【武漢肺炎】ビデオ会議ツール「Zoom」のiOS版とMac版とWindows版に脆弱性
■ このスレッドは過去ログ倉庫に格納されています
「Zoom」のWindows版クライアントに脆弱性、認証情報を盗まれるおそれ
ビデオ会議ツール「Zoom」の「Windows」版クライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが、セキュリティ研究者の調査で明らかになった。Zoomについては、「iOS」版アプリでプライバシーに関する問題が浮上したばかりだ。
Zoomは新型コロナウイルス感染症(COVID-19)患者の急激な増加を受けて使用されるケースが急増している中で、そのセキュリティに対しても厳しい目が向けられている。
グループチャット機能では、ミーティング中に会議の他の参加者にメッセージを送信できる。また、送信したURLをハイパーリンクに変換する機能もあり、これを受信した人はブラウザーでウェブページを開くことができる。
だがBleepingComputerの報告によれば、Zoomクライアントは通常のURLだけでなくWindowsネットワークのUniversal Naming Convention(UNC)パスもクリック可能なリンクに変換してしまうという。
UNCはネットワークリソースの場所を指定するために使用される。例えば、攻撃者の支配下にあるServer Message Block(SMB)サーバーにホスティングされているおそれがあるファイルの指定もできる。
任意の人物がこのUNCパスのリンクをクリックすると、WindowsはSMBネットワークのファイル共有プロトコルを使用してリモートサイトへの接続を試みる。そして、デフォルト設定では、Windowsは次にユーザーのログイン名とNT Lan Manager(NTLM)パスワードハッシュを送信する。
ハッシュは平文ではないが、非常に簡単なパスワードが設定されている場合は、パスワードクラッカーの「John the Ripper」といったツールを使用すれば、通常レベルのGPUを搭載したコンピューターで、ごくわずかな時間で解析できる。
このバグはセキュリティ研究者の@_g0dmodeによって発見された。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://japan.zdnet.com/amp/article/35151756/
ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
ZoomのMac版のインストールプロセスが、Appleのセキュリティを回避する一般にマルウェアで使われる動作になっているとセキュリティ専門家が指摘。ZoomのCEOはWeb会議参加までのステップを簡単にするためだったが改善すると表明した。
https://www.itmedia.co.jp/news/articles/2004/02/news053.html
解決策→ブラウザ版を使おう >ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
怖すぎ やはり料亭の座敷じゃないと
悪い話はできませんなあ スレタイどう言う意味?
イデオロギーでやってるならキャップ返上したほうがいいよ 会社のPCにこれ入ってる、まあ俺の情報じゃないから気にしないけど。 Googleの法人契約についてきたmeet使ってる 大人しくTeams使っとけ
Skypeでもいいけど これを機に日本総リモート化を図りたい人間が一定数いるみたいだけど、
そうは問屋がおろさないと思ってる。
収束したら完全にとはいかなくても概ね元に戻ると思う。 >>7
うちは全部これやで 全社員の自宅PCとスマホにインストール命令出てる LINEならともかくZOOMでこれやったら終わりじゃん
信用は一度失ったら終わり
トレンドマイクロウィルスバスターみたいになw 会社が私物PCに入れろとヒステリー起こしてたんで、完全抹消してからつなごうかなとw いまんとこTeamsが一番使いやすいな
スレもチャットも画像共有も電話もできるし
できれば受信時にポップアップで教えて欲しいけど 昨日ボリスジョンソンが閣議会議の画面のスクショをツイにあげてミーティングIDとか参加したイギリスの大臣のIDが漏れちゃったんだよな
あのひと50になってもまともに手も洗えないしいろいろモレモレすぎてイギリスはあれでだいじょうぶなんだろうか 新型コロナで最近注目され始めたアプリだから、windowsのように、エクスプロイトが多数開発されるだろうね。 もうGoogleで統一しよう
アプリだらけツールだらけでめんどくさいんだよ >>10
法人契約?
あくまでも1ライセンス1台だろ 最初からそう言うシステムだったんだろ
エリックS.ユアンは億万長者のビジネスマンであり、クラウドベースのズームビデオコミュニケーションの創設者です
生まれ: 中華人民共和国 泰安市 >>8
中国語圏は武漢肺炎って報道してるけど、
なんで五毛は日本にだけ文句言うの?
武漢研究所お漏らし中共隠蔽テドロス肺炎の方がいいってこと? zoom zoomってか?
