/
⇒ https://malware-log.hatenablog.com/entry/2021/03/06/000000_5
◇2021年4月
◆Zoom、脆弱性によりPCを乗っ取られる危険があったことを認める (Gizmode, 2021/04/14 08:00)
https://www.gizmodo.jp/2021/04/security-hole-in-zoom-chat.html
⇒ https://malware-log.hatenablog.com/entry/2021/04/14/000000_7
◆「Zoom」に映り込む請求書や電話番号から情報漏洩--在宅勤務のリスクを考える (ZDNet, 2021/04/17 08:00)
https://japan.zdnet.com/article/35169501/
⇒ https://malware-log.hatenablog.com/entry/2021/04/17/000000_1
■2022年
◇2021年2月
◆Zoomで「マイクが自動的にオンになって勝手に録音が始まる」という事例が公式フォーラムに多数投稿される (Gigazine, 2022/02/10 06:00)
https://gigazine.net/news/20220210-zoom-app-listening-microphone-mac/
⇒ https://malware-log.hatenablog.com/entry/2022/02/10/000000_10
◇2021年8月
◆ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘 (Gigazine, 2022/08/13 19:00)
https://gigazine.net/news/20220813-zoom-installer-hack-root-access-macos/
⇒ https://malware-log.hatenablog.com/entry/2022/08/13/000000
■2023年
◇2023年1月
◆Zoomユーザーを標的としたフィッシング詐欺に注意 (マイナビニュース, 2023/01/11 10:09)
https://news.mynavi.jp/techplus/article/20230111-2559222/
⇒ https://malware-log.hatenablog.com/entry/2023/01/11/000000
【ブログ】
■2020年
◇2020年3月
◆Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account (MotherBoard, 2020/03/26 20:00)
Zoom's privacy policy isn't explicit about the data transfer to Facebook at all.
https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
⇒ https://malware-log.hatenablog.com/entry/2020/03/26/000000_6
◆ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING (The Intercept, 2020/03/31)
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
⇒ https://malware-log.hatenablog.com/entry/2020/03/31/000000
◇2020年4月
◆Good Apps Behaving Badly: Dissecting Zoom’s macOS Installer Workaround (VMRAY, 2020/04/01)
https://www.vmray.com/cyber-security-blog/zoom-macos-installer-analysis-good-apps-behaving-badly/
⇒ https://malware-log.hatenablog.com/entry/2020/03/31/000000
◆A Message to Our Users (Zoom, 2020/04/01)
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
⇒ https://malware-log.hatenablog.com/entry/2020/04/01/000000_4
◆The Facts Around Zoom and Encryption for Meetings/Webinars (Zoom, 2020/04/01)
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
⇒ https://malware-log.hatenablog.com/entry/2020/04/01/000000_5
◆A Quick Look at the Confidentiality of Zoom Meetings (Citizen Lab, 2020/04/03)
https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
⇒ https://malware-log.hatenablog.com/entry/2020/04/03/000000_7
◆Zoom’s Waiting Room Vulnerability (Citizen Lab, 2020/04/08)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
⇒ https://malware-log.hatenablog.com/entry/2020/04/08/000000_2
◇2020年4月
◆Zoomのセキュリティ脆弱性問題の現状と安全に使う方法 (IT小ネタ帳, 2020/09/11)
https://koneta.nifty.com/koneta_detail/1141008008654_1.htm
⇒ https://malware-log.hatenablog.com/entry/2020/09/11/000000_15
【公開情報】
■2020年
◇2020年7月
◆「Zoom」のセキュリティ・脆弱性の問題とは?ウェブ会議に使っても大丈夫? (NECネッツエスアイ, 2020/07/10)
https://symphonict.nesic.co.jp/workingstyle/zoom/security-weekness/
⇒ https://malware-log.hatenablog.com/entry/2020/07/10/000000_9
◇2020年11月
◆Zoomの一連のセキュリティ・脆弱性の問題についてまとめ (日商エレクトロニクス, 2020/11/10)
https://zoom.nissho-ele.co.jp/blog/etc/security-issues.html
⇒ https://malware-log.hatenablog.com/entry/2020/11/10/000000_2
