Zoomは、Windows向けデスクトップクライアントおよびソフトウェア開発キット(SDK)に重大な脆弱性が存在すると警告しています。この脆弱性は、認証されていない第三者によってアカウント乗っ取りに悪用される可能性があります。
この脆弱性はZoom社内で発見されたもので、CVE-2026-53412として追跡されており、深刻度スコアは10点満点中9.8点となっています。
Zoomは今週公開したアドバイザリの中で、この脆弱性がバージョン7.0.0より前のZoom Workplace for Windows、バージョン7.0.10・6.6.15・6.5.18より前のWindows VDI Client、バージョン7.0.0より前のMeeting SDK for Windowsに影響すると述べています。
Zoom Workplace(旧称Zoom)は、ビデオ会議、グループチャット、VoIP電話通話、カレンダー、メール、ドキュメント共同編集、ホワイトボード、AI活用の生産性向上機能を備えたデスクトップ向けコラボレーションアプリケーションです。
Windowsデスクトップクライアントは広く展開されており、世界中の数百万人の個人や組織に利用されています。
Zoomは公告の中でこの脆弱性に関する技術的な詳細を一切明らかにせず、単に不適切な入力検証の問題であると説明するにとどめています。
「Zoom Desktop Client for Windows、Zoom VDI Client for Windows、Zoom Meeting SDK for Windowsにおける不適切な入力検証により、認証されていないユーザーがネットワークアクセスを介してアカウント乗っ取りを行える可能性があります」とセキュリティアドバイザリには記載されています。
CVE-2026-53412に起因するリスクを軽減するため、Zoomはユーザーに対して最新のアップデートを適用するよう推奨しています。
Zoomの最新のセキュリティパッチでは、以下の深刻度がより低い脆弱性にも対処しています。
- CVE-2026-53410: バージョン7.0.5より前のZoom Workplace for Windows、バージョン6.5.17/6.6.14より前のZoom Workplace VDI ClientおよびVDI Plugin、バージョン7.0.5より前のZoom Rooms for Windows、バージョン7.0.0より前のRemote Control for Zoom Contact Centerに影響する、深刻度の高いTOCTOU(time-of-check to time-of-use)競合状態の脆弱性。インストールまたはアンインストール時に、認証済みのローカルユーザーが権限を昇格させる可能性があります。
- CVE-2026-53409: バージョン7.1.0より前のZoom Rooms for Windowsに影響する、深刻度の高い不適切な権限管理の脆弱性。ローカルアクセス権を持つ認証済みユーザーが権限を昇格させる可能性があります。
- CVE-2026-53411: バージョン6.6.14より前のZoom Workplace VDI Plugin for Windowsに影響する、深刻度の高い不適切な入力検証の脆弱性。ローカルアクセス権を持つ認証済みユーザーが権限を昇格させる可能性があります。
本件の情報公開時点では、Zoomが修正したいずれの脆弱性についても、攻撃で悪用されている兆候は確認されていません。
攻撃者に先んじて、すべてのレイヤーをテストする
セキュリティチームが記録できている攻撃成功件数はわずか54%、アラートが発せられるのはたった14%に過ぎません。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(breach and attack simulation)によってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。