まさにお子ちゃまレベル(笑) >>31
参加URLのIDが短すぎて知らない奴が乱入してくるという不具合もある
エロ画像グロ画像ウイルス貼って邪魔してくる >>27
中共ウィルスのお陰で中国人大儲けか…
世の中理不尽だ >>25
通信量もっとガッツリ抑えて
画質音質そのままならいいんだけどねー GoogleやMSのような各種アプリ、ウェブストレージ、テキストチャットと一体化しているオンライン会議システムの方が優れているはずなんだけど、今はその多機能さがアダになった。複雑なものはそれだけで利用意欲を失わせるから。
いまからでも遅くないので、GoogleとMSは宣伝を見直すべき。 日本の学校は文科省がZoomをお勧めしているのでみんなZoom。
授業課題の提出にGoogle Classroomを使っていてもライブ配信はZoom。 >>37
ミーティング中にちょっとこの資料見て!って言われたらクリックせざるをえなくない? >>27
リアルでもネットでもウイルスばら撒くとかどうしようもないな 日本政府ご推薦でまともなもんなんてあった試しがないだろ
Celeronノート15万だぜ? >>43
インストール方法にかなり問題があるから悪意があると疑うのが普通
悪意がないならこんなインストーラー作らない アホな客の会社が
これで会議するとか言ってた
FaceTimeでいいんじゃね?って言ったら
バカにされた 昨日spaceXが使用禁止にして10%さがったなw
うっかり買ったw WebExのウェブサイトは驚くほど具体的なことが書いてない。
このサイト見てWebEx導入する奴は馬鹿だわ。 >>44
そもそもSMBはルーターでポートを閉じてるから例えクリックしても問題ないだろ。 うちも自宅PCとスマホで使えと言われている。
怖いからZoom専用の端末、回線を用意した 仕事で嫌々使わされてるが、使えるからと嬉しそうになんやかんやとアップロードしたりみんな仲間メンバーやねみたいな調子で気持ち悪いメッセージ書き込んだりするいちびりがいて、それがいちいち登録メールに来たりと、ほんま鬱陶しいで。 Zoomのノイズキャンセル機能と挙手機能はかなり有能。なぜGoogleとMSが真似しないのか不思議なくらい。 安くあげようとするからしょぼいソフトに頼るんだろ
ハードをソフトで代用しようとすると不具合は出るわ >>59
みんなiPhoneとiPad持って打ち合わせしてたから
それでいいじゃんって言ったんだよ 在宅なんとかのせいかやたらネットがブツブツ切れるようになって迷惑なんだけど テレワーク拡大でサーバーや回線の弱さが明るみに出始めてる
回線遅かったりサーバーに繋がらなかったり
日本のインターネットインフラは弱すぎる >>55
ネットワーク機器をシスコ使ってる企業がついでに導入する感じなのかな
アメリカの客とミーティングやるときWebex指定されることが自分は多い sambaって
パスワードのまま乗ってるもんな
すごい低脳が考えた仕様 カスペルスキーとかインストールしておけばこういうソフトを使ってもとりあえず心配ないと考えていい?
セキュリティソフトって、情報流出をかってにガードしてくれるんでしょ? >WindowsネットワークのUniversal Naming Convention(UNC)パスもクリック可能なリンクに変換してしまうという。
使ってるのかこの機能 とはいえ、今更スカイプじゃねーし、他に選択肢がない。 >>74
その認識は間違ってる。
このソフトウエアはセキュリティソフトにも与えないroot権限与える。
そこがドアになって他のマルウェアも入ってくる。 >>77
meetsでもTeamsでもいくらでもあるだろ >>67
昔からよく脆弱性出てたが今でも使ってるんだな >>81
耳が痛い
4月から一気に「オンラインなんとか」が増えた
あと数年で定年退職、逃げ切れるかと思ったのになあ >>82
zoomでもチャットやファイルアップロードができることは覚えておいてほしい。見ないボスが悲しい…… 実は娘が東京の某大でお世話になってるが、夏休み前まで全講義をオンラインでやるそうだ。
Zoomを使うらしい。困ったもんだな・
せめて都内の大学生ぐらいとっとと抗体検査して、
ほんとうにオンラインでやらなければならないぐらい深刻なのか、調べてくれ。
理系が全講義をオンラインって、実験はどうすんだ!!! 無理ありすぎ。 >>84
わかってる
わかってるんだが、目と手が追いついていかないんだ >>85
理系の実験もそうだし、文系のゼミでも「もの」を扱わなきゃできない場合がある
学生もたいへんだが、いきなり「Zoomでやれ」と言われた教員の側も途方に暮れる
学生の「たいへん」といえば、サークルとか新人勧誘ができなくてどうなるんだろうか >>82
そんな御大がよくにちゃんやっとるね
皮肉じゃなくて、十分やれとるんと違うの?と思うけどな
頑張ってくれ!
家の会社は這ってでもこいってなもんで、在宅勤務なんてみじんも考えられない無能の集まりが役員だから永遠に無理だ >>39
Teamsはそれはそれでユーザー増えてるから、別に仇にはなってなさそう Zoomはやばいわ
セキュリティなにそれ状態の会社が作ってる
インストールしたPCを勝手にWEBサーバ化し
アンインストール後もWEBサーバ機能は削除されない→カメラ乗っ取りの脆弱性へ セキュリティとプライバシーに関する欠陥って、使ったらアカンのじゃないの?
国民民主党、ビデオ会議アプリ「Zoom」で党役員会を開催 こういうのってセキュリティ大丈夫なの?
https://hayabusa9.2ch.net/test/read.cgi/news/1585746341/ Webexの開発者がzoomの創業者じゃなかったけ? SMBの認証が走るのはクリックした本人のPC上でだろ?
その認証情報をどうやって攻撃者が得るの? オンライン会議やってわかったことは、ビデオで若い
女子を見るとボッキしてしまうことだ。 Zoomはかなり悪質だと思うけどな。
前もカメラの乗っ取りとか、勝手に野良apkインストールとか前科ありまくり。
有名になってバレたから不具合ってことにして直しますアピールしてるけど。
まずZoomはアメリカの企業だけど、中身は中国人だし。 まさに「安物買いの銭失い」だなwww
素直にPolyComにしとけばいいものをw ■ このスレッドは過去ログ倉庫に格納されています