テーマ別分類
【ZoomBombing】
◆ZoomBombing (まとめ)
https://malware-log.hatenablog.com/entry/ZoomBombing
【暗号】
◆ビデオ会議「Zoom」の暗号化は機密情報に不適切、中国との関係を研究者が警告 (日経XTECH, 2020/04/10)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/03896/
⇒ https://malware-log.hatenablog.com/entry/2020/04/10/000000_3
【使用制限】
◆スペースX、ビデオ会議アプリ「ズーム」を禁止 安全性懸念で (ロイター, 2020/04/02)
https://jp.reuters.com/article/spacex-zoom-video-commn-idJPKBN21K160
⇒ https://malware-log.hatenablog.com/entry/2020/04/02/000000_6
◆利用急増のZoom、「爆撃」相次ぐ 使用禁じる企業も (朝日新聞, 2020/04/03 21:20)
https://digital.asahi.com/articles/ASN4372PCN43UTIL05V.html?_requesturl=articles%2FASN4372PCN43UTIL05V.html&pn=6
⇒ https://malware-log.hatenablog.com/entry/2020/04/03/000000_3
◆米NY市、学校に「ズーム」の使用中止を指示 安全性に懸念 (CNN, 2020/04/05 13:21)
https://www.cnn.co.jp/tech/35151881.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/05/000000_2
◆ニューヨーク市は学校でのZoom禁止、セキュリティ上の懸念からMS Teamsに移行へ (TechCrunch, 2020/04/06)
https://jp.techcrunch.com/2020/04/06/2020-04-05-zoom-new-york-city-schools/
⇒ https://malware-log.hatenablog.com/entry/2020/04/06/000000_1
◆ニューヨーク市、ポルノ荒らしとセキュリティの懸念からZoomでの遠隔授業を禁止 (Gizmode, 2020/04/08 23:00)
https://www.gizmodo.jp/2020/04/nyc-bans-zoom-in-classrooms-following-porn-zoombombings.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/08/000000
◆Googleがオンラインビデオ会議アプリ「Zoom」の使用を禁止 (Gigazine, 2020/04/09 12:00)
https://gigazine.net/news/20200409-google-bans-zoom/
⇒ https://malware-log.hatenablog.com/entry/2020/04/09/000000_3
◆米上院、議員にビデオ会議アプリ「ズーム」の使用禁止を通達か (ロイター, 2020/04/09 19:35)
https://jp.reuters.com/article/zoom-video-commn-privacy-senate-idJPKCN21R1IQ
⇒ https://malware-log.hatenablog.com/entry/2020/04/09/000000_4
◆Zoom、台湾政府がセキュリティ上の懸念から全面禁止。ドイツ外務省やGoogleも使用に制限 (Engadget, 2020/04/10)
https://japanese.engadget.com/jp-2020-04-09-zoom-google.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/10/000000_1
【訴訟・訴追】
◆Zoomの株主が同社のセキュリティ対策の「誇張」で提訴 (TechCrunch, 2020/04/09)
https://jp.techcrunch.com/2020/04/09/2020-04-08-zoom-sued-shareholder-security/
https://malware-log.hatenablog.com/entry/2020/04/09/000000_1
◆米、ズーム社元幹部を訴追 ビデオ会議を検閲 (日経新聞, 2020/12/19 12:34)
https://www.nikkei.com/article/DGXZQOGM191160Z11C20A2000000/
【中国との関係】
- Zoomプログラムのほとんどは中国で開発されている
- 暗号化が不完全(E2Eの暗号化が実施されておらず、盗聴可能)
- 中国人の幹部社員が、検閲を実施
◆ビデオ会議「Zoom」の暗号化は機密情報に不適切、中国との関係を研究者が警告 (日経XTECH, 2020/04/10)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/03896/
⇒ https://malware-log.hatenablog.com/entry/2020/04/10/000000_3
◆アメリカの顔をした中国企業 Zoomとクラブハウスの問題 (Newsweek, 2021/02/22 18:17)
https://news.yahoo.co.jp/articles/cc6f83cc26280ebc58dea581fd403833376ea8ba
⇒ https://malware-log.hatenablog.com/entry/2021/02/22/000000_9
◆米、ズーム社元幹部を訴追 ビデオ会議を検閲 (日経新聞, 2020/12/19 12:34)
https://www.nikkei.com/article/DGXZQOGM191160Z11C20A2000000/
⇒ https://malware-log.hatenablog.com/entry/2020/12/19/000000
図表
【図表】
出典: https://k-tai.watch.impress.co.jp/docs/news/1244868.html
出典: https://gigazine.net/news/20200403-zoom-password-windows-credentials-problems/#group=nogroup&photo=1
テキストチャット(a), 音声チャット(b), ビデオチャット(c), ファイル共有(d), 画面共有(e)
出典: https://gigazine.net/news/20200501-nsa-security-report/
関連情報
【関連情報】
◆ZoomBombing (まとめ)
https://malware-log.hatenablog.com/entry/ZoomBombing
